Utilisation de l’API Maverics pour automatiser les déploiements

Ce guide vous accompagne dans le processus d’automatisation des déploiements d’applications à l’aide de notre API. Dans un premier temps, vous allez créer un flux utilisateur comme modèle pour la politique et un environnement comme stratégie de déploiement pour vos orchestrateurs. Notre API vous permet ensuite de créer de nouvelles applications et de déployer automatiquement les politiques.

Ce guide est structuré de manière à fournir à la fois une vue d’ensemble et des instructions détaillées, ce qui le rend particulièrement utile aux professionnels de l’informatique et aux administrateurs chargés de mettre en place et de gérer les identités numériques. Nous aborderons les étapes suivantes :

• Préparation de votre environnement
• Configuration de votre tissu d’identité
• Création d’une application d’espace réservé
• Création d’un flux utilisateur avec l’espace réservé
• Génération d’un jeton d’accès
• Utilisation de l’API Maverics

Préparation de votre environnement

Avant de télécharger et de déployer un orchestrateur, vous devez créer un environnement. Pour plus d’informations sur la configuration d’un environnement avec différents services de stockage en nuage, reportez-vous à la section Configuration des environnements.

Lors de la création de votre environnement :

1. Assurez-vous que l’environnement que vous configurez dans Maverics Cloud Console est configuré en tant que fournisseur SAML ou OIDC avec, au minimum, une URL d’orchestrateur.
2. Veillez à ce que les paramètres du réseau et du pare-feu permettent la communication entre le fournisseur d’authentification et l’orchestrateur.
3. Activez le terminal d’enregistrement, afin de pouvoir utiliser l’API Maverics.

Veuillez noter que vous devez fournir une URL pour votre orchestrateur, que Maverics peut utiliser pour définir automatiquement plusieurs terminaux. Des exemples de terminaux sont indiqués dans l’exemple de configuration ci-dessous.

  issuer: https://maverics.sonarsystems.com
  endpoints:
    metadata: https://maverics.sonarsystems.com/idp/saml/metadata.xml
    singleSignOnService: https://maverics.sonarsystems.com/sso
    singleLogoutService: https://maverics.sonarsystems.com/slo

Après avoir créé votre environnement, vous serez dirigé vers la page Environnement, où vous pourrez télécharger et installer l’orchestrateur. Reportez-vous à la section Installer un orchestrateur.

Configuration de votre tissu d’identité

Le tissu d’identité de Maverics comprend un fournisseur d’identité et des fournisseurs d’attributs facultatifs. Les fournisseurs d’identité de Maverics s’intègrent à plusieurs fournisseurs d’identité OIDC et SAML et les utilisent en tant que fournisseurs d’authentification ou d’attributs. Certains systèmes d’accès agissent à la fois en tant que fournisseurs d’authentification et d’attributs.

Accédez à Identity Fabric et faites votre sélection dans le panneau Identity Services situé à droite. Vous pouvez sélectionner n’importe quel service pour une utilisation avec une application SAML ou OIDC.

Pour plus d’informations sur la configuration d’un tissu d’identité, reportez-vous à la section Configurer le tissu d’identité.

Création d’une application d’espace réservé

Sur la page Applications, créez une application SAML ou une application OIDC.

Utilisez du texte fictif pour toutes les valeurs, car vous n’utiliserez cette application que pour configurer le flux utilisateur.

Cliquez sur Create pour enregistrer la configuration.

Création d’un flux utilisateur avec l’espace réservé

Vous allez ensuite créer un flux utilisateur en sélectionnant l’application que vous avez créée.

Dans le tableau de bord, cliquez sur Create user flow. Vous pouvez également cliquer sur User Flows dans la barre latérale, puis sur New. Saisissez un nom à donner au flux utilisateur et sélectionnez l’application à utiliser. Cliquez sur Create.

Lors de la configuration de votre flux utilisateur :

1. Sous Authentication Provider, sélectionnez un fournisseur d’identité que vous avez configuré.
2. Dans la section Attribute Providers, sélectionnez un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre attribut. Répétez ce processus pour ajouter plusieurs attributs.
3. La section Claims vous permet d’ajouter des réclamations supplémentaires à cet utilisateur. Cela permet de faire correspondre les réclamations aux attributs de session fournis par le(s) fournisseur(s) d’identité et tout fournisseur d’attributs éventuellement défini.
   1. Utilisez la section Attribute Providers, pour sélectionner un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre réclamation. Répétez ce processus pour ajouter plusieurs réclamations.
   2. Sous NameID mapping, vous avez la possibilité de définir des mappages NameID personnalisés dans les réponses SAML. Sélectionnez un fournisseur et saisissez l’attribut correspondant. Cliquez sur Add pour enregistrer le mappage.
   3. Si vous avez configuré les extensions de services Build Claims ou Build Relay State, vous pouvez les sélectionner sous Service Extensions.
4. Pour enregistrer le flux utilisateur complet, cliquez sur Deploy… en haut de la page.
5. La fenêtre modale Choose revision and environment (Choisir la révision et l’environnement) apparaît. Le champ Revision indique le dernier numéro. Sélectionnez un environnement à déployer et cliquez sur Preview.
6. Dans l’écran Deployment Preview, vous pouvez consulter l’historique des révisions et comparer le flux utilisateur actuel avec le nouveau flux utilisateur (si vous modifiez un flux utilisateur existant).
7. Cliquez sur Deploy en haut de l’écran pour déployer la dernière révision de votre environnement sélectionné.

