Configuration du SSO de Talend Administration Center depuis AD FS 3.0 - 7.2

author
Talend Documentation Team
EnrichVersion
7.2
EnrichProdName
Talend Big Data
Talend Big Data Platform
Talend Cloud
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
task
Administration et monitoring > Gestion des autorisations
EnrichPlatform
Talend Administration Center

Vue d'ensemble de AD FS 3.0

Configurez les services Active Directory Federation Services (AD FS) 3.0 sur Windows Server 2012 R2 pour activer la gestion sécurisée d'identités et l'accès via SSO (Single Sign-On) à la configuration de Talend Administration Center.

AD FS permet un partage d'identité décentralisé entre des partenaires métier, en implémentant le protocole WS-Federation et des standards tels ques WS-Trust et Security Assertion Markup Language (SAML). AD FS est utilisé pour générer des assertions pour les utilisateurs. Ces assertions sont renvoyées dans la configuration de Talend Administration Center, où les paramètres et les rôles utilisateurs sont assignés en se basant sur la configuration de AD FS.

Pour plus d'informations concernant les besoins système et pour savoir comment prendre en main AD FS, consultez la documentation AD FS (en anglais).

Installer AD FS 3.0

es services Active Directory Federation Services (AD FS) 3.0 s'exécutent sous Windows Server 2012 R2.

Avant de commencer

Talend Administration Center doit être configuré avec le protocole HTTPS. Pour plus d'informations, consultez Configurer une connexion bidirectionnelle entre Studio Talend et Talend Administration Center.

Procédure

  1. Ouvrez Server Manager.
  2. Cliquez sur Manage > Add Roles and Features.
  3. Dans la fenêtre Add Roles and Feature Wizard, configurez l'installation selon vos besoins.
  4. Installez Active Directory Federation Services.

Configurer AD FS 3.0

Procédure

  1. Dans Server Manager, cliquez sur Tools > AD FS Management.
  2. Cliquez-droit sur Trust Relationships > Relying Party Trusts et sélectionnez Add Relying Party Trust....
  3. Cliquez sur Start.
  4. Sélectionnez Enter data about the relying party manually, puis cliquez sur Next.
  5. Saisissez un nom à afficher puis cliquez sur Next.
  6. Sélectionnez AD FS profile et cliquez sur Next.
  7. Cliquez sur Next.
  8. Dans la page Configure URL, cochez la case Enable support for the SAML 2.0 WebSSO protocol.
  9. Saisissez l'URL du service du SSO dans le champ Relying party SAML 2.0 SSO Service URL.
    Par exemple, https://localhost:8080/org.talend.administrator/ssologin.
  10. Dans la page Configure Identifiers, saisissez la même URL de service que dans l'étape 9, puis cliquez sur Add et sur Next.
  11. Choisissez de configurer les paramètres pour l'authentification multifacteur.
  12. Laissez l'option Permit all users to access this relying party sélectionnée et cliquez sur Next.

    Vous pourrez changer les autorisations ultérieurement.

  13. Cliquez sur Next, puis sur Close.

    Laissez cochée la case Open the Edit Claim Rules dialog for this relying party trust when the wizard closes.

Ajouter des règles de revendication

Utilisez des règles de revendication pour définir des attributs obligatoiress et facultatifs. L'attribut nameid-format est obligatoire.

Procédure

  1. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  2. Définissez les attributs à envoyer à la configuration de Talend Administration Center via une réponse SAML.
  3. Cliquez sur OK.

    Suivez la configuration d'exemple décrite dans Configurer la règle de revendication des rôles personnalisés (exemple) pour ajouter l'attribut nameid-format obligatoire.

Configurer la règle de revendication des rôles personnalisés (exemple)

Procédure

  1. Dans l'assistant Add Transform Claim Rule Wizard, sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  2. Saisissez un nom pour la règle de revendication, par exemple, EmailAddress.
  3. Saisissez la configuration dans le champ Custom rule.
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => add(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);
  4. Cliquez sur Finish.
  5. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  6. Sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  7. Saisissez un nom pour la règle de revendication, par exemple NameId.
  8. Saisissez la configuration dans le champ Custom rule.
    c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Value = c.Value);
  9. Cliquez sur Finish.
  10. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  11. Sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  12. Saisissez un nom pour la règle de revendication, par exemple, Attributes.
  13. Saisissez la configuration dans le champ Custom rule.
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("given_name", "family_name"), query = ";givenName,sn;{0}", param = c.Value);

    Dans cet exemple, le nom donné et le nom de famille sont lus depuis votre Active Directory afin de définir la règle de revendication Attributes.

  14. Cliquez sur Finish.
  15. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  16. Sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  17. Saisissez un nom pour la règle de revendication, par exemple, TalendCloudDomainName.
  18. Saisissez la configuration dans le champ Custom rule.
    =>  issue(Type = "TalendCloudDomainName", Value = "<Domain>");
    Dans cet exemple, <Domain> est le nom à utiliser comme TalendCloudDomainName, par exemple, tho.talend.com. Cela présente la valeur dans ce champ comme
    =>  issue(Type = "TalendCloudDomainName", Value = "tho.talend.com");
    Vous pouvez trouver la valeur TalendCloudDomainName à utiliser dans le champ Domain de la page Subscription de votre Talend Management Console.
    Si vous souhaitez mapper la valeur TalendCloudDomainName depuis votre Active Directory, utilisez le code suivant :
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("TalendCloudDomainName"), query = ";department;{0}", param = c.Value);

    Dans cet exemple, la valeur de l'attribut department est utilisée pour TalendCloudDomainName. La valeur à utiliser pour cet attribut department est toujours Domain, située dans la page Subscription de votre Talend Management Console.

