Configuration du tissu d’identité
Maverics s’intègre à plusieurs fournisseurs d’identité OIDC et SAML existants et sur le cloud, et peut les exploiter en tant que fournisseurs d’authentification ou fournisseurs d’attributs, certains systèmes d’identité agissant comme les deux à la fois.
Les fournisseurs d’attributs permettent à Maverics de servir de source d’attributs pour les utilisateurs. Les fournisseurs d’attributs peuvent être utilisés pour enrichir le profil d’un utilisateur avec des données supplémentaires provenant de sources multiples afin d’offrir une expérience utilisateur plus complète.
Une fois vos fournisseurs d’identité et votre application configurés, vous pouvez configurer un flux utilisateur pour connecter votre tissu d’identité à votre application.
Fournisseurs OIDC et OIDC génériques
Maverics a besoin des informations suivantes pour la plupart des fournisseurs OIDC :
- Name : un nom convivial pour votre fournisseur OIDC.
- OIDC Well Known URL : l’URL qui renvoie les métadonnées OpenID Connect sur le serveur d’autorisation OIDC.
- OAuth Client ID : l’identifiant du client de l’application Maverics enregistré dans l’organisation OIDC.
- OAuth Client Secret : le secret client de l’application Maverics enregistré dans l’organisation OIDC.
- Redirect URL : l’URL utilisée par le serveur OIDC pour rediriger le client après l’authentification. Le gestionnaire OIDC de Maverics sera servi sur cette URL.
- Logout Callback URL : l’URL rappelée par le serveur OIDC lorsque la déconnexion a été effectuée avec succès. Assurez-vous que l’URL de déconnexion de votre serveur OIDC correspond à la valeur de l’URL spécifiée ici.
- Scopes : définit les champs d’application requis dans le cadre du flux d’authentification OIDC. Les champs d’application doivent être séparés par un espace. Par exemple,
openid profile email
- Proof Key for Code Exchange (PKCE) : par défaut, ce fournisseur suit le flux de codes d’autorisation avec une clé de vérification pour l’échange du code (PKCE). Si votre fournisseur n’est pas configuré pour prendre en charge la fonction PKCE, désactivez cette option.
Fournisseurs SAML et SAML génériques
Maverics a besoin des informations suivantes pour la plupart des fournisseurs SAML :
- Name : un nom convivial pour votre fournisseur SAML.
- Metadata URL : l’URL des métadonnées de l’application configurée dans le fournisseur SAML. Le paramètre peut accepter une adresse URI file:/// si le fichier de métadonnées est enregistré sur un système de fichiers accessible à l’utilisateur de l’orchestrateur.
- Consumer Service (ACS) URL : l’URL utilisée par le fournisseur SAML pour envoyer la réponse SAML (POST). Le gestionnaire SAML ACS de Maverics sera servi sur cette URL, elle ne devrait donc pas entrer en conflit avec les ressources de l’application. Il existe plusieurs possibilités pour le chemin d’accès (par exemple /maverics-saml ou /saml-handler), mais ce dernier doit correspondre à la configuration du fournisseur pour l’identité d’entité spécifiée (https://orchestrator.example.com/acs).
- Logout Callback URL : l’URL rappelée par le serveur SAML lorsque la déconnexion a été effectuée avec succès. Assurez-vous que l’URL de déconnexion de votre fournisseur de services SAML correspond à la valeur de l’URL spécifiée ici.
- Identifier (Entity ID) : l’identifiant unique d’entité d’application attribué à l’application.
- Service Provider Certificate (facultatif) : le chemin d’accès au certificat utilisé pour signer les requêtes d’authentification SAML.
- Signing Private Key Path (facultatif) : le chemin d’accès à la clé privée utilisé pour signer les requêtes d’authentification SAML.
- Name ID Format : définit le format SAML Subject NameID spécifié pour l’application de votre fournisseur SAML.
- IdP Initiated Login : accepte les réponses SAML non sollicitées provenant du fournisseur d’identité configuré. Cette option est désactivée par défaut.
Fournisseur LDAP
Maverics a besoin des informations suivantes pour les fournisseurs LDAP :
- Name : un nom convivial pour votre fournisseur LDAP.
- URL : l’URL du serveur LDAP avec laquelle Maverics se connecte.
