Configuration d’une application SAML

Bienvenue dans le guide complet de configuration de Maverics pour une utilisation avec une application SAML. En utilisant Maverics en tant que fournisseur d’authentification SAML, vous pouvez adapter votre application moderne à n’importe quel fournisseur d’identité.

Ce guide est structuré de manière à fournir à la fois une vue d’ensemble et des instructions détaillées, ce qui le rend particulièrement utile aux professionnels de l’informatique et aux administrateurs chargés de mettre en place et de gérer les identités numériques. Que vous soyez novice en matière d’applications SAML ou que vous cherchiez à améliorer votre configuration existante avec Maverics, ce tutoriel vous ouvre la voie vers un processus d’intégration sans faille. Nous aborderons les étapes suivantes :

• Déploiement d’un orchestrateur et configuration en tant que fournisseur d’authentification SAML
• Configuration de votre tissu d’identité
• Configuration de votre application SAML
• Création d’une extension de service (facultatif)
• Configuration de votre flux utilisateur

Déploiement d’un orchestrateur et configuration en tant que fournisseur d’authentification SAML

Avant de télécharger et de déployer un orchestrateur, vous devez créer un environnement. Les environnements définissent des conteneurs de stockage dans le nuage où vous pouvez déployer la configuration du flux utilisateur et les orchestrateurs qui liront cette configuration pour vos applications.

Pour plus d’informations sur la configuration d’un environnement avec différents services de stockage en nuage, reportez-vous à la section Configuration des environnements.

Veuillez noter que vous devez fournir une URL pour votre orchestrateur, que Maverics peut utiliser pour définir automatiquement plusieurs terminaux. Les terminaux sont indiqués dans l’exemple de configuration ci-dessous.

  issuer: https://maverics.sonarsystems.com
  endpoints:
    metadata: https://maverics.sonarsystems.com/idp/saml/metadata.xml
    singleSignOnService: https://maverics.sonarsystems.com/sso
    singleLogoutService: https://maverics.sonarsystems.com/slo

De plus, vous devrez fournir votre certificat de fournisseur SAML et votre clé privée lors de la création de votre environnement. En option, vous pouvez cocher la case Disable Signed Response et/ou Disable Signed Assertion afin d’autoriser les réponses et les assertions non signées.

Après avoir créé votre environnement, vous pouvez télécharger et installer l’orchestrateur. Reportez-vous à la section Installer un orchestrateur.

Dans un souci de respect des bonnes pratiques, Strata vous recommande de créer également un deuxième environnement pour les configurations de vos applications.

Configuration de votre tissu d’identité

Le tissu d’identité de Maverics comprend un fournisseur d’identité et des fournisseurs d’attributs facultatifs. Les fournisseurs d’identité de Maverics s’intègrent à plusieurs fournisseurs d’identité OIDC et SAML et les utilisent en tant que fournisseurs d’authentification ou d’attributs. Certains systèmes d’accès agissent à la fois en tant que fournisseurs d’authentification et d’attributs.

Accédez à Identity Fabric et faites votre sélection dans le panneau Identity Services situé à droite. Vous pouvez sélectionner n’importe quel service pour une utilisation avec une application SAML.

À la page suivante, saisissez les informations relatives à votre service d’identité dans les champs correspondants. Les informations requises varient en fonction du service et du protocole sélectionnés. L’exemple ci-dessous correspond à un fournisseur d’identité OIDC générique.

Pour plus d’informations sur la configuration d’un tissu d’identité, reportez-vous à la section Configurer le tissu d’identité.

Configuration de votre application SAML

Sur la page Applications, créez une application SAML en sélectionnant SAML-based sous Application Types.

Définissez les éléments suivants :

• Name : le nom convivial de votre application.
• App icon : permet de télécharger une image pour votre application à afficher dans Maverics. Maverics prend en charge les formats JPEG, PNG ou SVG, jusqu’à 2 Mo maximum.
• Audience : indique le client. Il doit correspondre au champ « Issuer » (Émetteur) fourni par le fournisseur de services.
• Consumer Service URL : correspond à l’URL vers laquelle les réponses SAML sont envoyées.
• Duration : correspond à la durée en secondes pendant laquelle les réponses de ce serveur sont valides.
• NameID Format (facultatif) : définit le format NameID utilisé pour les assertions SAML. Si le format n’est pas défini, une valeur de urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified sera appliquée.
• Certificate File : permet de télécharger un fichier de certificat pour vérifier les signatures des demandes entrantes. Formats pris en charge : PEM, KEY.
• Connexion initiée par le fournisseur d’identité :
  • Login URL : correspond au terminal consulté par l’utilisateur à partir de son navigateur pour initier le flux de connexion au fournisseur d’identité (https://maverics.sonarsystems.com/login-sonar).
  • Relay State URL : correspond au terminal transmis au fournisseur de services qui servira de page d’accueil à l’utilisateur à l’issue du flux d’authentification (https://app.sonarsystems.com/index.html).

Cliquez sur Create pour enregistrer la configuration.

