Configuration du SSO de Talend Administration Center depuis SiteMinder

author
Talend Documentation Team
EnrichVersion
6.4
6.3
EnrichProdName
Talend Real-Time Big Data Platform
Talend Data Services Platform
Talend Data Management Platform
Talend Big Data
Talend Cloud
Talend MDM Platform
Talend ESB
Talend Data Fabric
Talend Data Integration
Talend Big Data Platform
task
Administration et monitoring > Gestion des autorisations
EnrichPlatform
Talend Administration Center

Vue d'ensemble de la configuration du SSO de Talend Administration Center depuis CA SiteMinder

Cet article explique comment configurer CA SiteMinder pour implémenter l'authentification unique (SSO) avec Talend Administration Center.

CA SiteMinder Partnership Federation est utilisé pour créer un fournisseur d'identité (IdP) SAML 2.0, pour générer des assertions pour les utilisateurs.

Ces assertions sont renvoyées à Talend Administration Center, où les configurations et rôles des utilisateurs sont assignés en fonction de la configuration de SiteMinder.
  1. Le processus SSO est initialisé par un lien codé en dur (par exemple http://host*/affwebservices/public/saml2sso?SPID=<SPEntityName>).
  2. Ce lien redirige vers la page d'authentification.
  3. Si aucune session utilisateur n'existe, l'utilisateur est redirigé vers la page de connexion.
  4. Lorsque l'utilisateur saisit des identifiants valides, il y a une redirection vers le service d'assertion (par exemple http://host1/affwebservices/public/saml2sso) et les assertions sont générées.
  5. Les assertions sont formatées pour une réponse SAML 2.0 dans un formulaire auto-soumis.
  6. Talend Administration Center obtient une réponse SAML lorsque le formulaire est soumis.
  7. Talend Administration Center récupère les attributs dans la réponse SAML 2.0, met à jour les attributs utilisateurs et traite le mapping des rôles.
  8. L'utilisateur peut se connecter ensuite à Talend Administration Center.
1 est le nom d'hôte ou l'adresse IP du serveur dans lequel Web Agent a été installé.

Création du répertoire utilisateur dans CA SiteMinder

Le fournisseur d'identité de SiteMinder ne supporte pas les attributs à valeurs multiples. Les valeurs des rôles utilisateurs doivent être séparées par ",".

Procédure

  1. Allez dans Infrastructure > Directory > User Directories.
  2. Dans la zone des résultats de la recherche, cliquez sur Create User Directory.
  3. Définissez la configuration du répertoire utilisateur.
  4. Cliquez sur Submit.

Résultats

Protection de l'URL d'authentication

Procédure

  1. Créez la configuration d'agent en suivant les étapes décrites dans la section Agent Configuration Methods (en anglais) de la documentation de SiteMinder.
  2. Activez la création de sessions en suivant les étapes décrites dans Protect the Authentication URL to Establish a Session (en anglais).
  3. Sélectionnez le répertoire utilisateur créé dans Create User Directory.
  4. Sélectionnez Basic comme Authentication Scheme (par défaut).
  5. Assurez-vous que la case Persistent Session est décochée.

Création du certificat de signature

Procédure

  1. Connectez-vous à Administrative UI.
  2. Allez à Infrastructure > X509 Certificate Management > Trusted Certificates and Private Keys.
  3. Cliquez sur Import New, puis suivez les étapes de l'assistant.
    Si vous n'avez pas de paire clé/certificat, vous pouvez générer un certificat auto-signé en cliquant sur Request Certificate.

Création d'une entité locale du fournisseur d'identité

Procédure

  1. Allez à Federation > Partnership Federation > Entities.
  2. Cliquez sur Create Identity.
  3. Dans la zone Entity Type, sélectionnez les propriétés suivantes :
    • Entity Location - Local
    • New Entity Type - SAML2 IDP
  4. Cliquez sur Next.
  5. Définissez les propriétés suivantes pour l'entité locale du fournisseur d'identité :
    • Entity ID - samlIdp
    • Entity Name - samlIdp
    • Base URL - http://<identityProviderIPOrHost>:<port> (adresse IP du serveur sur lequel SiteMinder est installé).
  6. Dans la zone Default Signature and Encryption Options, sélectionnez la signature Private Key Alias créée précédemment.
  7. Dans la zone Supported Name ID Formats and Attributes, cochez les cases Unspecified et Email Address.
  8. Cliquez sur Next pour confirmer et finaliser la création de l'entité.

Création d'une entité distante de fournisseur de services

Procédure

  1. Allez à Federation > Partnership Federation > Entities.
  2. Cliquez sur Create Entity.
  3. Dans la zone Entity Type, définissez les propriétés suivantes :
    • Entity Location - Remote
    • New Entity Type - SAML2 SP
  4. Cliquez sur Next.
  5. Définissez les propriétés suivantes pour l'entité distante de fournisseur de services :
    • Entity ID - TACServiceProvider
    • Entity Name - TACServiceProvider
  6. Dans la zone Remote Assertion Consumer Service URLs, définissez les propriétés suivantes :
    • Binding - HTTP-POST
    • URL - http://<TAC Host Url/IP>:<port>/<TAC>/ssologin (chemin d'accès vers la Servlet du SSO de Talend Administration Center qui authentifie les utilisateurs).
  7. Dans la zone Supported Name ID Formates and Attributes, cochez les cases Unspecified et Email Address.

Résultats

Création du partenariat entre le fournisseur d'identité et le fournisseur de services

Cette procédure implique plusieurs étapes dans SiteMinder. Pour en faciliter l'utilisation, chaque étape est nommée Numéro de l'étape - Nom de l'étape.