Génération d’un jeton d’accès

Pour utiliser l’API de Maverics Console, vous devez créer un jeton d’accès. Cliquez sur le menu de votre profil d’utilisateur dans le coin supérieur droit et accédez à Developer settings. À partir de la page Developer settings, cliquez sur Generate access token.

1. Saisissez un nom pour votre jeton d’accès.
2. Sélectionnez l’environnement que vous souhaitez utiliser.
3. Sélectionnez une option d’expiration.
4. Cliquez sur Submit.

Veillez à copier immédiatement le jeton d’accès, car vous ne pourrez plus y accéder. Vous aurez besoin de ce jeton pour appeler l’API Maverics.

Utilisation de l’API Maverics

curl -X POST https://maverics.strata.io/register/saml \
-H "Authorization: Bearer <YOUR_ACCESS_TOKEN>" \
-H "Content-Type: application/json" \
-d '{
"client_name": "SAML Example",
"logo_uri": "https://example.com/http.svg",
"audience": "https://sp.example.org",
"acs_url": "https://sp.example.org/acs",
"logout_url": "https://sp.example.org/logout",
"duration": 400,
"request_verification": {
 "certificate": "request-verification-certificate"
},
"idp_initiated_login": {
"login_url": "https://maverics.sonarsystems.com/example/login",
"relay_state_url": "https://sp.example.org/relay"
}
}'

{
  "client_name": "SAML Example",
  "logo_uri": "https://example.com/http.svg",
  "audience": "https://sp.example.org",
  "acs_url": "https://sp.example.org/acs",
  "logout_url": "https://sp.example.org/logout",
  "duration": 3500,
  "request_verification": {
      "certificate": "-----BEGIN CERTIFICATE-----"
  },
  "idp_initiated_login": {
      "login_url": "https://maverics.sonarsystems.com/example/login",
      "relay_state_url": "https://sp.example.org/relay"
  },
  "metadata_url": "https://maverics.sonarsystems.com:8443/metadata",
  "public_key": "Certificate: ...",
  "registration_access_token": "",
  "registration_client_uri": ""
}

curl -X POST https://maverics.strata.io/register/oidc \
-H "Authorization: Bearer YOUR_ACCESS_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"application_type": "oidc",
"redirect_uris": [
  "https://client.example.com/callback",
  "https://client.example.com/callback2"
],
"client_name": "Example Client",
"subject_type": "pairwise",
"sector_identifier_uri": "https://other.example.com/file_of_redirect_uris.json",
"token_endpoint_auth_method": "client_secret_basic",
"jwks_uri": "https://client.example.com/my_public_keys.jwks",
"userinfo_encrypted_response_alg": "RSA1_5",
"userinfo_encrypted_response_enc": "A128CBC-HS256",
"contacts": [
  "[email protected]",
  "[email protected]"
]
}'

{
"application_type": "oidc",
"redirect_uris": [
  "https://client.example.com/callback",
  "https://client.example.com/callback2"
],
"client_name": "Example Client",
"logo_uri": "",
"subject_type": "pairwise",
"sector_identifier_uri": "https://other.example.com/file_of_redirect_uris.json",
"token_endpoint_auth_method": "client_secret_basic",
"jwks_uri": "https://client.example.com/my_public_keys.jwks",
"userinfo_encrypted_response_alg": "RSA1_5",
"userinfo_encrypted_response_enc": "A128CBC-HS256",
"contacts": [
  "[email protected]",
  "[email protected]"
],
"request_uris": null,
"client_id": "03e9d59e-ac2e-4285-aa34-52a6cf09aea9",
"client_secret": "fr-GqEYyXoirjNIpW9dJOtiRlVaraBoR",
"client_secret_expires_at": 0,
"registration_access_token": "",
"registration_client_uri": ""
}

En suivant les étapes décrites dans ce guide, vous avez réussi à mettre en place le déploiement automatisé d’applications dans Maverics, posant ainsi les bases d’un système de gestion des identités robuste et sécurisé.