Configuration et déploiement des flux utilisateurs
Les flux utilisateurs définissent les détails de la politique d’une application. Cette rubrique vous guide à travers les quatre étapes principales de la création d’un flux utilisateur.
- Sélectionnez une application que vous avez déjà configurée.
- Définissez les détails de la politique (les champs dépendent du type d’application).
- Sélectionnez l’environnement du flux utilisateur.
- Prévisualisez vos modifications et déployez le flux utilisateur.
Avant de créer un flux utilisateur, vous devez avoir configuré au moins un environnement, un fournisseur d’authentification et une application.
Créer ou modifier un flux utilisateur
Dans le tableau de bord, cliquez sur Create user flow. Vous pouvez également cliquer sur User Flows dans la barre latérale, puis sur New. Saisissez un nom à donner au flux utilisateur et sélectionnez l’application à utiliser. Cliquez sur Create.
Pour modifier un flux utilisateur existant, cliquez sur User Flows dans la barre latérale et cliquez sur le nom du flux utilisateur que vous souhaitez modifier.
Les champs disponibles sur la page suivante dépendent du type d’application défini.
Applications proxy
Le nom du flux utilisateur apparaît en haut de l’écran et peut être modifié. L’application apparaît sous le nom. Vous pouvez cliquer sur l’application pour modifier sa configuration, mais vous ne pouvez pas modifier l’application liée au flux utilisateur.
- Dans la section Attribute Providers, utilisez le menu Settings pour sélectionner un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre attribut. Répétez ce processus pour ajouter plusieurs attributs.
- (Facultatif) Sous Service Extensions, sélectionnez une extension de services à utiliser avec le fournisseur d’attributs. Cliquez sur Add pour sélectionner plusieurs extensions de services.
- Sous Access Control Policies, vous pouvez sélectionner une ressource que vous avez définie dans la configuration de l’application pour appliquer des contrôles d’accès précis et transmettre des informations sur l’utilisateur par le biais d’en-têtes HTTP. Cliquez sur Add pour définir le contrôle d’accès.
- Sur la page Access Control, sélectionnez un fournisseur d’authentification et la politique d’accès que vous souhaitez utiliser.
- Authentification : par défaut, les utilisateurs se voient refuser l’accès à la ressource à moins qu’ils ne soient authentifiés. Vous pouvez sélectionner Allow unauthenticated users sous Authentication si vous souhaitez autoriser l’accès aux utilisateurs non authentifiés.
- Autorisation : par défaut, les utilisateurs se voient refuser l’accès à la ressource à moins qu’un accès ne leur soit accordé via une règle d’autorisation.
- Vous pouvez sélectionner Allow all access si vous souhaitez autoriser l’accès de tous les utilisateurs sans règle d’autorisation.
- Si vous souhaitez que cette option reste désactivée, vous pouvez appliquer un contrôle d’accès et une autorisation à granularité fine en sélectionnant Use rules to define access (Utiliser des règles pour définir l’accès) et en utilisant le générateur de règles booléennes qui s’affiche à l’écran.
- Le générateur de règles vous permet d’ajouter des règles et des conditions par fournisseur. Par ailleurs, vous pouvez ajouter une règle ou une condition pour restreindre l’accès en fonction de la méthode de requête HTTP. Vous pouvez spécifier la méthode de requête HTTP et créer des règles d’accès différentes pour la lecture d’une ressource (en utilisant GET) et pour sa modification (en utilisant POST ou PUT).
- Vous pouvez également sélectionner une extension de services si vous avez déjà configuré des extensions de services d’autorisation.
- Extension de services Policy Decision Lifetime : permet de définir la durée pendant laquelle les politiques sont réévaluées par les extensions de services. Si votre flux utilisateur n’utilise pas d’extension de services pour les attributs d’autorisation ou de chargement, vous pouvez ignorer cette option.
- Cached for the duration of the session : la décision de politique sera mise en cache pour la durée de vie de la session. Pour plus d’informations, reportez-vous à la section Durée de vie maximale.
- Specify a duration : définissez la durée de la réévaluation de la politique en secondes, minutes ou heures. La décision de politique sera mise en cache pour la durée spécifiée ou jusqu’à la fin de la session.
- Continuous re-evaluation : la décision de politique ne sera pas mise en cache et chaque demande sera évaluée.
- Définissez les en-têtes dans la section Headers en saisissant le nom de l’en-tête, de l’attribut et en sélectionnant le fournisseur. Cliquez sur Add pour enregistrer l’en-tête et répétez l’opération pour ajouter plusieurs en-têtes.
- Si vous avez configuré une extension de services Header Creation, vous pouvez la sélectionner sous Service Extensions. Cliquez sur Add pour enregistrer l’extension de service et répétez l’opération pour ajouter plusieurs extensions de services.
- Sur la page Access Control, sélectionnez un fournisseur d’authentification et la politique d’accès que vous souhaitez utiliser.
- La section Headers vous permet de définir des politiques générales pour l’application. Définissez les en-têtes dans la section Headers en entrant le nom de l’en-tête, en sélectionnant le fournisseur et en entrant l’attribut. Cliquez sur Add pour enregistrer l’en-tête et répétez l’opération pour ajouter plusieurs en-têtes.
- Si vous avez configuré des extensions de services, vous pouvez les sélectionner sous Service Extensions. Cliquez sur Add pour enregistrer l’extension de service et répétez l’opération pour ajouter plusieurs extensions de services.
- Pour enregistrer le flux utilisateur complet, cliquez sur Deploy… en haut de la page.
- La fenêtre modale Choose revision and environment (Choisir la révision et l’environnement) apparaît. Le champ Revision indique le dernier numéro. Sélectionnez un environnement à déployer et cliquez sur Preview.