Procédure

  1. Allez à Federation > Partnership Federation > Partnerships.
  2. Cliquez sur Create Partnership ("SAML2 IDP → SP").

Étape 1 - Configure partnership

Procédure

  1. Définissez les propriétés suivantes :
    • Partnership Name - <PartnershipName>
    • Local IDP - <SMIdPName> (fournisseur d'identité local créé précédemment)
    • Remote SP - <TACSPName> (fournisseur d'identité distant créé précédemment)
  2. Changez le statut du répertoire utilisateur créé de Available Directories à Selected Directories.
  3. Cliquez sur Next.

Étape 2 - Federation Users

Procédure

  1. Assurez-vous que la valeur de User Class est All Users In Directory.
  2. Cliquez sur Next.

Étape 3 - Assertion Configuration

Procédure

  1. Dans la zone Name ID, définissez les propriétés suivantes :
    • Name ID format - *Email Address (format utilisé par le fournisseur d'identité pour envoyer l'information au fournisseur de services)
    • Name ID Type - User Attribute (valeur de l'attribut utilisateur)
    • Value - <valeur> (définit l'attribut de valeur, selon la configuration du répertoire utilisateur)
  2. Dans la zone Assertion Attributes, mappez les champs du fournisseur d'identité (SAMLResponse) à ceux du fournisseur de services :
    • Assertion attribute - tac.role
      • Retrieval Method - SSO
      • Format - Basic
      • Type - User Attribute
      • Value - tacRole
    • Assertion attribute - tac.projectType
      • Retrieval Method - SSO
      • Format - Basic
      • Type - User Attribute
      • Value - projectType

Résultats

Étape 4 - SSO and SLO

Procédure

  1. Dans la zone Authentication, définissez les propriétés suivantes :
    • Authentication Mode - Local
    • Authentication URL - http://<WAHostIP>/affwebservices/redirectjsp/redirect.jsp (URL vers la page redirect.jsp du service Web AFF)
    • Configure AuthnContext - Utilisez la classe d'authentification prédéfinie
    • Authentication Class - urn:oasis:names:tc:SAML:2.0:classes:Password (URL de la classe de contextes d'authentification)
  2. Dans la zone SSO, définissez les propriétés suivantes :
    • Authentication Request Binding - HTTP-Redirect
    • SSO Binding - HTTP-POST
    • Transaction Allowed - Fournisseur d'identité et fournisseur de services initialisés
  3. Dans la zone Remote Assertion Consumer Service URLs, définissez les propriétés suivantes :
    • Index - 0
    • Binding - HTTP-POST
    • URL - http://<TACHost>:<port>/<TACApp>/ssologin (ces valeurs sont les mêmes que celles définies dans la configuration de l'entité du fournisseur de services).

Résultats

Étape 5 - Signature and Encryption

Procédure

Cliquez sur Next (conservez toutes les valeurs par défaut).

Étape 6 - Confirm

Procédure

Vérifiez tous les paramètres et cliquez sur Next.

Activation du partenariat entre le fournisseur d'identité et le fournisseur de services

Procédure

  1. Dans la colonne Actions, cliquez sur Action dans la ligne correspondant au partenariat.
  2. Cliquez sur Activate.

Test de la connexion à Talend Administration Center via le SSO

Procédure

  1. Créez un utilisateur sur votre serveur LDAP.
  2. Définissez les rôles à référencer dans Talend Administration Center (par exemple tac_admin pour administrators dans Talend Administration Center, dp_dm pour dataset managers dans Talend Data Preparation) et le type de projet (soit DI (Data Integration), DQ (Data Quality), MDM (Master Data Management) ou NPA (No Project Access)).
  3. Sélectionnez l'utilisateur.
  4. Double-cliquez sur l'attribut userPassword.
  5. Dans le champ Verify Password de la fenêtre Password Editor, saisissez le mot de passe utilisateur.
  6. Cliquez sur Bind : une fenêtre s'affiche pour confirmer le succès de l'authentification.
  7. Dans votre navigateur, ouvrez http://host1/affwebservices/public/saml2sso?SPID=<SPEntityName>.
  8. Lorsque s'affiche la fenêtre de connexion, saisissez l'identifiant et le mot de passe utilisateur.
  9. Cliquez sur Sign In. Vous êtes connecté à Talend Administration Center.
  10. Vérifiez que les attributs et rôles utilisateurs sont configurés comme attendu.

Résultats

Vous pouvez vous connecter à Talend Administration Center en utilisant les paramètres du SSO configurés avec SiteMinder.

1 est le nom d'hôte ou l'adresse IP du serveur sur lequel Web Agent a été installé.

Test de la configuration du SSO dans SiteMinder

Vous pouvez tester le SSO configuré dans SiteMinder en vous connectant au Studio Talend / à Talend Data Preparation / à Talend Data Stewardship.

Procédure

  1. Dans la page SSO de Talend Administration Center, définissez les propriétés suivantes :
    • Service Provider Entity ID - <SP_Entity_ID>
    • Identity Provider System - SiteMinder
    • SiteMinder SSO Service URL http://<host>/affwebservices/public/saml2sso?SPID=<SPEntityID>
  2. Pour chaque application, assurez-vous que les valeurs de champ des rôles correspondent à celles configurées dans votre LDAP.

Résultats

Vous pouvez vous connecter au Studio Talend / à Talend Data Preparation / à Talend Data Stewardship via la configuration du SSO.