Procédure
- Connectez-vous à Talend Administration Center.
- Depuis la page Configuration, développez le nœud SSO.
- Si le SSO n'a pas été précédemment activé, sélectionnez true dans le champ Use SSO Login.
- Cliquez sur Launch Upload dans le champ IDP metadata et chargez le fichier de métadonnées de l'IdP (fournisseur d'identité) que vous avez téléchargé précédemment depuis le Fournisseur d'identité (IdP).
-
Dans le champ Service Provider Entity ID saisissez
l'identifiant de l'Entité de votre Fournisseur de service (disponible dans la
configuration du Fournisseur d'identité).
Par exemple, http://localhost:8080/org.talend.administrator/ssologin pour Okta ou <Connection ID> pour PingFederate.
-
Cliquez sur Launch Upload dans le champ IDP
Authentication Plugin et chargez le fichier de métadonnées du
fournisseur d'identité, précédemment téléchargé depuis le système Identity
Provider.
Les fichiers Jar fournis par Talend se trouvent dans le répertoire <TomcatPath>/webapps/org.talend.administrator/idp/plugins.
Le champ Identity Provider System change automatiquement selon votre système fournisseur d'identité.
-
Cliquez sur Identity Provider Configuration et
renseignez les informations requises.
Exemple 1 : PingFederate
- PingFederate SSO URL: https://win-350n8gtg2af:9031/idp/ startSSO.ping?PartnerSpld=TAC651
- Basic Adapter Instance ID: BasicAdapter
Exemple 2 : Okta- Okta Organization URL: https://dev-515956.oktapreview.com
- Okta Embedded Url: https://dev-515956.oktapreview.com/home/ talenddev515956_talendadministrationcenter_1/0oacvlcac5j52hFhP0h7/ alncvlmpk1VXbYAGu0h7
-
Configurez le champ Use Role Mapping à
true pour mapper les types de projet et rôles
utilisateur des applications à ceux définis dans le système fournisseur
d'identité.
Une fois les rôles et types de projet définis côté fournisseur d'identité, vous ne pourrez pas les modifier depuis Talend Administration Center.
-
Cliquez sur Mapping Configuration et renseignez les
champs des types de rôles/projets avec les attributs SAML correspondants
précédemment configurés dans le système fournisseur d'identité.
Exemples de types de projets :
- MDM = MDM
- DI = DI
- DM = DM
- NPA = NPA
Exemples de rôles :
-
Rôles Talend Administration Center
- Administrator = tac_admin
- Operation Manager = tac_om
Configurer les rôles dans Talend Administration Center est obligatoire.
-
Rôles Talend Data Preparation
- Administrator = dp_admin
- Data Preparator = dp_dp
-
Rôles Talend Data Stewardship
- Data Steward = tds_ds
Les types de rôles et projets configurés dans le fournisseur d'identité écrasent les rôles configurés dans Talend Administration Center.
Les types de rôles et projets configurés dans le fournisseur d'identité écrasent les rôles configurés dans Talend Administration Center lors de la connexion de l'utilisateur.
Si votre entreprise n'accepte pas les attributs personnalisés dans le jeton SAML, vous pouvez :
-
sélectionner Show Advanced Configuration dans
l'assistant et, dans le champ Path to Value,
saisir l'expression XPath pour cibler la valeur SAML et mapper l'objet
Talend Administration Center
correspondant (Project Types,
Roles, Email,
First Name, Last
Name).
Exemple : /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()
-
configurer Use Role Mapping à
false.
Dans ce cas, vous ne pouvez créer manuellement les utilisateurs, mais le type d'utilisateur et ses rôles peuvent être modifiés plus tard dans Talend Administration Center.
Lorsque les utilisateurs se connectent pour la première fois, leur type est No Project Access.
Le délai avant suspension de la connexion est configuré à 120 secondes par défaut. Vous pouvez modifier cette valeur en ajoutant le paramètre sso.config.clientLoginTimeout avec la durée voulue dans le fichier <ApplicationPath>/WEB-INF/classes/configuration.properties.