- Dans l’écran Deployment Preview, vous pouvez consulter l’historique des révisions et comparer le flux utilisateur actuel avec le nouveau flux utilisateur (si vous modifiez un flux utilisateur existant).
- Cliquez sur Deploy en haut de l’écran pour déployer la dernière révision de votre environnement sélectionné.
Applications SAML
Le nom du flux utilisateur apparaît en haut de l’écran et peut être modifié. L’application apparaît sous le nom. Vous pouvez cliquer sur l’application pour modifier sa configuration, mais vous ne pouvez pas modifier l’application liée au flux utilisateur. Cependant, il est possible d’ajouter d’autres applications SAML configurées au flux utilisateur.
- Sous Authentication Provider, sélectionnez un fournisseur d’identité que vous avez configuré.
- Dans la section Attribute Providers, sélectionnez un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre attribut. Répétez ce processus pour ajouter plusieurs attributs.
- La section Authorization vous permet de définir votre politique d’accès. Par défaut, l’accès des utilisateurs est autorisé à moins que celui-ci ne leur soit accordé par le biais d’une règle d’autorisation.
- Allow all access est sélectionné par défaut et accorde l’accès à tous les utilisateurs sans règle d’autorisation.
- Sélectionnez Use rules to define access pour appliquer un contrôle d’accès et une autorisation à granularité fine. Le générateur de règles booléennes apparaît après avoir sélectionné cette option et vous permet d’ajouter des règles et des conditions par fournisseur.
- Vous pouvez également sélectionner une extension de services si vous avez déjà configuré des extensions de services d’autorisation.
- La section Claims vous permet d’ajouter des réclamations supplémentaires à cet utilisateur. Cela permet de faire correspondre les réclamations aux attributs de session fournis par le(s) fournisseur(s) d’identité et tout fournisseur d’attributs éventuellement défini.
- Utilisez la section SAML Attributes pour sélectionner un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre réclamation. Répétez ce processus pour ajouter plusieurs réclamations.
- Sous NameID mapping, vous avez la possibilité de définir des mappages NameID personnalisés dans les réponses SAML. Sélectionnez un fournisseur et saisissez l’attribut correspondant. Cliquez sur Add pour enregistrer le mappage.
- Si vous avez configuré les extensions de services Build Claims ou Build Relay State, vous pouvez les sélectionner sous Service Extensions.
- Pour enregistrer le flux utilisateur complet, cliquez sur Deploy… en haut de la page.
- La fenêtre modale Choose revision and environment (Choisir la révision et l’environnement) apparaît. Le champ Revision indique le dernier numéro. Sélectionnez un environnement à déployer et cliquez sur Preview.
- Dans l’écran Deployment Preview, vous pouvez consulter l’historique des révisions et comparer le flux utilisateur actuel avec le nouveau flux utilisateur (si vous modifiez un flux utilisateur existant).
- Cliquez sur Deploy en haut de l’écran pour déployer la dernière révision de votre environnement sélectionné.
Applications OIDC
Le nom du flux utilisateur apparaît en haut de l’écran et peut être modifié. L’application apparaît sous le nom. Vous pouvez cliquer sur l’application pour modifier sa configuration, mais vous ne pouvez pas modifier l’application liée au flux utilisateur. Cependant, il est possible d’ajouter d’autres applications OIDC configurées au flux utilisateur.
- Sous Authentication Provider, sélectionnez un fournisseur d’identité que vous avez configuré.
- Dans la section Attribute Providers, sélectionnez un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre attribut. Répétez ce processus pour ajouter plusieurs attributs.
- La section Claims vous permet d’ajouter des réclamations supplémentaires à cet utilisateur. Cela permet de faire correspondre les réclamations aux attributs de session fournis par le(s) fournisseur(s) d’identité et tout fournisseur d’attributs éventuellement défini.
- Utilisez la section OIDC Claims Mapping pour sélectionner un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre réclamation. Répétez ce processus pour ajouter plusieurs réclamations.
- Si vous avez configuré une extension de services Access Token ou ID Token, vous pouvez la sélectionner sous Service Extensions. Cliquez sur Add pour enregistrer.
- Pour enregistrer le flux utilisateur complet, cliquez sur Deploy… en haut de la page.
- La fenêtre modale Choose revision and environment (Choisir la révision et l’environnement) apparaît. Le champ Revision indique le dernier numéro. Sélectionnez un environnement à déployer et cliquez sur Preview.
- Dans l’écran Deployment Preview, vous pouvez consulter l’historique des révisions et comparer le flux utilisateur actuel avec le nouveau flux utilisateur (si vous modifiez un flux utilisateur existant).
- Cliquez sur Deploy en haut de l’écran pour déployer la dernière révision de votre environnement sélectionné.
API
- Aucune configuration supplémentaire n’est nécessaire pour les applications API. Sur la page de configuration du flux utilisateur, cliquez sur Deploy… en haut de la page.
- La fenêtre modale Choose revision and environment (Choisir la révision et l’environnement) apparaît. Le champ Revision indique le dernier numéro. Sélectionnez un environnement à déployer et cliquez sur Preview.
- Dans l’écran Deployment Preview, vous pouvez consulter l’historique des révisions et comparer le flux utilisateur actuel avec le nouveau flux utilisateur (si vous modifiez un flux utilisateur existant).
- Cliquez sur Deploy en haut de l’écran pour déployer la dernière révision de votre environnement sélectionné.
Ressources de l’orchestrateur
Pour plus d’informations sur la configuration des environnements, nous vous recommandons de consulter les rubriques de référence suivantes concernant l’orchestrateur :