Authentification par OpenID Connect
Configuration du fournisseur d’identité
Si vous disposez d’un fournisseur d’identité externe supportant le protocole OpenID Connect, vous pouvez configurer Cyberwatch pour que les utilisateurs puissent s’authentifier depuis ce fournisseur, éliminant la nécessité de créer des comptes locaux manuellement depuis la console d’administration Cyberwatch.
La configuration Cyberwatch pour OpenID Connect est située dans le menu Administration > Fournisseur d’identité > OpenID Connect.
La première étape de configuration consiste à créer auprès du fournisseur d’identité une application OpenID Connect (ou plus généralement OAuth) destinée à Cyberwatch. Il sera généralement nécessaire de renseigner à ce moment l’URL de redirection affichée sur la page de configuration de Cyberwatch. Cyberwatch utilise exclusivement le mode d’authentification OAuth authorization code.
Sachant que la gestion des contrôles d’accès sera déléguée au fournisseur d’identité, il est recommandé de limiter l’accès à l’application à un minimum d’utilisateurs.
Une fois l’application déclarée auprès du fournisseur d’identité, vous devrez configurer dans Cyberwatch l’URL de l’autorité. Par exemple, pour Microsoft Entra ID elle est de la forme https://login.microsoftonline.com/{tenant}/v2.0. Il vous faudra ensuite entrer l’ID de l’application créée précédemment comme identifiant. Le secret peut être laissé vide. Enregistrez la configuration.
En cas de succès, un certificat client sera généré. Ce certificat devra être enregistré auprès du fournisseur d’identité afin de permettre l’authentification de l’application Cyberwatch auprès de celui-ci.
Enfin, pour tester la configuration, vous pouvez vous déconnecter de Cyberwatch ou bien ouvrir une session privée pour voir apparaitre sur la page de connexion Cyberwatch un nouveau bouton de connexion. Cliquer sur celui-ci vous redirigera vers votre fournisseur d’identité puis de nouveau vers Cyberwatch. Un nouveau compte Cyberwatch sera créé.
Si la connexion aboutit à une erreur Cyberwatch, veuillez consulter les journaux.
Synchronisation des attributs
Les jetons d’authentification OpenID Connect contiennent un ensemble de claims configurables depuis le fournisseur d’identité. Cyberwatch est capable d’utiliser ces données pour remplir automatiquement les données des comptes Cyberwatch à chaque connexion.
Il est recommandé de synchroniser l’attribut nom et email. Le nom des attributs du jeton peut varier d’un fournisseur à l’autre, mais name et email sont des valeurs courantes.
Le rôle des comptes peut également être défini depuis un attribut du jeton, ce qui permet par exemple d’attribuer un rôle selon le groupe d’un utilisateur attribué par le fournisseur d’identité. Autrement, les rôles doivent être ajustés par l’administrateur après que le compte en question s’est connecté pour la première fois.