Configurer le serveur SAML - 8.0

Guide d'administration de Talend Data Catalog

Version
8.0
Language
Français (France)
Product
Talend Big Data Platform
Talend Data Fabric
Talend Data Management Platform
Talend Data Services Platform
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Talend Data Catalog
Content
Administration et monitoring
Gouvernance de données

Configurez le serveur SAML pour activer le serveur d'authentification externe à l'aide du protocole SAML 2.0.

Avant de commencer

  • En tant qu'administrateur, vous avez configuré l'application Talend Data Catalog dans votre système de fournisseur d’identité.
  • En tant qu'administrateur, vous avez configuré les utilisateurs et utilisatrices et les attributs d'utilisateur ou d'utilisatrice de votre application dans votre système de fournisseur d'identité.
  • Un rôle global avec la capacité Security Administration (Administration de la sécurité) vous a été assigné.

Procédure

  1. Allez dans MANAGE (GESTION) > Users (Utilisateurs).
  2. Dans le champ Authentication (Authentification) de la barre d'outils, sélectionnez SAML dans la liste déroulante.
  3. Cliquez sur l'icône Configure authentication (Configurer l'authentification), à côté de la liste déroulante.
  4. Dans l'onglet Connection (Connexion), renseignez les informations requises pour lier Talend Data Catalog à votre fournisseur d'identité.
    Champ Action
    Identity Provider (Fournisseur d'identité) Saisissez l'URL du fournisseur d'identité.
    X509 Certificate (certificat X509) Saisissez le certificat public X509 de votre fournisseur d'identité qui permet à Talend Data Catalog de vérifier les signatures et d'établir la confiance dans les message échangés.
    Binding Type (Type de liaison)
    Sélectionnez comment accomplir la liaison :
    • HTTP-Redirect :

      Talend Data Catalog envoie une demande d'authentification SAML au service SSO du fournisseur d'identité à l'aide de la liaison HTTP-Redirect.

      Remarque : Comme Talend Data Catalog n'a pas la clé privée du fournisseur d'identité, la demande d'authentification SAML envoyée par Talend Data Catalog n'est ni signée, ni chiffrée. Comme la demande contient généralement très peu de données confidentielles, chiffrer la demande SAML ne présente que peu d'intérêt.
    • HTTP-POST :

      Le fournisseur d'identité retourne la réponse SAML au service consommateur d'assertions de Talend Data Catalog, à l'aide de la liaison HTTP-POST.

      Remarque : Comme Talend Data Catalog n'a pas la clé privée du fournisseur d'identité, l'assertion SAML reçue par Talend Data Catalog peut être signée, mais pas chiffrée.

      Pour valider la signature, Talend Data Catalog n'a besoin que de la clé publique du fournisseur d'identité. L'assertion doit être signée pour que Talend Data Catalog puisse vérifier que le contenu de l'assertion n'a pas été modifié lors du transfert.

    Single Sign On URL (URL du SSO)

    Saisissez l'URL du SSO.

    Signature Element (Élément de signature)

    Sélectionnez l'une des valeurs dans la liste déroulante afin de spécifier si le message de réponse d'authentification SAML et l'assertion SAML sont signé·es numériquement par le fournisseur d'identité ou non.

    Talend Data Catalog retourne un message d'erreur lors de la connexion si un élément est configuré comme signé mais n'a pas été signé par le fournisseur d'identité.

    Si un élément est configuré comme non signé, Talend Data Catalog ne valide pas la signature dans cet élément, même si l'élément peut avoir été signé par le fournisseur d'identité.

    L'option Import IDP metadata (Importer les métadonnées IDP) permet au serveur d'application de lire le fichier de métadonnées SAML du fournisseur d'identité, qui est un document XML contenant les informations nécessaires aux interactions avec le fournisseur d'identité. Ce document contient les URL des endpoints, des informations concernant les liaisons supportées, des identifiants et des clés publiques. Après avoir parsé le fichier de métadonnées SAML, le serveur d'application renseigne automatiquement les autres champs à partir des valeurs spécifiées dans le fichier de métadonnées SAML. Vous devez configurer les mappings d'attributs (Attribute Mappings) et les mappings de groupes (Group Mappings) pour terminer la configuration du serveur SAML.

    L'option Export SP metadata (Exporter les métadonnées SP) vous permet d'exporter les métadonnées du fournisseur du serveur SAML. Le serveur d'application SP utilise le protocole (http ou https), le nom du serveur et le numéro de port utilisés par le navigateur afin de générer les URLs endpoint dans les métadonnées. S'il ne fonctionne pas, il est possible que vous ayiez besoin de personnaliser le fichier de métadonnées SP généré automatiquement.

  5. Dans l'onglet Attribute Mappings (Mappings des attributs), mappez les attributs du compte utilisateur·rice externe aux attributs utilisateurs·rices de Talend Data Catalog, comme Login (Identifiant), Full Name (nom complet), Email (E-mail) ou Groups (Groupes).
  6. Dans l'onglet Group Mappings (Mappings de groupes), cliquez sur Add Assignment (Ajouter une attribution) pour mapper l'attribut de groupe du compte utilisateur·trice externe au nom du groupe de Talend Data Catalog.
    Pour activer l'attribution automatique de groupe, renseignez l'attribut Groups (Groupes) avec le nom du champ correspondant dans les informations du compte utilisateur·rice. Talend Data Catalog utilise la valeur de ce champ comme attribution de groupe de sécurité.
    Les informations de compte utilisateur·trice sont retournées depuis le serveur SAML vers Talend Data Catalog après validation d'un jeton d'accès par le serveur SAML lors d'une demande de connexion.
    Vous pouvez utiliser le caractère de remplacement ("%") lors de la configuration des mappings de groupes. Le % correspond à zéro caractère ou à plus.
    Lorsque vous alimentez un attribut SAML pour l'attribution de groupe, vous passez d'une attribution de groupe native et gérée manuellement à une attribution de groupe automatique gérée par SAML, pour tous·tes les utilisateur·trices SAML. en tant qu'utilisateur ou utilisatrice SAML, vous perdez l'attribution de groupe précédente lors de votre prochaine connexion.

    Lorsque vous supprimez le dernier attribut SAML pour l'attribution de groupe, vous passez d'une attribution de groupe gérée par SAML à une attribution de groupe native. Les utilisateur·trices SAML seront associé·es au groupe Guest (Invité), jusqu'à leur attribution à d'autres groupes.

  7. Sauvegardez vos modifications.

Résultats

Vous pouvez vous connecter à Talend Data Catalog via votre fournisseur d'identité.