Configuration des applications
Les applications proxy Maverics déterminent les systèmes d’accès à utiliser pour authentifier les utilisateurs ou fournir des attributs, étendent ces systèmes d’accès en gérant les sessions ou en évaluant et en appliquant les politiques. Elles permettent également d’associer les attributs aux en-têtes dont les applications existantes sur site ou en nuage ont besoin pour les autorisations d’accès.
Maverics prend en charge plusieurs types d’applications, notamment les applications basées sur les en-têtes, les applications OIDC, les applications SAML et le code JSON personnalisé.
Après avoir créé votre application, vous pouvez ensuite créer un flux utilisateur pour connecter votre tissu d’identité à l’application.
Applications proxy
Pour créer une application proxy, cliquez sur Applications dans la barre latérale et sélectionnez Proxied app dans la section App Store. Vous devrez configurer les éléments suivants :
- Name : le nom convivial de votre application.
- App icon : permet de télécharger une image pour votre application à afficher dans Maverics. Maverics prend en charge les formats JPEG, PNG ou SVG, jusqu’à 2 Mo maximum.
- Upstream URL : l’URL permettant de déterminer où envoyer le trafic après avoir accompli son travail, comme l’évaluation des politiques ou l’envoi des utilisateurs à un fournisseur pour l’authentification.
- Route Patterns : la liste des motifs qui seront utilisés pour faire correspondre une demande à l’application appropriée. Vous pouvez utiliser un nom d’hôte, un chemin d’accès ou une combinaison des deux.
- CA Path (facultatif) : le chemin d’accès à votre autorité de certification lorsque vous utilisez des certificats auto-signés.
- Skip TLS Certification : par défaut, la certification TLS est requise. Lorsque cette option est activée, le client HTTP ne valide pas la chaîne de certificats et le nom d’hôte du serveur. Cette option doit toujours être utilisée avec la plus grande prudence.
- Unauthorized Page (facultatif) : l’URL vers laquelle vos utilisateurs sont redirigés lorsqu’une évaluation de la politique empêche l’accès à l’application (example.com/unauthorized, example.com/403).
- Preserve Host : permet de déterminer si l’en-tête hôte doit être conservé dans les requêtes sortantes. Par défaut, l’orchestrateur définit l’en-tête pour qu’il corresponde à l’hôte en amont. Ce champ est souvent utilisé lorsque l’orchestrateur transfère le trafic vers un autre proxy inverse tel qu’Apache.
- Logout
- Logout Callback URL : le terminal qui sera exposé pour faciliter la déconnexion des utilisateurs de l’application (https://app.sonarsystems.com/logout).
- Post Logout Redirect URL : adresse vers laquelle l’utilisateur sera redirigé après une déconnexion réussie (https://app.sonarsystems.com).
Cliquez sur Create pour enregistrer la configuration. Après avoir créé la configuration de l’application proxy, vous pouvez cliquer sur cette dernière dans la liste Applications et définir les ressources.
Les ressources correspondent à des emplacements de votre application que vous pouvez mapper dans vos flux utilisateurs lors de la définition des politiques d’accès et des en-têtes. Les exemples incluent un chemin d’accès à une ressource comme / ou /example. Vous pouvez également spécifier des expressions rationelles. Pour appliquer la correspondance d’expression rationnelle au chemin de la ressource, ajoutez « ~ » (notez l’espace) à l’avant de l’emplacement de la ressource.
Applications OIDC
Pour créer une application OIDC, cliquez sur Applications dans la barre latérale et sélectionnez OIDC-based app dans la section App Store. Vous devrez configurer les éléments suivants :
- Name : le nom convivial de votre application.
- App icon : permet de télécharger une image pour votre application à afficher dans Maverics. Maverics prend en charge les formats JPEG, PNG ou SVG, jusqu’à 2 Mo maximum.
- Client ID : l’identifiant du client dont les clients OIDC auront besoin pour se connecter.
- Client Secret : le secret du client dont les clients de OIDC auront besoin pour se connecter.
- Redirect URL : la liste des URL à rediriger vers vos clients.
- Access Token Settings : cette section permet de définir la configuration du jeton d’accès OAuth.
- Type : le type peut être défini sur jwt (par défaut) ou opaque.
- Length : si le type est défini comme étant opaque, la longueur peut être comprise entre 22 et 256 caractères. Si jwt est défini, la longueur par défaut est de 28 caractères.
- Lifetime Seconds : par défaut, les jetons d’accès disposent d’une durée de vie d’une heure. Vous pouvez configurer la durée de vie du jeton d’accès de chaque client, en définissant la balise lifetimeSeconds sous la section accessToken, sur une valeur valide en secondes (nombre entier).
- Réglages du jeton d’actualisation
- Allow Offline Access : permet de définir si un client a la possibilité de demander des jetons d’actualisation.
- Length : la longueur peut être fixée entre 22 et 256 caractères pour définir la longueur d’un jeton d’actualisation.
Cliquez sur Create pour enregistrer la configuration.
Applications SAML
Pour créer une application SAML, cliquez sur Applications dans la barre latérale et sélectionnez SAML-based app dans la section App Store. Vous devrez configurer les éléments suivants :
- Name : le nom convivial de votre application.
- App icon : permet de télécharger une image pour votre application à afficher dans Maverics. Maverics prend en charge les formats JPEG, PNG ou SVG, jusqu’à 2 Mo maximum.
- Audience : indique le client. Il doit correspondre au champ « Issuer » (Émetteur) fourni par le fournisseur de services.
- Consumer Service URL : correspond à l’URL vers laquelle les réponses SAML sont envoyées.
- Duration : correspond à la durée en secondes pendant laquelle les réponses de ce serveur sont valides.
- NameID Format (facultatif) : définit le format NameID utilisé pour les assertions SAML. Si le format n’est pas défini, une valeur de
urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified
sera appliquée. - Certificate File : permet de télécharger un fichier de certificat pour vérifier les signatures des demandes entrantes. Formats pris en charge : PEM, KEY.
- Connexion initiée par le fournisseur d’identité :
- Login URL : correspond au terminal consulté par l’utilisateur à partir de son navigateur pour initier le flux de connexion au fournisseur d’identité (https://maverics.sonarsystems.com/login-sonar).
- Relay State URL : correspond au terminal transmis au fournisseur de services qui servira de page d’accueil à l’utilisateur à l’issue du flux d’authentification (https://app.sonarsystems.com/index.html).
Cliquez sur Create pour enregistrer la configuration.
API
La configuration de l’API peut être utilisée pour exposer des terminaux HTTP personnalisés sur le serveur de l’orchestrateur. Ces terminaux HTTP peuvent servir des pages HTML personnalisées ou faciliter des flux d’identité variés. Les extensions d’API peuvent également être utilisées pour d’autres tâches telles que l’exécution d’un script personnalisé. Pour plus d’informations sur la création d’extensions de services API, reportez-vous à notre documentation sur les extensions de services.
La configuration initiale d’une application API ne nécessite qu’un nom d’application et une icône. La fonction Serve est automatiquement renseignée dans la configuration et permet de définir une extension de services API personnalisée. Cliquez sur Create pour enregistrer cette configuration.
Après avoir créé la configuration de l’application API, cliquez sur le nom de l’application dans la liste Applications. Sur la page API configuration, vous pouvez consulter les sections supplémentaires suivantes :
Metadata représente un ensemble varié de paires clé-valeur qui peut être mis à la disposition de cette extension de services.
Assets permet de télécharger des actifs à utiliser dans votre extension de services. Vous pouvez les référencer dans votre extension de service. Les actifs seront déployés avec le flux utilisateur.