Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Configurer Okta (SAML)

Si votre organisation utilise Okta Identity Provider (IdP) pour l’authentification des utilisateurs, vous pouvez configurer Rancher pour permettre à vos utilisateurs de se connecter en utilisant leurs identifiants IdP.

L’intégration d’Okta ne prend en charge que les connexions initiées par le fournisseur de services.

Conditions préalables

Dans Okta, créez une application SAML avec les paramètres ci-dessous. Consultez la documentation d’Okta pour obtenir de l’aide.

Paramètre Valeur

Single Sign on URL

https://yourRancherHostURL/v1-saml/okta/saml/acs

Audience URI (SP Entity ID)

https://yourRancherHostURL/v1-saml/okta/saml/metadata

Configurer Okta dans Rancher

Vous pouvez intégrer Okta avec Rancher, afin que les utilisateurs authentifiés puissent accéder aux ressources de Rancher via leurs permissions de groupe. Okta renvoie une assertion SAML qui authentifie un utilisateur, y compris les groupes auxquels appartient un utilisateur.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et authentification.

  2. Dans le menu de navigation à gauche, cliquez sur Fournisseur d’authentification.

  3. Click Okta.

  4. Complétez le formulaire Configurer le compte Okta. Les exemples ci-dessous décrivent comment vous pouvez mapper les attributs d’Okta à partir des déclarations d’attributs aux champs dans Rancher.

    Champ Description

    Champ Nom d’affichage

    Le nom de l’attribut d’une déclaration d’attribut qui contient le nom d’affichage des utilisateurs.

    Champ Nom d’utilisateur

    Le nom de l’attribut d’une déclaration d’attribut qui contient le nom d’utilisateur/prénom.

    Champ UID

    Le nom de l’attribut d’une déclaration d’attribut qui est unique à chaque utilisateur.

    Champ Groupes

    Le nom de l’attribut dans une déclaration d’attribut de groupe qui expose vos groupes.

    Hôte de l’API Rancher

    L’URL de votre serveur Rancher.

    Clé privée / Certificat

    Une paire clé/certificat utilisée pour le chiffrement des assertions.

    Metadata XML

    Le fichier Identity Provider metadata que vous trouvez dans la section Sign On de l’application.

    Vous pouvez générer une paire clé/certificat en utilisant une commande openssl. Par exemple :

     openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout myservice.key -out myservice.crt

  5. Après avoir complété le formulaire Configurer le compte Okta, cliquez sur Activer.

    Rancher vous redirige vers la page de connexion de l’IdP. Entrez les identifiants permettant de vous authentifier auprès de l’IdP Okta afin de valider la configuration Okta dans Rancher.

    Si rien ne semble se passer, c’est probablement parce que votre navigateur a bloqué le pop-up. Assurez-vous de désactiver le bloqueur de pop-up pour votre domaine Rancher et de l’ajouter à la liste blanche dans toutes les autres extensions que vous pourriez utiliser.

Résultat : Rancher est configuré pour fonctionner avec Okta. Vos utilisateurs peuvent désormais se connecter à Rancher en utilisant leurs identifiants Okta.

Avertissements concernant le fournisseur SAML

Si vous configurez Okta sans OpenLDAP, vous ne pourrez pas rechercher ou consulter directement les utilisateurs ou les groupes. Cela entraîne plusieurs mises en garde :

  • Les utilisateurs et les groupes ne sont pas validés lorsque vous leur attribuez des autorisations dans Rancher.

  • Lors de l’ajout d’utilisateurs, les identifiants d’utilisateur exacts (c’est-à-dire UID Field) doivent être saisis correctement. Lorsque vous tapez l’identifiant de l’utilisateur, il n’y aura pas de recherche d’autres identifiants d’utilisateur pouvant correspondre.

  • Lors de l’ajout de groupes, vous devez sélectionner le groupe dans le menu déroulant à côté de la zone de texte. Rancher suppose que toute saisie dans la zone de texte est un utilisateur.

  • Le menu déroulant des groupes affiche uniquement les groupes dont vous êtes membre. Cependant, si vous avez des permissions d’administrateur ou des permissions d’administrateur restreintes, vous pouvez rejoindre un groupe dont vous n’êtes pas membre.

Okta avec recherche OpenLDAP

Vous pouvez ajouter un backend OpenLDAP pour aider à la recherche d’utilisateurs et de groupes. Rancher affichera des utilisateurs et des groupes supplémentaires provenant du service OpenLDAP. Cela permet d’attribuer des permissions à des groupes dont l’utilisateur connecté n’est pas déjà membre.

Prérequis pour OpenLDAP

Si vous utilisez Okta comme votre IdP, vous pouvez configurer une interface LDAP pour que Rancher l’utilise. Vous pouvez également configurer un serveur OpenLDAP externe.

Vous devez configurer Rancher avec un compte de liaison LDAP (également appelé compte de service) afin de pouvoir rechercher et récupérer les entrées LDAP pour les utilisateurs et les groupes qui devraient avoir accès. N’utilisez pas un compte administrateur ou un compte personnel comme compte de liaison LDAP. Créer un compte dédié dans OpenLDAP, avec un accès en lecture seule aux utilisateurs et groupes sous la base de recherche configurée.

Considérations relatives à la sécurité

Le compte de service OpenLDAP est utilisé pour toutes les recherches. Les utilisateurs de Rancher verront les utilisateurs et groupes que le compte de service OpenLDAP peut consulter, indépendamment de leurs autorisations SAML individuelles.

Utilisez-vous TLS ?

Si le certificat utilisé par le serveur OpenLDAP est auto-signé ou provient d’une autorité de certification non reconnue, Rancher a besoin du certificat CA (concaténé avec tous les certificats intermédiaires) au format PEM. Fournissez ce certificat lors de la configuration afin que Rancher puisse valider la chaîne de certificats.

Configurer OpenLDAP dans Rancher

Configurer les paramètres pour le serveur OpenLDAP, les groupes et les utilisateurs. Notez que l’appartenance à des groupes imbriqués n’est pas disponible.

Avant de procéder à la configuration, veuillez vous familiariser avec la configuration d’authentification externe et les utilisateurs principaux.

  1. Connectez-vous à Rancher en utilisant un utilisateur local assigné au rôle administrateur (c’est-à-dire, le principal local).

  2. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et authentification.

  3. Dans le menu de navigation à gauche, cliquez sur Fournisseur d’authentification.

  4. Cliquez sur Okta ou, si SAML est déjà configuré, Modifier la configuration.

  5. Sous User and Group Search, cochez Configurer un serveur OpenLDAP.

Si vous rencontrez des problèmes lors du test de la connexion au serveur OpenLDAP, assurez-vous d’avoir saisi les identifiants du compte de service et configuré correctement la base de recherche. L’inspection des journaux de Rancher peut aider à identifier la cause profonde. Les journaux de débogage peuvent contenir des informations plus détaillées sur l’erreur. Veuillez vous référer à Comment puis-je activer la journalisation de débogage pour plus d’informations.

Configuration de la déconnexion unique SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Permissions de groupe SAML et OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.