Table des matières

SAML Single Sign-On avec Pandora FMS

SAML Single Sign-On avec Pandora FMS

SAML est une norme ouverte d'authentification et d'autorisation basée sur XML. Pandora FMS peut fonctionner comme un fournisseur de services avec votre fournisseur d'identité SAML interne.

Les administrateurs s'authentifient toujours contre la base de données locale.

Configuration de Pandora FMS

Vous devrez aller vers ManagementSetupSetupAuthentication et sélectionner SAML dans Authentication method.

Configuration du fournisseur de services

Pour configurer le fournisseur de services, téléchargez SimpleSamlphp et l'installer dans /opt/simplesamlphp/.

Configurez un endpoint pour gérer les authentifications dans /simplesaml :

ln -s /opt/simplesamlphp/www /var/www/html/simplesaml

Ajoutez votre SP à authsources /opt/simplesamlphp/config/authsources.php>

'test-sp' => [
       'saml:SP',
       'entityID' => 'http://app.example.com',
       'idp' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php',
   ],

Enregistrez les métadonnées de l'IdP :

$metadata['http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php'] = array(
       'name' => array(
           'en' => 'Test IdP',
       ),
       'description' => 'Test IdP',
       'SingleSignOnService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SSOService.php',
       'SingleLogoutService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SingleLogoutService.php',
       'certFingerprint' => '119b9e027959cdb7c662cfd075d9e2ef384e445f',
   );

Il est recommandé d'utiliser la validation de certificat avec certificat direct au lieu de certFingerprint.

Vous devez vous assurer que le fichier/opt/simplesamlphp/lib/_autoload.php existe.

Une fois que vous avez installé simplesamlphp, vérifiez si le login fonctionne directement dans le saml. Pour ce faire, accédez à l'adresse IP suivante et sélectionnez la source d'authentification.

http:///simplesaml/module.php/core/authenticate.php

saml1.jpg

Un écran de connexion apparaîtra comme le suivant où un utilisateur et un mot de passe saml que vous avez créés seront entrés.

saml2.jpg

Si le login est correct, un écran récapitulatif apparaîtra avec tous les attributs de l'utilisateur.

Le guide est également disponible sur SimpleSAMLphp Service Provider QuickStart.

Configurer votre fournisseur d'identité

Pour que les utilisateurs de SAML soient générés correctement dans Pandora FMS, il est nécessaire de définir dans chacun d'eux les attributs d'identification suivants qui apparaissent dans les paramètres SAML :

saml3.jpg

http:///simplesaml/module.php/core/authenticate.php

Si vous choisissez Simple attribute, deux nouveaux champs appelés Profile attribute et Tag attribute apparaîtront, où les noms des attributs SAML seront sélectionnés pour correspondre au nom du Profil et Tag dans Pandora FMS lors de sa création.

Lorsque vous sélectionnez Multivalue attribute vous devez utiliser un attribut qui suit ce format :

<Attribute Name="MULTIVALUE_ATTRIBUTE">
<AttributeValue>PREFIX:role:rolename</AttributeValue>
<AttributeValue>PREFIX:tag:tagname</AttributeValue>
</Attribute>

Une fois l'attribut dans le SAML créé et sélectionné de cette manière avec la configuration dans Pandora FMS, les paramètres suivants seront indiqués :

saml4.jpg

Ouverture de session

Vous devrez naviguer dans la console Pandora FMS et cliquer sur Login. Vous serez redirigé vers le fournisseur d'identité.

Après une connexion réussie, vous serez redirigé vers la console Pandora FMS.

Retour à l'index de documentation Pandora FMS.