  19. Cliquez sur Finish.

Exporter des métadonnées

Procédure

  1. Ouvrez AD FS Management.
  2. Dans le panneau de gauche, sélectionnez Service > Endpoints et faites défiler la vue au centre vers le bas, jusqu'à la zone Metadata.
  3. Notez le chemin d'accès au fichier FederationMetadata.xml.
  4. Téléchargez le ficher de métadonnées depuis votre hôte AD FS, par exemple, https://<ADFShost>/FederationMetadata/2007-06/FederationMetadata.xml.

Lier Talend Administration Center à un fournisseur d'identité

Procédure

  1. Connectez-vous à Talend Administration Center.
  2. Si le SSO n'a pas été précédemment activé, sélectionnez true dans le champ Use SSO Login.
  3. Cliquez sur Launch Upload dans le champ IDP metadata et chargez le fichier de métadonnées de l'IdP (fournisseur d'identité) que vous avez téléchargé précédemment depuis votre Fournisseur d'identité (IdP).
  4. Dans le champ Service Provider Entity ID saisissez l'identifiant de l'Entité de votre Fournisseur de service (disponible dans la configuration du Fournisseur d'identité).
    Par exemple, http://<host>:<port>/org.talend.administrator/ssologin pour Okta at ADFS ou <Connection ID> pour PingFederate.
  5. Cliquez sur Launch Upload dans le champ IDP Authentication Plugin et chargez le fichier de métadonnées précédemment téléchargé depuis le système Identity Provider.

    Les fichiers Jar fournis par Talend se trouvent dans le répertoire <TomcatPath>/webapps/org.talend.administrator/idp/plugins.

    Il est possible de réécrire le code d'authentification, si nécessaire.

    Le champ Identity Provider System change automatiquement selon votre système fournisseur d'identité.

  6. Cliquez sur Identity Provider Configuration et renseignez les informations requises.
    PingFederate
    • PingFederate SSO URL : https://win-350n8gtg2af:9031/idp/startSSO.ping?PartnerSpld=TAC701
    • Basic Adapter Instance ID : BasicAdapter
    Okta
    • Okta Organization URL : https://dev-515956.oktapreview.com
    • Okta Embedded URL : https://dev-515956.oktapreview.com/home/talenddev515956_talendadministrationcenter_1/0oacvlcac5j52hFhP0h7/alncvlmpk1VXbYAGu0h7

    AD FS 2

    • Adfs SSO Url : https://<host>/adfs/ls
    • Adfs Basic Auth Path : auth/basic
    • Adfs SP Entity Id : https://<host>:<port>/org.talend.administrator/ssologin
    AD FS 3
    • Adfs 3 SP Entity Id : https://<host>:<port>/org.talend.administrator/ssologin
    • Adfs 2 SSO Url : https://<host>/adfs/ls
  7. Définissez le champ Use Role Mapping à true pour faire correspondre les types de projet et rôles utilisateur des applications avec ceux définis dans le fournisseur d'identité.
    Une fois les rôles et types de projet définis côté fournisseur d'identité, vous ne pourrez pas les modifier depuis Talend Administration Center.
  8. Cliquez sur Mapping Configuration et renseignez les champs des types de rôles/projets avec les attributs SAML correspondants précédemment configurés dans le système fournisseur d'identité.
    Exemples de types de projets :
    • MDM = MDM
    • DI = DI
    • DM = DM
    • NPA = NPA

    Exemples de rôles :

    • Rôles de Talend Administration Center
      • Administrator = tac_admin
      • Operation Manager = tac_om

      Configurer les rôles dans Talend Administration Center est obligatoire.

    • Rôles de Talend Data Preparation
      • Administrator = dp_admin
      • Data Preparator = dp_dp
    • Rôles de Talend Data Stewardship
      • Data Steward = tds_ds

    Les types de rôles et projets configurés dans le fournisseur d'identité écrasent les rôles configurés dans Talend Administration Center.

    Les types de rôles et projets configurés dans le fournisseur d'identité écrasent les rôles configurés dans Talend Administration Center lors de la connexion de l'utilisateur.

    Si votre entreprise n'accepte pas les attributs personnalisés dans le jeton SAML :

    1. Sélectionnez Show Advanced Configuration dans l'assistant et, dans le champ Path to Value, saisir l'expression XPath pour cibler la valeur SAML et mapper l'objet Talend Administration Center correspondant (Project Types, Roles, Email, First Name, Last Name).

      Par exemple, l'expression XPath pour le type de projet DI : /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()

    2. Définissez le champ Use Role Mapping à false.

      Dans ce cas, vous ne pouvez créer manuellement les utilisateurs, mais le type d'utilisateur et ses rôles peuvent être modifiés plus tard dans Talend Administration Center.

      Lorsqu'un utilisateur se connecte pour la première fois, son type est No Project access.

    Le délai avant suspension de la connexion est configuré à 120 secondes par défaut. Vous pouvez modifier cette valeur en ajoutant le paramètre sso.config.clientLoginTimeout avec la durée voulue dans le fichier <ApplicationPath>/WEB-INF/classes/configuration.properties.

Résultats

Vous pouvez vous connecter à Talend Administration Center via votre fournisseur d'identité.

Se connecter à Talend Administration Center via AD FS

Procédure

Une fois la configuration terminée, connectez-vous à Talend Administration Center via l'URL du SSO de AD FS.
https://<host>/adfs/ls/idpinitiatedsignon