Création d’une extension de service (facultatif)

Les extensions de services sont de courts programmes Golang qui se fixent aux points d’extension au sein d’un orchestrateur afin de modifier ou d’étendre les fonctionnalités. Elles donnent aux administrateurs la possibilité de personnaliser le comportement de l’orchestrateur en fonction des besoins particuliers de leur intégration. Cette étape est facultative et vous pouvez consulter la documentation concernant les extensions de services ci-dessous. Après avoir créé une extension de services, vous pouvez la sélectionner pour l’utiliser lors de la création de votre flux utilisateur.

Trois extensions de services sont disponibles pour une utilisation avec les flux d’applications SAML :

• Authentication : les extensions de services isAuthenticatedSE et authenticateSE sont disponibles et permettent de déterminer si un utilisateur est déjà authentifié et afin de contrôler le comportement d’authentification.
• Custom Claims : buildClaimsSE permet de personnaliser les attributs qui seront ajoutés à l’élément AttributeStatement SAML 2.0.
• Relay State : buildRelayStateSE peut être utilisée pour construire le paramètre RelayState dans un flux de connexion initié par le fournisseur d’identité. Cette extension peut être utilisée lorsque l’état du relais est dynamique et ne peut donc pas être défini avec une adresse relayStateURL statique.

Après avoir créé ces extensions de services, vous pouvez les sélectionner dans la rubrique Authentication and Claims de la page du flux utilisateur.

Configuration de votre flux utilisateur

Vous allez ensuite créer un flux utilisateur en sélectionnant l’application SAML que vous avez créée.

Dans le tableau de bord, cliquez sur Create user flow. Vous pouvez également cliquer sur User Flows dans la barre latérale, puis sur New. Saisissez un nom à donner au flux utilisateur et sélectionnez l’application à utiliser. Cliquez sur Create.

Pour modifier un flux utilisateur existant, cliquez sur User Flows dans la barre latérale et cliquez sur le nom du flux utilisateur que vous souhaitez modifier.

Le nom du flux utilisateur apparaît en haut de l’écran et peut être modifié. L’application apparaît sous le nom. Vous pouvez cliquer sur l’application pour modifier sa configuration, mais vous ne pouvez pas modifier l’application liée au flux utilisateur. Cependant, il est possible d’ajouter d’autres applications SAML configurées au flux utilisateur.

1. Sous Authentication Provider, sélectionnez un fournisseur d’identité que vous avez configuré.
2. Dans la section Attribute Providers, sélectionnez un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre attribut. Répétez ce processus pour ajouter plusieurs attributs.
3. La section Authorization vous permet de définir votre politique d’accès. Par défaut, l’accès des utilisateurs est autorisé à moins que celui-ci ne leur soit accordé par le biais d’une règle d’autorisation.
   • Allow all access est sélectionné par défaut et accorde l’accès à tous les utilisateurs sans règle d’autorisation.
   • Sélectionnez Use rules to define access pour appliquer un contrôle d’accès et une autorisation à granularité fine. Le générateur de règles booléennes apparaît après avoir sélectionné cette option et vous permet d’ajouter des règles et des conditions par fournisseur.
   • Vous pouvez également sélectionner une extension de services si vous avez déjà configuré des extensions de services d’autorisation.
4. La section Claims vous permet d’ajouter des réclamations supplémentaires à cet utilisateur. Cela permet de faire correspondre les réclamations aux attributs de session fournis par le(s) fournisseur(s) d’identité et tout fournisseur d’attributs éventuellement défini.
   1. Utilisez la section SAML Attributes pour sélectionner un fournisseur d’attributs, un fournisseur de mappage de nom d’utilisateur et un attribut de mappage de nom d’utilisateur. Cliquez sur Add pour enregistrer votre réclamation. Répétez ce processus pour ajouter plusieurs réclamations.
   2. Sous NameID mapping, vous avez la possibilité de définir des mappages NameID personnalisés dans les réponses SAML. Sélectionnez un fournisseur et saisissez l’attribut correspondant. Cliquez sur Add pour enregistrer le mappage.
   3. Si vous avez configuré les extensions de services Build Claims ou Build Relay State, vous pouvez les sélectionner sous Service Extensions.
5. Pour enregistrer le flux utilisateur complet, cliquez sur Deploy… en haut de la page.
6. La fenêtre modale Choose revision and environment (Choisir la révision et l’environnement) apparaît. Le champ Revision indique le dernier numéro. Sélectionnez un environnement à déployer et cliquez sur Preview.
7. Dans l’écran Deployment Preview, vous pouvez consulter l’historique des révisions et comparer le flux utilisateur actuel avec le nouveau flux utilisateur (si vous modifiez un flux utilisateur existant).
8. Cliquez sur Deploy en haut de l’écran pour déployer la dernière révision de votre environnement sélectionné.

Après avoir suivi les étapes décrites dans ce guide, vous avez réussi à configurer Maverics pour une utilisation avec une application SAML, posant ainsi les bases d’un système de gestion des identités robuste et sécurisé. N’oubliez pas que chaque composant joue un rôle crucial dans l’amélioration de la sécurité et de l’efficacité de l’intégration de votre application SAML, en garantissant la résilience et l’adaptabilité du mécanisme de gestion des identités de votre organisation. Avec Maverics, vous êtes maintenant prêt à affronter les complexités de la gestion de l’identité numérique, en offrant à vos utilisateurs un environnement sûr et convivial.