Configurer le Fournisseur d'identité SAML2 dans SiteMinder

Guide d'installation de Talend Data Management Platform pour Windows

EnrichVersion
6.5
EnrichProdName
Talend Data Management Platform
task
Installation et mise à niveau
EnrichPlatform
Talend Administration Center
Talend Activity Monitoring Console
Talend Data Stewardship
Talend JobServer
Talend SAP RFC Server
Talend Installer
Talend Artifact Repository
Talend Data Preparation
Talend Repository Manager
Talend CommandLine
Studio Talend
Talend Log Server
Talend Identity and Access Management
Talend DQ Portal
Talend Runtime

Avant de commencer

Vous avez un compte administrateur SiteMinder et avez installé et configuré Web Agent et Web Agent OptionPack.

Procédure

  1. Créez un User Directory depuis SiteMinder Administrative UI.
  2. Dans la zone LDAP Settings, définissez l'attribut de l'adresse email en tant que LDAP user DN lookup.
  3. Protégez l'URL d'authentification pour établir les sessions utilisateur comme décrit dans la documentation SiteMinder (en anglais) :
    • Sélectionnez votre Web agent (crééz et configurez-le comme décrit dans la documentation SiteMinder).
    • Sélectionnez le User Directory créé précédemment.
    • Sélectionnez Basic comme Authentication Scheme (voir la documentation SiteMinder pour plus d'informations).
    • Décochez la case Persistent dans la section Session afin de ne pas conserver les informations de session.

  4. Créez un certificat de signature en important une paire clé/certificat (Infrastructure > X509 Certificate Management > Trusted Certificates and Private Keys).
  5. Créez une Entité locale de Fournisseur d'identité (Federation > Partnership Federation > Entities) :
    • Sélectionnez Local et SAML2 IDP dans l'étape Entity Type.
    • Cochez les case Unspecified et Email Address dans l'étape Entity configuration.
  6. Créez un Partenariat (Federation > Partnership Federation > Partnerships) :
    • Sélectionnez SAML2 IDP et tac dans l'étape Configure Partnership.
    • Sélectionnez All Users in Directory dans l'étape Federation Users.
    • Dans l'étape Assertion Configuration, saisissez les informations requises et ajoutez tac.role et tac.projectType qui correspondront aux attributs de l'utilisateur LDAP (tacRole et projectType dans cet exemple). Les valeurs de ces attributs seront mis en correspondance avec celles des attributs saisis dans la configuration SSO de Talend Administration Center.
    • Dans l'étape SSO and SLO, saisissez l'URL du service web du fichier redirect.jsp dans Authentication URL, sélectionnez urn:oasis:names:tc:SAML:2.0:classes:Password dans Authentication Class, sélectionnez les bindings HTTP-Redirect et HTTP-POST, saisissez l'URL de la Servlet SSO de Talend Administration Center (http:// <TACapplicationURL>/<TACapplicationName>/ssologin) dans la zone Remote Assertion Consumer Service URLs. Laissez ensuite les autres paramètres tels quels et terminez le processus de création.
  7. Activez le Partenariat créé précédemment et exportez ses métadonnées. Vous devrez charger ces métadonnées ultérieurement dans la page de configuration SSO de Talend Administration Center.
  8. Via votre serveur LDAP, testez l'identification SSO à l'application Talend Administration Center :
    • Créez un utilisateur LDAP avec les attributs personnalisés de rôles et de projet que vous souhaitez (tacRole= tac_admin,tac_viewer et projectType=DI par exemple) et vérifiez que le lien avec les identifiants utilisateur (bind) s'effectue avec succès.

      Notez que :
      • les valeurs des types de projet peuvent uniquement être : DI (Data Integration), DQ (Data Quality), MDM (Master Data Management) ou NPA (No Project Access).
      • si vous souhaitez ajouter plusieurs rôles pour un utilisateur, ces rôles doivent être séparés par une virgule.
    • Accédez à l'URL d'authentification précédemment définie (http://<host>/affwebservices/public/saml2sso?SPID=<SPEntityName>) et saisissez les valeurs de uid/userPassword pour vous connecter à Talend Administration Center.
    • Vérifiez que les rôles et le type de projet ont été affectés à l'utilisateur de l'application web.

Résultats

Une fois que votre application et vos utilisateurs sont définis dans SiteMinder et LDAP, vous devez lier ce Fournisseur d'identité à Talend Administration Center afin de récupérer les informations utilisateurs que vous avez définies.

Notez que le SSO est uniquement disponible pour Talend Administration Center, mais que les informations liées aux utilisateurs peuvent être centralisées dans SiteMinder : Talend Administration Center vous permet de gérer les rôles et les types de projets des utilisateurs de vos applications, notamment ceux des utilisateurs de Talend Administration Center, Talend Data Preparation et Talend Data Stewardship, en dehors de Talend Administration Center depuis le Fournisseur d'identité.

Pour des informations plus détaillées, consultez l'article à propos de la configuration de SiteMinder sur Talend Help Center .