Aller au contenu principal

Configuration d'un SAML externe fournisseur d'identité

Vous pouvez choisir d'utiliser un langage Security Assertion Markup Language (SAML) 2.0 fournisseur d'identité pour effectuer l'authentification et l'autorisation de Lenovo XClarity Administrator.

Avant de commencer

La configuration initiale de XClarity Administrator doit être effectuée avant la configuration du fournisseur d'identité.

Le fournisseur d'identité doit être Microsoft Active Directory Federated Service (AD FS) et il peut être connecté au réseau de gestion et/ou au réseau de données. Comme l’authentification est effectuée via votre navigateur web, ce dernier doit pouvoir être en mesure d’accéder à XClarity Administrator et au serveur SAML.

Vous pouvez télécharger les métadonnées IDP à l’aide de l’URL suivante : https://<ADFS_IP_Address>/federationmetadata/2007-06/federationmetadata.xml, où <ADFS_IP_Address> est l'adresse IP de AD FS (par exemple, https://10.192.0.0/federationmetadata/2007-06/federationmetadata.xml).

Vous devez créer ou renommer des groupes de rôles sur le serveur d'authentification de l'emplacement pour qu'ils correspondent aux groupes définis sur le serveur d'authentification externe.

Pour configurer un fournisseur d'identité SAML, vous devez être connecté en tant qu'utilisateur membre du groupe lxc_admin ou lxc_supervisor.

À propos de cette tâche

XClarity Administrator prend en charge l'utilisation d'un langage Security Assertion Markup Language 2.0 fournisseur d'identité pour l'authentification et l'autorisation des utilisateurs. Outre la saisie d'un nom d'utilisateur et d'un mot de passe, le fournisseur d'identité peut être configuré pour exiger des critères supplémentaires pour la validation de l'identité d'un utilisateur, comme la saisie d'un code PIN, la lecture d'une carte à puce et l'authentification à l'aide d'un certificat client.

Lorsque XClarity Administrator est configuré pour l'utilisation d'un fournisseur d'identité, les demandes de connexion interactives depuis l'interface Web de XClarity Administrator sont redirigées vers le fournisseur d'identité pour l'authentification. Une fois que l'utilisateur est authentifié, le navigateur Web est redirigé vers XClarity Administrator.

Remarque
Si le fournisseur d'identité est activé, vous pouvez omettre le fournisseur d'identité et vous connecter à XClarity Administrator à l'aide du serveur serveur d'authentification LDAP local ou externe en ouvrant votre navigateur Web sur la page de connexion de XClarity Administrator (par exemple, https://<ip_address>/ui/login.htm).

Lorsque XClarity Administrator est configuré pour l'utilisation d'un profil fournisseur d'identité, la page Gestion des utilisateurs dans l'interface Web de XClarity Administrator n'est pas désactivée. Les comptes utilisateur locaux sont requis pour se connecter directement à un châssis ou à un serveur géré (sauf lorsque l'Encapsulation est activé sur cet appareil), ainsi que pour l'authentification PowerShell et API REST.

Procédure

Pour configurer un fournisseur d'identité SAML externe, (AD FS), procédez comme suit.

  1. Créez un compte utilisateur de récupération qui peut être utilisé pour se connecter à XClarity Administrator si le fournisseur d'identité devient indisponible (voir Gestion des comptes utilisateur).
  2. Procédez à l'extraction des métadonnées fournisseur d'identité (IDP) fournisseur d'identité, puis enregistrez le fichier sur l'hôte XClarity Administrator.
  3. Configurez le client SAML XClarity Administrator.
    1. Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité.
    2. Cliquez sur Paramètres SAML sous la section Utilisateurs et groupes pour afficher la boîte de dialogue Paramètres SAML.

