Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Configurer PingIdentity (SAML)

Si votre organisation utilise Ping Identity Provider (IdP) pour l’authentification des utilisateurs, vous pouvez configurer Rancher pour permettre à vos utilisateurs de se connecter en utilisant leurs identifiants IdP.

Conditions préalables :

  • Vous devez avoir un Serveur Ping IdP configuré.

  • Voici les URL du fournisseur de services Rancher nécessaires à la configuration : URL des métadonnées : https://<rancher-server>/v1-saml/ping/saml/metadata URL du service consommateur d’assertion (ACS) : https://<rancher-server>/v1-saml/ping/saml/acs Notez que ces URL ne renverront pas de données valides tant que la configuration d’authentification n’est pas enregistrée dans Rancher.

  • Exportez un fichier metadata.xml depuis votre serveur IdP. Pour plus d’informations, consultez la documentation de PingIdentity.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et authentification.

  2. Dans le menu de navigation à gauche, cliquez sur Fournisseur d’authentification.

  3. Cliquez sur Ping Identity.

  4. Complétez le formulaire Configurer un compte Ping. Ping IdP vous permet de spécifier quel magasin de données vous souhaitez utiliser. Vous pouvez soit ajouter une base de données, soit utiliser un serveur LDAP existant. Par exemple, si vous sélectionnez votre serveur Active Directory (AD), les exemples ci-dessous décrivent comment vous pouvez mapper les attributs AD aux champs dans Rancher.

    1. Champ Nom d’affichage : Entrez l’attribut AD qui contient le nom d’affichage des utilisateurs (exemple : displayName).

    2. Champ Nom d’utilisateur : Entrez l’attribut AD qui contient le nom d’utilisateur/prénom (exemple : givenName).

    3. Champ UID : Entrez un attribut AD qui est unique pour chaque utilisateur (exemple : sAMAccountName, distinguishedName).

    4. Champ Groupes : Faites des entrées pour gérer les adhésions aux groupes (exemple : memberOf).

    5. Champ d’ID d’entité (optionnel) : L’identifiant unique publié et dépendant du protocole de votre partenaire. Cet ID définit votre organisation comme l’entité opérant le serveur pour les transactions SAML 2.0. Cet ID peut avoir été obtenu hors bande ou via un fichier de métadonnées SAML.

    6. Rancher API Host : Entrez l’URL de votre serveur Rancher.

    7. Clé privée et Certificat : Ceci est une paire clé-certificat pour créer un shell sécurisé entre Rancher et votre IdP.

      Vous pouvez en générer une en utilisant une commande openssl. Par exemple :

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    8. Métadonnées IDP : Le fichier metadata.xml que vous avez exporté depuis votre serveur IdP.

  5. Après avoir complété le formulaire Configurer le compte Ping, cliquez sur Activer.

    Rancher vous redirige vers la page de connexion de l’IdP. Entrez les identifiants permettant de vous authentifier auprès de Ping IdP afin de valider la configuration de PingIdentity dans Rancher.

    Vous devrez peut-être désactiver votre bloqueur de fenêtres contextuelles pour voir la page de connexion de l’IdP.

Résultat : Rancher est configuré pour fonctionner avec PingIdentity. Vos utilisateurs peuvent désormais se connecter à Rancher en utilisant leurs identifiants PingIdentity.

Avertissements concernant le fournisseur SAML

  • Les utilisateurs et les groupes ne sont pas validés lorsque vous leur attribuez des autorisations dans Rancher.

  • Lors de l’ajout d’utilisateurs, les identifiants d’utilisateur exacts (c’est-à-dire UID Field) doivent être saisis correctement. Lorsque vous tapez l’identifiant de l’utilisateur, il n’y aura pas de recherche d’autres identifiants d’utilisateur pouvant correspondre.

  • Lors de l’ajout de groupes, vous devez sélectionner le groupe dans le menu déroulant à côté de la zone de texte. Rancher suppose que toute saisie dans la zone de texte est un utilisateur.

  • Le menu déroulant des groupes affiche uniquement les groupes dont vous êtes membre. Si vous avez des autorisations d’administrateur ou des autorisations d’administrateur restreintes, vous pouvez rejoindre un groupe dont vous n’êtes pas membre.

Configuration de la déconnexion unique SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Permissions de groupe SAML et OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.