Configurer le SSO Talend Administration Center avec Keycloak - 8.0

Version
8.0
Language
Français
Product
Talend Big Data
Talend Big Data Platform
Talend Cloud
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Talend Administration Center
Content
Administration et monitoring > Gestion des autorisations
Last publication date
2023-09-14

Créer une application Talend Administration Center dans Keycloak

Cet article explique le processus de création d'une application Talend Administration Center avec le fournisseur d'identité Keycloak. Cela permet aux utilisateur·trices de s'authentifier avec une authentification unique (SSO) sur Keycloak, plutôt qu'avec des applications individuelles sur différentes plateformes.

Avant de commencer

Assurez-vous que Keycloak est correctement installé et configuré :
  • un Royaume est créé,
  • un·e utilisateur·trice est créé·e (avec le rôle Security Administrator si la fonctionnalité de mapping des rôles n'est pas utilisée),
  • la session utilisateur·trice est ouverte sur la plateforme Web Keycloak.

Procédure

  1. Sélectionnez le menu Client et créez un Client :
    • ID : tac
    • Protocol : saml
    Cliquez sur Save.
  2. Dans l'onglet Settings, activez Always Display in Console et Sign Assertions :
  3. Configurez les paramètres comme suit :
    • modifiez Name ID Format en email
    • activez Always Display in Console et Sign Assertions
    • configurez tac à IDP Initiated SSO URL name. L'URL du Royaume est affichée ci-dessous.
    • Extrayez /realms/myrealm/protocol/saml/clients/tac et collez dans le champ Base URL
    • configurez Assertion Consumer Service POST Binding URL : http://localhost:8080/org.talend. administrator/ssologin. Cliquez sur Save.

Résultats

Si vous vous connectez à la console du compte Keycloak (http://<host>:<port>/auth/realms/myrealm/account/), vous pouvez voir Talend Administration Center dans la liste Applications :

Configurer Talend Administration Center en mode initialisé par le fournisseur d'identité (IdP-initiated) avec Keycloak

Cette section décrit les étapes de configuration dans Talend Administration Center pour le SSO avec Keycloak comme fournisseur d'identité.

Procédure

  1. Sur la plateforme Web de Keycloak, téléchargez le fichier Keycloak IDP metadata depuis la page Realm Settings :
  2. Depuis Talend Administration Center, allez dans Configuration > SSO et configurez les paramètres comme suit :
    • Cliquez sur Launch upload pour charger le fichier de métadonnées.
    • Dans le champ Service Provider Entity ID ("Client ID" Keycloak) : saisissez tac.
    • IDP Authentication Plugin : sélectionnez Keycloak. Un message s'affiche, permettant d'activer le jeton d'accès personnel (Personal Access Token) : suivez l'étape 5 de la procédure décrite ici.
    • Dans la liste déroulante Use Role Mapping : sélectionnez
      • true : vous connecter à Talend Administration Center depuis le fournisseur d'identité va créer/mettre à jour des utilisateur·rices avec des rôles Talend Administration Center, des noms d'attributs : firstName, lastName, email, tac.projectType, tac.role (pour plus de détails, consultez la section Configurer le mapping de rôle)
      • ou false : aucun attribut n'est obtenu depuis le fournisseur d'identité, mais, avec l'utilisateur·trice par défaut Security Administrator (Administrateur de la sécurité) créé·e, vous pouvez attribuer des rôles Talend Administration Center à d'autres utilisateur·trices créé·es par le fournisseur d'identité.
  3. Allez à la page Applications et cliquez sur Talend Administration Center.

Configurer le mapping de rôle

Cette section décrit les paramètres nécessaires à la configuration du mapping de rôles. La fonctionnalité de mapping de rôle permet de mapper les types des projets des applications et les rôles utilisateur·trices avec ceux définis dans le système fournisseur d'identité Keycloak.

Pourquoi et quand exécuter cette tâche

Procédure

  1. Assurez-vous que le champ Use Role Mapping dans Configuration > SSO est configuré à true (consultez l'étape 2 de Configurer Talend Administration Center en mode initialisé par le fournisseur d'identité (IdP-initiated) avec Keycloak).
  2. Ouvrez Mapping Configuration et configurez les valeurs :
    • des types de projets (Project Types)
    • des mappings de rôles (Roles Mappings)
  3. Allez dans la console d'administration de Keycloak et créez un·e utilisateur·trice avec les attributs par défaut : firstName, lastName et email :
  4. Ajoutez manuellement d'autres attributs à l'utilisateur·trice : tacProjectType, tacRole:
  5. Ajoutez les mappings d'attributs au Client Talend Administration Center :
    • Propriété de l'utilisateur·trice
    • Attribut de l'utilisateur·trice
    • All
  6. Allez dans la page de la console du compte Keycloak http://<host>:<port>/auth/realms/myrealm/account/, connectez-vous avec l'utilisateur·trice créé·e et cliquez sur l'application Talend Administration Center.

Résultats

La page de Talend Administration Center s'ouvre, avec les rôles définis pour l'utilisateur·trice.

Configurer Talend Administration Center en mode initialisé par le fournisseur de service (SP-initiated) avec Keycloak

Relier Talend Administration Center en mode initialisé par le fournisseur de service (SP-initiated) avec Keycloak

Ces étapes sont effectuées dans l'onglet Talend Administration Center Configuration > SSO.

Pourquoi et quand exécuter cette tâche

Procédure

  1. Suivez les étapes de Configurer Talend Administration Center avec Keycloak comme fournisseur d'identité.
  2. Dans le champ Service Provider Entity URL (URL de l'entité du fournisseur de service), saisissez l'URL de service du SSO de Talend Administration Center.
    Pour connaître cette URL, allez dans votre compte de royaume Keycloak et cliquez sur l'onglet Clients.