Configurer le SAML Service Provider

Aller sur Administration > Fournisseur d’identité.

Configuration du fournisseur d’identité

Sur votre fournisseur d’identité vous aurez besoin de configurer les champs suivants :

  • ACS URL : URL de redirection vers l’application cyberwatch
  • Entity ID : Nom du fournisseur de services
  • URL cible SSO IDP : URL SSO du fournisseur d’identité
  • URL cible SLO IDP (optionnel) : URL Single Logout du fournisseur d’identité, par défaut, Cyberwatch utilisera l’URL cible SSO IDP
  • Single Logout URL : URL où votre fournisseur d’identité doit envoyer la requête de déconnexion
  • Format du nom d’identification : Format du nom utilisé par l’IDP pour l’identification
  • Certificat IDP : Certificat du fournisseur d’identité

Configuration des réglages Cyberwatch

  • Label : Nom du fournisseur d’identité
  • Demander le Single Logout : Demander à votre fournisseur d’identité de déconnecter les utilisateurs de leur session SAML
  • Synchroniser les noms : Configurer les noms et prénoms des utilisateurs avec les informations provenant de votre fournisseur d’identité

Configuration des attributs

Vous devez d’abord indiquer à Cyberwatch où chercher les attributs. Pour cela, vous devez vous assurer que votre serveur IDP envoie un AttributeStatement spécifique avec la réponse SAML. Voici un exemple :

<saml:AttributeStatement>
    <saml:Attribute Name="Roles">
        <saml:AttributeValue xsi:type="xs:string">Security Group</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xs:string">Developers</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xs:string">Administrator</saml:AttributeValue>
    </saml:Attribute>
        <saml:Attribute Name="Groups">
        <saml:AttributeValue xsi:type="xs:string">Preproduction</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xs:string">Production</saml:AttributeValue>
    </saml:Attribute>
</saml:AttributeStatement>
  • Attribut des rôles : Nom de l’attribut où Cyberwatch recherchera les rôles de l’utilisateur (‘Roles’ dans l’exemple ci-dessus)
  • Administrateur, Administrateur système, Administrateur sécurité and Auditeur : Valeurs de l’attribut correspondant aux rôles Cyberwatch
  • Attribut des groupes : Nom de l’attribut où Cyberwatch recherchera les groupes auxquels l’utilisateur a accès (‘Groupes’ dans l’exemple ci-dessus)
  • Accès à tous les actifs : Attribut consulté pour déterminer si l’utilisateur peut accéder à tous les actifs ou non. En l’absence d’attribut configuré, la configuration de l’accès à tous les actifs est manuelle. Autrement, l’accès à tous les actifs sera accordé si et seulement si la valeur de l’attribut, ou une de ses valeurs s’il est multiple, correspond à une des valeurs spécifiées dans la configuration. Il est possible d’accepter plusieurs valeurs en les séparant par un point-virgule. Par exemple, pour la réponse SAML ci-dessus, nous pourrions avoir Roles pour attribut, et Security Group;Developers pour valeurs
  • Attribut prénom (optionnel) et Attribut nom (optionnel) : Noms des attributs que Cyberwatch utilisera pour configurer les noms des utilisateurs

Débugger la configuration du SAML Service Provider

Pour afficher les logs des erreurs rencontrées par Cyberwatch

  1. Utiliser la procédure permettant de Consulter les logs Cyberwatch
  2. Filtrer les logs pour ne garder que les erreurs liées au SAML Service Provider :

    sudo cyberwatch logs web 2>&1 | grep ERROR | grep SAML
    

Exemple de configuration

Cyberwatch fournit également un exemple de procédure pour configurer l’authentification SAML avec ADFS.


Retour en haut