      Illustre la page Paramètres SAML.
    3. Complétez les zones de la page Paramètres SAML :
      1. Vérifiez que l’ID d’entité correspond à l’adresse IP du serveur de gestion XClarity Administrator.
      2. Indiquez si les métadonnées générées doivent être signées de façon numérique.
      3. Indiquez si les demandes d'authentification doivent être signées.
      4. Indiquez si les réponses d'authentification doivent être signées.
      5. Indiquez si les demandes de résolution d'artefact envoyées au fournisseur d'identité distant doivent être signées.
      6. Collez les métadonnées fournisseur d'identité (IDP) SAML générées par le fournisseur d'identité et extraites à l'étape 3 dans la zone Métadonnées IDP.
    4. Cliquez sur Appliquer pour appliquer les modifications et mettre à jour le texte dans la zone Métadonnées SP.
      Avertissement
      Ne sélectionnez pas SAML activé à ce stade. Vous activerez SAML ultérieurement pour redémarrer XClarity Administrator.
    5. Copiez et collez les données de la zone Métadonnées SP dans un fichier, puis enregistrez le fichier avec l'extension .XML (par exemple, sp_metadata.xml). Copiez ce fichier sur l'hôte AD FS.
  4. Configurez AD FS.
    1. Ouvrez l'outil de gestion AD FS.
    2. Cliquez sur ADFS > Sécurisations de partie utilisatrice.
    3. Cliquez avec le bouton droit de la souris sur Sécurisations de partie utilisatrice, puis cliquez sur Ajouter la sécurisation de partie utilisatrice pour afficher l'assistant
    4. Cliquez sur Démarrer
    5. Sur la page Sélectionner une source de données, sélectionnez Importer des données concernant la partie utilisatrice depuis un fichier, puis sélectionnez le fichier de métadonnées SP que vous avez enregistré à l'étape 3e.
    6. Entrez un nom d'affichage.
    7. Cliquez sur Suivant sur toutes les pages pour choisir les valeurs par défaut.
    8. Cliquez sur Terminer pour afficher la page Règles de réclamation
    9. Conservez la valeur par défaut pour Envoyer des attributs LDAP comme réclamations et cliquez sur Suivant.
    10. Entrez un nom de règle de réclamation.
    11. Sélectionnez Active Directory comme magasin d'attributs.
    12. Ajoutez un mappage. Dans la partie gauche, sélectionnez SAM-Account-Name, et sur la droite, sélectionnez ID nom comme type de réclamation sortant.
    13. Ajoutez un autre mappage. Dans la partie gauche, sélectionnez Token-Groups-Unqualified Names, et sur la droite, sélectionnez Groupe comme type de réclamation sortant.
    14. Cliquez sur OK.
    15. Recherchez la sécurisation que vous venez de créer dans la liste de Sécurisations de partie utilisatrice.
    16. Cliquez avec le bouton droit de la souris sur la sécurisation, puis cliquez sur Sélectionner les propriétés. La boîte de dialogue des propriétés de sécurisation s'affiche.
    17. Cliquez sur l'onglet Avancé, puis sélectionnez SHA-1 comme algorithme de hachage sécurisé.
  5. Enregistrez le certificat du serveur à partir d'AD FS.
    1. Cliquez sur Console AD FS > Service > Certificats.
    2. Sélectionnez le Certificat sous la signature de jeton.
    3. Cliquez avec le bouton droit de la souris sur le certificat, puis cliquez sur Afficher le certificat.
    4. Cliquez sur l'onglet Détails.
    5. Cliquez sur Copier dans le fichier, puis enregistrez le certificat en tant que fichier X.509 binaire codé par DER (.CER).
    6. Copiez le fichier .CER du certificat du serveur sur l'hôte XClarity Administrator.
  6. Importez le certificat sécurisé de AD FS dans l'interface Web de XClarity Administrator.
    1. Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité.
    2. Cliquez sur Certificats sécurisés dans la section Gestion des certificats.
    3. Cliquez sur l'icône Créer (Icône Créer) pour ajouter un certificat.
    4. Sélectionnez le fichier .CER du certificat du serveur que vous avez enregistré à l'étape précédente.
    5. Cliquez sur Créer.
  7. Cliquez sur Paramètres SAML sous la section Utilisateurs et groupes pour afficher la boîte de dialogue Paramètres SAML.
  8. Sélectionnez SAML activé pour activer la gestion des comptes utilisateur à l'aide d'un fournisseur d'identité externe. Lorsque cette option est sélectionnée, tous les comptes utilisateur existent à distance dans un fournisseur d'identité.
  9. Cliquez sur Appliquer pour appliquer les modifications et redémarrer le serveur de gestion.
  10. Patientez quelques minutes le temps que XClarity Administrator redémarre.
    Avertissement
    Ne redémarrez pas le dispositif virtuel manuellement pendant ce processus.
  11. Fermez puis rouvrez le navigateur Web.
  12. Connectez-vous à l'interface Web de XClarity Administrator depuis le fournisseur d'identité.

Résultats

XClarity Administrator tente de tester la configuration pour détecter les erreurs communes. Si le test échoue, il affiche des messages d'erreur qui indiquent la source des erreurs.

XClarity Administrator valide la connexion à fournisseur d'identité. Si la validation aboutit, l'authentification utilisateur a lieu sur le fournisseur d'identité lorsque vous vous connectez à XClarity Administrator.