Configurer le SAML Service Provider
Aller sur Administration > Fournisseur d’identité.
Configuration du fournisseur d’identité
Sur votre fournisseur d’identité vous aurez besoin de configurer les champs suivants :
- ACS URL : URL de redirection vers l’application cyberwatch
- Entity ID : Nom du fournisseur de services
- URL cible SSO IDP : URL SSO du fournisseur d’identité
- URL cible SLO IDP (optionnel) : URL Single Logout du fournisseur d’identité, par défaut, Cyberwatch utilisera l’URL cible SSO IDP
- Single Logout URL : URL où votre fournisseur d’identité doit envoyer la requête de déconnexion
- Format du nom d’identification : Format du nom utilisé par l’IDP pour l’identification
- Certificat IDP : Certificat du fournisseur d’identité
Configuration des réglages Cyberwatch
- Label : Nom du fournisseur d’identité
- Demander le Single Logout : Demander à votre fournisseur d’identité de déconnecter les utilisateurs de leur session SAML
- Synchroniser les noms : Configurer les noms et prénoms des utilisateurs avec les informations provenant de votre fournisseur d’identité
Configuration des attributs
Vous devez d’abord indiquer à Cyberwatch où chercher les attributs. Pour cela, vous devez vous assurer que votre serveur IDP envoie un AttributeStatement spécifique avec la réponse SAML. Voici un exemple :
<saml:AttributeStatement>
<saml:Attribute Name="Roles">
<saml:AttributeValue xsi:type="xs:string">Security Group</saml:AttributeValue>
<saml:AttributeValue xsi:type="xs:string">Developers</saml:AttributeValue>
<saml:AttributeValue xsi:type="xs:string">Administrator</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="Groups">
<saml:AttributeValue xsi:type="xs:string">Preproduction</saml:AttributeValue>
<saml:AttributeValue xsi:type="xs:string">Production</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
- Attribut des rôles : Nom de l’attribut où Cyberwatch recherchera les rôles de l’utilisateur (‘Roles’ dans l’exemple ci-dessus)
- Administrateur, Administrateur système, Administrateur sécurité and Auditeur : Valeurs de l’attribut correspondant aux rôles Cyberwatch
- Attribut des groupes : Nom de l’attribut où Cyberwatch recherchera les groupes auxquels l’utilisateur a accès (‘Groupes’ dans l’exemple ci-dessus)
- Accès à tous les actifs : Attribut consulté pour déterminer si l’utilisateur peut accéder à tous les actifs ou non. En l’absence d’attribut configuré, la configuration de l’accès à tous les actifs est manuelle. Autrement, l’accès à tous les actifs sera accordé si et seulement si la valeur de l’attribut, ou une de ses valeurs s’il est multiple, correspond à une des valeurs spécifiées dans la configuration. Il est possible d’accepter plusieurs valeurs en les séparant par un point-virgule. Par exemple, pour la réponse SAML ci-dessus, nous pourrions avoir
Roles
pour attribut, etSecurity Group;Developers
pour valeurs - Attribut prénom (optionnel) et Attribut nom (optionnel) : Noms des attributs que Cyberwatch utilisera pour configurer les noms des utilisateurs
Débugger la configuration du SAML Service Provider
Pour afficher les logs des erreurs rencontrées par Cyberwatch
- Utiliser la procédure permettant de Consulter les logs Cyberwatch
Filtrer les logs pour ne garder que les erreurs liées au SAML Service Provider :
sudo cyberwatch logs web 2>&1 | grep ERROR | grep SAML
Exemple de configuration
Cyberwatch fournit également un exemple de procédure pour configurer l’authentification SAML avec ADFS.