- Service Account Username : le nom d’utilisateur utilisé pour se connecter au serveur LDAP.
- Service Account Password : le mot de passe utilisé pour se connecter au serveur LDAP.
- Base DN : spécifie l’emplacement dans lequel la recherche LDAP doit être effectuée.
- OUD Search Key : clé à filtrer lors des opérations d’interrogation et de liaison.
- Authentication Search Scope : indique l’attribut à utiliser pour rechercher les données relatives à l’utilisateur et au groupe. Vous pouvez choisir entre
baseObject
,
singleLevel ouwholeSubtree
.
Identity Service Health Monitoring
Identity Service Health Monitoring est une fonctionnalité utilisée dans le cadre d’Identity Continuity™ et est disponible pour les fournisseurs d’identité OIDC, SAML et LDAP. Lorsqu’elle est activée, cette fonctionnalité permet à l’orchestrateur d’interroger en permanence le service d’identité et de déclencher une alerte s’il n’est pas joignable.
Vous devrez configurer la fontion Identity Service Health Monitoring pour chaque service d’identité utilisé dans votre stratégie de pérennité.
Lorsque cette fonctionnalité est activée, les champs suivants peuvent être configurés :
- Polling frequency : l’intervalle entre chaque vérification d’état du service d’identité. Cela peut être défini en secondes, minutes ou heures.
- Timeout : le temps d’attente maximum pour une réponse. Cela peut être défini en secondes, minutes ou heures.
- Failover threshold : le nombre de résultats négatifs consécutifs de la vérification d’état qui déclenche un basculement.
- Fallback threshold : le nombre de résultats positifs consécutifs de la vérification d’état qui déclenche un repli.
- Custom health check endpoint : (facultatif) un terminal personnalisé permettant de contrôler les actions de basculement et de repli (par exemple, https://example.com/health).
- Expected status codes : (facultatif) les codes d’état http que la vérification d’état personnalisée renvoie pour que le système soit considéré comme étant en bon état. Accepte les valeurs séparées par des virgules (par exemple, 200, 300, 400).
- Response body matcher : (facultatif) un moteur de correspondance qui vérifie la valeur attendue dans le corps de la réponse d’une vérification d’état (par exemple, « Up » ou « Down »).
Fournisseur d’attributs LDAP
Maverics a besoin des informations suivantes pour les fournisseurs d’attributs LDAP.
- Name : un nom convivial pour votre fournisseur d’attributs LDAP.
- URL : l’URL du serveur LDAP avec laquelle Maverics se connecte.
- Service Account Username : le nom d’utilisateur utilisé pour se connecter au serveur LDAP.
- Service Account Password : le mot de passe utilisé pour se connecter au serveur LDAP.
- Attribute Delimiter (facultatif) : le délimiteur utilisé pour séparer les attributs à valeurs multiples. Ce champ n’est nécessaire que pour les attributs à valeurs multiples. Si aucune valeur n’est fournie, la valeur par défaut « , » sera utilisée en tant que délimiteur.
- Base DN : spécifie l’emplacement dans lequel la recherche LDAP doit être effectuée.
- OUD Search Key : clé à filtrer lors des opérations d’interrogation et de liaison.
Configuration des services d’identité à utiliser avec Maverics
Windows Client Authenticator
Vous pouvez configurer Maverics pour qu’il accepte l’authentification à l’aide d’Integrated Windows Authentication. Pour utiliser l’application Windows Client Authenticator, celle-ci doit être installée sur le serveur IIS. Pour plus d’informations, reportez-vous à la section Application Windows Client Authenticator pour Maverics.
Authentification sans mot de passe HYPR
Pour configurer Maverics afin que celui-ci utilise HYPR pour l’authentification sans mot de passe, vous aurez besoin des informations suivantes :
- Name : un nom convivial pour votre fournisseur HYPR.
- HYPR Domain : le domaine de base du compte HYPR.
- HYPR App ID : le nom de l’application tel qu’il est défini dans le centre de contrôle HYPR.
- Access Token : un jeton d’accès configuré dans le centre de contrôle HYPR.
Mise en place de services de tissu d’identité externes
Nous vous recommandons de respecter les bonnes pratiques suivantes lors de la mise en place de votre tissu d’identité à des fins de test ou d’évaluation uniquement.