Configuration des environnements

Configuration des environnements

Les environnements définissent des conteneurs de stockage dans le nuage où vous pouvez déployer la configuration du flux utilisateur et les orchestrateurs qui liront cette configuration pour vos applications. Créez des environnements (par exemple, dev, test, staging et production), configurez des conteneurs de stockage dans le nuage et affectez des orchestrateurs à ces environnements.

Modèle Maverics

Pour plus d’informations sur les variables d’environnement pouvant être utilisées dans la configuration, reportez-vous à la section Variables d’environnement.

ℹ️
Les environnements de production doivent s’assurer que les solutions de stockage partagé sont sécurisées. Veuillez consulter nos recommandations en matière de production pour les solutions de stockage partagé.

Création d’un nouvel environnement

Dans la barre latérale, cliquez sur Environnements, puis sur l’icône + à côté du type de stockage que vous souhaitez configurer. Si vous souhaitez créer un environnement d’évaluation, passez à la section Configuration de l’environnement d’évaluation.

L’environnement et l’orchestrateur prennent en charge l’application que vous configurez. Si vous comptez utiliser l’environnement avec une application SAML, vous devez inclure les détails du fournisseur SAML dans la configuration de l’environnement. Si vous utilisez l’environnement avec une application OIDC, vous devez inclure le fournisseur OIDC et, éventuellement, les détails du cache OIDC dans la configuration de votre environnement.

⚠️
Toute mise à jour de votre environnement nécessite un redémarrage manuel de votre orchestrateur pour actualiser les paramètres.

Les paramètres sont classés par section comme suit.

Paramètres généraux

  • Name : un nom convivial pour votre environnement. Pour les besoins de cet exemple, utilisons AWS-staging.
  • Description : description supplémentaire de l’environnement.
  • Production : cette case à cocher indique que l’environnement sera utilisé comme environnement de production.

Paramètres de l’orchestrateur

  • Réglages des cookies
    • Domain : (facultatif) ce champ définit les hôtes vers lesquels le cookie de session sera envoyé.
    • Name : un nom convivial pour le cookie.
    • Attribut HTTPOnly : (facultatif) ce champ active l’attribut de cookie HTTPOnly pour la session. S’il est désactivé, le cookie de session ne comportera pas l’attribut HttpOnly, ce qui permet d’accéder au cookie par le biais de scripts côté client
    • Secure Cookie Attribute : (facultatif) ce champ permet d’activer l’attribut Secure cookie. S’il est désactivé, le cookie de session ne comportera pas l’attribut Secure, ce qui permettra au navigateur d’envoyer le cookie par le biais d’une requête HTTP non cryptée.
  • Max Lifetime Seconds : (facultatif) ce champ représente le nombre maximal de secondes pouvant s’écouler après l’authentification avant que l’état d’authentification de la session ne soit invalidé.
  • Idle Timeout: (facultatif) ce champ représente le nombre de secondes pendant lesquelles une session peut rester inactive avant d’être interrompue. Si aucune valeur n’est définie ou si IdleTimeout est fixé à 0, le délai d’inactivité de la session est désactivé.
  • Cache Size: (facultatif) ce champ limite le nombre de sessions maintenues en mémoire. La valeur par défaut est fixée à 50 000 sessions.
  • Orchestrator URL : (requis) ce champ est obligatoire lors de la configuration de l’orchestrateur en tant que fournisseur OIDC ou SAML. L’URL de l’orchestrateur est utilisée pour définir des terminaux OIDC et SAML supplémentaires.
  • Logout Endpoint : ce champ facultatif indique le terminal que les clients peuvent utiliser pour déclencher la déconnexion de toutes les applications et de tous les fournisseurs d’identité. Maverics peut remplir automatiquement ce champ sur la base de l’URL de l’orchestrateur. Saisissez la valeur après l’URL de l’orchestrateur uniquement (par exemple, slo ou logout).
  • Post-Logout Redirect URL : ce champ facultatif représente l’URL vers laquelle le client doit être redirigé une fois le processus de déconnexion unique terminé. Maverics peut remplir automatiquement ce champ sur la base de l’URL de l’orchestrateur.
  • Telemetry : lorsque cette option est activée, les orchestrateurs envoient des données télémétriques à Maverics. Vous pouvez les consulter sur la page Orchestrator Telemetry (Télémétrie de l’orchestrateur). Après avoir démarré votre orchestrateur, cliquez sur Redeploy sur un flux utilisateur pour l’actualiser. Cette option est activée par défaut.

Registration Endpoint

Ce bouton permet d’activer le terminal d’enregistrement. Lorsque cette option est activée, vous pouvez utiliser le terminal de l’API Maverics pour automatiser l’enregistrement des applications et le déploiement des flux utilisateurs. Pour plus d’informations, reportez-vous à la section Utiliser l’API Maverics pour automatiser les déploiements.

Détails de configuration du conteneur

  • D’autres détails de configuration dépendent de l’environnement de stockage en nuage que vous avez sélectionné. Il s’agit généralement des noms des compartiments, des clés d’accès, des jetons et des chemins d’accès aux fichiers de configuration. Pour plus d’informations sur les détails de la configuration, reportez-vous à la section Meilleures pratiques.

Fournisseur SAML

Configurez les champs suivants si vous utilisez cet environnement pour un fournisseur SAML (à utiliser avec une application SAML).

