Configuration du SSO de Talend Administration Center avec AD FS 3.0 - 7.0

author
Talend Documentation Team
EnrichVersion
7.0
EnrichProdName
Talend Big Data
Talend Big Data Platform
Talend Cloud
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
task
Administration et monitoring > Gestion des autorisations
EnrichPlatform
Talend Administration Center

Vue d'ensemble de AD FS 3.0

Configurez les services Active Directory Federation Services (AD FS) 3.0 sur Windows Server 2012 R2 pour activer la gestion sécurisée d'identités et l'accès via SSO (Single Sign-On) à Talend Administration Center.

AD FS permet un partage d'identité décentralisé entre des partenaires métier, en implémentant le protocole WS-Federation et des standards tels ques WS-Trust et Security Assertion Markup Language (SAML). AD FS est utilisé pour générer des assertions pour les utilisateurs. Ces assertions sont renvoyées dans Talend Administration Center, où les paramètres et les rôles utilisateurs sont assignés en se basant sur la configuration de AD FS.

Pour plus d'informations concernant les besoins système et pour savoir comment prendre en main AD FS, consultez la documentation AD FS (en anglais).

Installer AD FS 3.0

es services Active Directory Federation Services (AD FS) 3.0 s'exécutent sous Windows Server 2012 R2.

Avant de commencer

Talend Administration Centerdoit être configuré avec le protocole HTTPS. Pour plus d'informations, consultez How to configure a bidirectional secure connection between Talend Studio and Talend Administration Center (en anglais).

Procédure

  1. Ouvrez Server Manager.
  2. Cliquez sur Manage > Add Roles and Features.
  3. Dans la fenêtre Add Roles and Feature Wizard, configurez l'installation selon vos besoins.
  4. Installez Active Directory Federation Services.

Configurer AD FS 3.0

Procédure

  1. Dans Server Manager, cliquez sur Tools > AD FS Management.
  2. Cliquez-droit sur Trust Relationships > Relying Party Trusts et sélectionnez Add Relying Party Trust....
  3. Cliquez sur Start.
  4. Sélectionnez Enter data about the relying party manually, puis cliquez sur Next.
  5. Saisissez un nom et cliquez sur Next.
  6. Sélectionnez AD FS profile et cliquez sur Next.
  7. Cliquez sur Next.
  8. Dans la page Configure URL, cochez la case Enable support for the SAML 2.0 WebSSO protocol.
  9. Saisissez l'URL du service SSO dans le champ Relying party SAML 2.0 SSO Service URL.
    Par exemple, https://localhost:8080/org.talend.administrator/ssologin.
  10. Dans la page Configure Identifiers, saisissez la même URL de service comme dans l'étape 9, puis cliquez sur Add et sur Next.
  11. Choisissez de configurer les paramètres pour l'authentification multifacteur.
  12. Laissez sélectionnée l'option Permit all users to access this relying party et cliquez sur Next.

    Vous pourrez changer plus tard les règles d'autorisation.

  13. Cliquez sur Next, puis sur Close.

    Laissez cochée la case Open the Edit Claim Rules dialog for this relying party trust when the wizard closes.

Ajouter des règles de revendication

Procédure

  1. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  2. Définissez les attributs à envoyer à Talend Administration Center via une réponse SAML.
  3. Cliquez sur OK.

Configurer la règle de revendication des rôles personnalisés (exemple)

Procédure

  1. Dans l'assistant Add Transform Claim Rule Wizard, sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  2. Saisissez un nom pour la règle de revendication, par exemple, EmailAddress.
  3. Saisissez la configuration dans le champ Custom rule.
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => add(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);
  4. Cliquez sur Finish.
  5. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  6. Sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  7. Saisissez un nom pour la règle de revendication, par exemple NameId.
  8. Saisissez la configuration dans le champ Custom rule.
    c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Value = c.Value);
  9. Cliquez sur Finish.
  10. Dans la fenêtre Edit Claim Rules for..., cliquez sur Add Rule....
  11. Sélectionnez Send Claims Using a Custom Rule dans la liste déroulante, puis cliquez sur Next.
  12. Saisissez un nom pour la règle de revendication, par exemple, Attributes.
  13. Saisissez la configuration dans le champ Custom rule.
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("firstName", "lastName", "tac.projectType", "tac.role"), query = ";givenName,sn,displayName,department;{0}", param = c.Value);
  14. Cliquez sur Finish.

Exporter des métadonnées

Procédure

  1. Ouvrez AD FS Management.
  2. Dans le panneau de gauche, sélectionnez Service > Endpoints faites défiler la vue au centre vers le bas, jusqu'à la zone Metadata.
  3. Notez le chemin d'accès au fichier FederationMetadata.xml.
  4. Téléchargez le ficher de métadonnées depuis votre hôte AD FS, par exemple, https://<ADFShost>/FederationMetadata/2007-06/FederationMetadata.xml.

Lier Talend Administration Center à un fournisseur d'identité

Se connecter à Talend Administration Center via AD FS

Procédure

Une fois la configuration terminée, connectez-vous à Talend Administration Center via l'URL du SSO de AD FS.
https://<host>/adfs/ls/idpinitiatedsignon