Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

2. Configuration de SUSE Rancher Prime pour Microsoft AD FS

Après avoir complété Configuration de Microsoft AD FS pour Rancher, entrez vos informations de Service de Fédération Active Directory (AD FS) dans Rancher afin que les utilisateurs AD FS puissent s’authentifier avec Rancher.

Notes importantes pour la configuration de votre serveur AD FS :

  • L’URL du service du protocole SAML 2.0 WebSSO est : https://<RANCHER_SERVER>/v1-saml/adfs/saml/acs

  • L’URL de l’identifiant de la confiance de la partie dépendante est : https://<RANCHER_SERVER>/v1-saml/adfs/saml/metadata

  • Vous devez exporter le fichier federationmetadata.xml depuis votre serveur AD FS. Cela peut être trouvé à : https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et authentification.

  2. Dans le menu de navigation à gauche, cliquez sur Fournisseur d’authentification.

  3. Cliquez sur AD FS.

  4. Complétez le formulaire Configurer le compte AD FS. Microsoft AD FS vous permet de spécifier un serveur Active Directory (AD) existant. La section de configuration ci-dessous décrit comment vous pouvez mapper les attributs AD aux champs dans Rancher.

  5. Après avoir complété le formulaire Configurer le compte AD FS, cliquez sur Activer.

    Rancher vous redirige vers la page de connexion AD FS. Entrez des identifiants permettant de vous authentifier auprès de Microsoft AD FS pour valider votre configuration AD FS de Rancher.

    Vous devrez peut-être désactiver votre bloqueur de fenêtres contextuelles pour voir la page de connexion AD FS.

Résultat : Rancher est configuré pour fonctionner avec AD FS. Vos utilisateurs peuvent désormais se connecter à Rancher en utilisant leurs identifiants AD FS.

Configuration

Champ Description

Champ Nom d’affichage

L’attribut AD qui contient le nom d’affichage des utilisateurs.

Exemple : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Champ Nom d’utilisateur

L’attribut AD qui contient le nom d’utilisateur/prénom.

Exemple : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Champ UID

Un attribut AD qui est unique pour chaque utilisateur.

Exemple : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

Champ Groupes

Créez des entrées pour gérer l’appartenance aux groupes.

Exemple : http://schemas.xmlsoap.org/claims/Group

Hôte API Rancher

L’URL de votre serveur Rancher.

Clé privée / Certificat

Ceci est une paire clé-certificat pour créer un shell sécurisé entre Rancher et votre AD FS. Assurez-vous de définir le Nom Commun (CN) sur l’URL de votre serveur Rancher.

Commande de création de certificat

Metadata XML

Le fichier federationmetadata.xml exporté de votre serveur AD FS.

Vous pouvez trouver ce fichier à https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml.

Exemple de commande de création de certificat

Vous pouvez générer un certificat en utilisant une commande openssl. Par exemple :

openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

Configuration de la déconnexion unique SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Permissions de groupe SAML et OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.