  • Certificate : correspond au certificat x509 utilisé par les clients pour valider la signature des assertions SAML.
  • Private Key : correspond à la clé privée utilisée pour signer les assertions SAML.
  • Disable Signed Response : le fait de cocher cette case signifie que les réponses ne devront pas être signées.
  • Disable Signed Assertion : le fait de cocher cette case signifie que les assertions ne devront pas être signées.

Pour plus d’informations sur la configuration d’un fournisseur SAML, reportez-vous à la section Configurer une application SAML.

Fournisseur OIDC

Configurez les champs suivants si vous utilisez cet environnement pour un fournisseur OIDC (à utiliser avec une application OIDC).

  • Certificate : correspond au certificat x509 utilisé par les clients pour valider la signature des assertions OIDC.
  • Private Key : correspond à la clé privée utilisée pour signer les assertions OIDC.

Pour plus d’informations sur la configuration d’un fournisseur OIDC, reportez-vous à la section Configurer une application OIDC.

Cache OIDC

ℹ️
Le cache OIDC n’est généralement pas disponible. Pour demander l’accès au cache OIDC de votre compte, contactez [email protected].

Des caches externes peuvent être définis et utilisés avec l’orchestrateur pour permettre une haute disponibilité des fournisseurs ou des applications OIDC. Actuellement, le cache OIDC ne prend en charge que Redis 6.0 ou une version plus récente. Vous devrez configurer les éléments suivants :

  • Addresses : les adresses de votre serveur Redis.
  • Username and password : le nom d’utilisateur et le mot de passe doivent être générés via une liste de contrôle d’accès (ACL, Access Control List) dans Redis.
  • CA Path (facultatif) : le chemin d’accès à votre autorité de certification lorsque vous utilisez des certificats auto-signés.
  • Encryption Keys : liste des clés de chiffrement de 32 octets, de la plus ancienne à la plus récente. Les clés peuvent être créées avec OpenSSL (par exemple : openssl rand -hex 32).

Cliquez sur Create. Les détails de votre environnement apparaissent sur la page suivante.

Bonnes pratiques

Nous vous recommandons d’appliquer les bonnes pratiques suivantes lors de la configuration de votre environnement :

Page de détails de l’environnement

La page des détails de l’environnement s’affiche après la création de l’environnement. Vous pouvez également accéder à cette page en sélectionnant un environnement sur la page Environments.

La page contenant les détails est divisée en plusieurs catégories.

Orchestrateur ou version d’évaluation de l’orchestrateur

Téléchargez le programme d’installation correspondant à votre système d’exploitation et suivez la documentation pour l’installation et la configuration.

Un paquet d’évaluation est disponible dans cette section pour les environnements d’évaluation. Ce paquet contient tout ce dont vous avez besoin pour vous connecter à cet environnement, notamment des clés publiques et des fichiers de certificats, un fichier d’environnement et un orchestrateur. Après avoir téléchargé le fichier approprié à votre système d’exploitation, vous pouvez ensuite exécuter l’orchestrateur inclus dans le paquet.

Ressources

Dans cette section, vous pouvez télécharger la clé publique de votre environnement. Vous pouvez également télécharger le programme d’installation de Windows Client Authenticator.

Flux utilisateurs déployés

Ce tableau indique les flux utilisateurs qui ont été déployés dans cet environnement, y compris le numéro de révision et l’utilisateur. Cliquez sur Download configuration pour télécharger un paquet maverics.tar.gz de la configuration complète, incluant les extensions de services. Cliquez sur Redeploy pour actualiser tous les flux d’utilisateurs dans l’environnement.

Options OIDC

Les options OIDC apparaissent sur les environnements configurés pour être utilisés avec une application OIDC.

Pour plus d’informations sur la configuration d’un fournisseur OIDC, reportez-vous à la section Configurer une application OIDC.

Détails SAML

Les options SAML apparaissent sur les environnements configurés pour être utilisés avec une application SAML. Vous pouvez télécharger le certificat de signature SAML et les métadonnées SAML dans ces sections pour configurer un fournisseur de services SAML.

Pour plus d’informations sur la configuration d’un fournisseur SAML, reportez-vous à la section Configurer une application SAML.

Configuration de l’environnement d’évaluation

Lorsque vous créez un environnement d’évaluation pour les tests, il n’est pas nécessaire de procéder à une configuration supplémentaire de l’environnement. Les étapes suivantes se déroulent en arrière-plan :

  1. Un compartiment de stockage AWS sera créé.
  2. Les valeurs par défaut de l’URL de l’orchestrateur (https://localhost), de l’URL de déconnexion (/logout) et d’autres paramètres seront configurés automatiquement. Vous pouvez modifier ces paramètres en cliquant sur le bouton Edit en haut à droite.
  3. Un fichier maverics.tar.gz vide est ensuite ajouté au compartiment de stockage en nuage afin que l’orchestrateur démarre avec succès au cas où aucun flux utilisateur n’aurait été publié pour l’instant.
  4. Un paquet téléchargeable est créé avec un fichier maverics.env préconfiguré afin de se connecter à cet environnement.

Vous ne pouvez disposer que d’un seul environnement d’évaluation à la fois. Une fois que vous en avez créé un, l’option de création d’un autre environnement est supprimée de la barre latérale droite. Cet environnement est fourni à des fins de test uniquement et peut être supprimé après 90 jours d’inactivité.

Pour une démonstration étape par étape, reportez-vous à la rubrique du Learning Center intitulée « Getting Started: Evaluation Environment » (Bien démarrer : environnement d’évaluation).

Ressources de l’orchestrateur

Pour plus d’informations sur la configuration des environnements, nous vous recommandons de consulter les rubriques de référence suivantes concernant l’orchestrateur :