Mapping de rôles entre le SSO et Talend Cloud

Émettez une requête POST sur l'endpoint /security/role-mappings pour créer ce type de mapping de rôles.

Avant de commencer

Vous avez défini des rôles sur votre plateforme SSO, comme expliqué dans la documentation de votre fournisseur de SSO, par exemple
- https://learn.microsoft.com/fr-fr/azure/active-directory/develop/howto-add-app-roles-in-apps pour Azure,
- https://developer.okta.com/docs/concepts/role-assignment/ pour Okta.
Lorsque vous configurez Talend Cloud Management Console comme application dans votre fournisseur de SSO, comme présenté ci-après, assurez-vous d'ajouter ces rôles, séparés par une virgule, par exemple, Developer,Administrator, à un attribut utilisateur·trice CustomerRoles.
Vous avez configuré votre application dans le système de votre fournisseur SSO et avez activé le SSO depuis Talend Cloud Management Console. Par exemple :
- consultez Configurer le SSO avec Azure Active Directory pour Azure,
- consultez Configurer le SSO avec Okta pour Okta.
L'utilisateur·trice ou le compte de service à utiliser pour émettre la requête d'API doit avoir l'autorisation TMC_SSO_MANAGEMENT.
Générez des jetons d'accès :
- Pour les utilisateur·trices, générez un jeton d'accès personnel en suivant la procédure Générer un jeton d'accès personnel.
- Pour les comptes de service, générez un jeton d'accès de compte de service en suivant la procédure Générer un jeton de compte de service.
Une fois généré, un jeton de compte de service expire après 30 minutes. S'il expire, générez un nouveau jeton à l'aide de la méthode POST sur l'endpoint https://api.<env>.cloud.talend.com/security/oauth/token. Pour plus d'informations concernant la génération de ce jeton, consultez Générer un jeton de compte de service.

Pourquoi et quand exécuter cette tâche

Dans cet exemple, les rôles client·es à mapper sont Developer et Administrator. Notez que ces rôles servent uniquement à la démonstration.

Procédure

Émettez l'appel d'API suivant pour définir le mapping de rôles :

Exemple

method: POST
endpoint: https://api.<env>.cloud.talend.com/security/role-mappings
headers: {
          "Content-Type": "application/json",
          "Authorization": "Bearer <your_personal_access_token_or_service_account_token>"
          }
payload: {
          [
            {
               "name":"Developer",
               "roles":[
                  "API Tester",
                  "API Designer"
                       ]
            },
            {
               "name":"Administrator",
               "roles":[
                  "Operator"
                       ]
            }
           ]
          }

En ce qui concerne les rôles Talend Cloud, vous pouvez accéder à la liste des rôles prédéfinis, ajouter des rôles, gérer les autorisations des rôles et attribuer des rôles aux utilisateur·trices dans Users & Security (Utilisateurs et sécurité) > Roles (Rôles) dans Talend Cloud Management Console. Pour plus d'informations, consultez Gestion des rôles.

Résultats

Cela fait, le rôle attribué aux utilisateur·trices dans votre système de SSO sera synchronisé avec l'attribution des rôles dans Talend Cloud. Dans cet exemple, un·e utilisateur·trice ayant automatiquement le rôle Developer dans le SSO obtient les rôles API Tester et API Designer dans Talend Cloud.

Pour chaque utilisateur·trice donné·e, les rôles attribués via ce mapping de rôles écrasent ceux attribués via l'option Just-in-time user provisioning (Provisioning juste-à-temps des utilisateurs), une option classique de provisioning d'identité d'utilisateur·trices fournie dans Talend Cloud Management Console.