Configuration de SAML dans OpManager

Il existe deux façons de configurer SAML dans OpManager. Vous pouvez soit le faire manuellement en fournissant les informations d’identification nécessaires, soit téléverser directement le fichier de métadonnées, s’il est disponible.

Détails du fournisseur de services

Si vous choisissez de configurer SAML manuellement, les informations suivantes vous seront fournies : l’ID d’entité, l’URL du consommateur d’assertion, l’URL de déconnexion SSO, ainsi qu’un lien pour télécharger le fichier de certificat SP. Ces informations, disponibles dans l’interface utilisateur d’OpManager, peuvent être utilisées pour ajouter OpManager en tant qu’application prise en charge dans votre IdP.

Vous pouvez également télécharger directement le fichier de métadonnées SP depuis OpManager et l’importer du côté de l’IdP. Ce fichier de métadonnées contiendra tous les détails mentionnés ci-dessus au format XML.

Authentification SAML dans OpManager : détails du fournisseur de services

Détails du fournisseur d’identité

Comme pour la configuration des détails du SP, vous pouvez soit configurer manuellement les détails de l’IdP, soit téléverser le fichier de métadonnées récupéré du côté de l’IdP.

Téléversement du fichier de métadonnées IdP :

Si vous disposez d’un fichier de métadonnées provenant de votre IdP, téléversez-le directement dans OpManager.

  1. Sous Paramètres -> Paramètres généraux -> Authentification, accédez à l’onglet Authentification SAML.
  2. Dans la section « Configurer les détails du fournisseur d’identité », choisissez Téléverser le fichier de métadonnées IdP et saisissez le nom de l’IdP.
  3. Recherchez le fichier de métadonnées obtenu auprès de l’IdP et cliquez sur Téléverser.

Authentification SAML dans OpManager : configuration des détails IP via le fichier de métadonnées IdP

Configuration manuelle des informations de l’IdP :

Vous pouvez également saisir manuellement les détails de l’IdP dans OpManager. Pour cela, vous aurez besoin des informations suivantes :

  1. Nom de l’IdP
  2. URL de connexion de l’IdP
  3. URL de déconnexion de l’IdP
  4. Certificat de l’IdP

Saisissez les détails ci-dessus dans la section « Configurer manuellement les informations de l’IdP » sous Paramètres -> Paramètres généraux -> Authentification.

  • Pour connaître les étapes de configuration de SAML entre OpManager et Okta, cliquez ici.
  • Pour connaître les étapes de configuration de SAML entre OpManager et ADFS, cliquez ici.
  • Pour connaître les étapes de configuration de SAML entre OpManager et Azure, cliquez ici.
  • Pour connaître les étapes de configuration de SAML entre OpManager et JumpCloud, cliquez ici.
  • Pour connaître les étapes de configuration de SAML entre OpManager et OneLogin, cliquez ici.

Authentification SAML dans OpManager : configuration manuelle des détails IP

Remarque

  1. OpManager propose également une option appelée Déconnexion unique. Comme pour le SSO, les utilisateurs pourront se déconnecter simultanément d’OpManager et de l’IdP configuré depuis l’interface utilisateur d’OpManager en cliquant sur l’URL de déconnexion fournie.
  2. À l’heure actuelle, les identifiants de nom de type adresse e-mail, transitoire et persistant peuvent être utilisés pour la configuration SAML.
  3. Pour authentifier les utilisateurs AD d’OpManager via l’authentification SAML, la valeur de l’ID de nom provenant de l’IdP doit être au format - <nomdedomaine>\<nomdutilisateur>.
  4. Si plusieurs utilisateurs ont fourni la même adresse e-mail lors de la configuration de l’identifiant de nom Adresse e-mail, ils ne pourront pas se connecter via l’authentification SAML.
  5. Le nom d’utilisateur/l’adresse e-mail configuré(e) dans l’IdP doit correspondre exactement au nom d’utilisateur/à l’adresse e-mail fourni(e) dans OpManager pour que l’authentification réussisse.

Pour en savoir plus sur les méthodes d’authentification d’OpManager, consultez les documents d’aide suivants.

Questions fréquemment posées

1. Avons-nous une option pour activer ou désactiver l’authentification AD et Radius lors de l’utilisation de SAML ?

Oui. Une fois l’authentification SAML activée, une invite apparaîtra pour désactiver les autres modes d’authentification et vous pourrez désactiver les autres méthodes de connexion, si nécessaire. De plus, vous ne pourrez vous connecter localement qu’en tant que Super Admin.

2. Pouvons-nous configurer plus d’un IdP ?

Non, actuellement un seul IdP peut être configuré à la fois.

3. Quels sont les différents formats d’ID de nom pris en charge dans OpManager ?

À l’heure actuelle, adresse e-mail, transitoire et persistant sont les formats d’ID de nom pris en charge pour l’authentification SAML dans OpManager.

4. Pouvons-nous utiliser à la fois l’authentification SAML et les fonctionnalités TFA dans OpManager ?

Dans OpManager, vous ne pourrez pas utiliser la TFA lorsque l’authentification SAML est activée. En effet, l’ensemble du flux d’authentification est géré par l’IdP lorsque l’authentification SAML est activée. La TFA ne peut être utilisée que lors d’une connexion via l’authentification locale, AD ou Radius.

5. Comment accéder au client Web du produit si l’IdP n’est pas accessible ?

Si l’IdP n’est pas accessible et que les autres méthodes d’authentification sont désactivées, vous pouvez vous connecter localement via Super Admin. Si les autres méthodes d’authentification ne sont pas désactivées, vous pouvez vous connecter à OpManager en utilisant la méthode par défaut.

6. Comment configurer SAML si le certificat a expiré ?

Si le certificat approche de son expiration, OpManager déclenchera une alerte après la connexion de l’utilisateur. Le certificat du fournisseur de services peut être régénéré depuis l’interface utilisateur d’OpManager et téléversé vers l’IdP, et inversement. Après le téléversement, la durée de validité des certificats sera renouvelée.