|
Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi. |
Permissions de groupe avec Shibboleth et OpenLDAP
Parce que Shibboleth est un fournisseur SAML, il ne prend pas en charge la recherche de groupes. Bien qu’une intégration Shibboleth puisse valider les identifiants des utilisateurs, elle ne peut pas être utilisée pour attribuer des permissions aux groupes dans Rancher sans configuration supplémentaire.
Une solution à ce problème est de configurer un fournisseur d’identité OpenLDAP. Avec un back-end OpenLDAP pour Shibboleth, vous pourrez rechercher des groupes dans Rancher et les attribuer à des ressources telles que des clusters, des projets ou des espaces de noms depuis l’interface utilisateur de Rancher.
Terminologie
-
Shibboleth est un système de connexion unique pour les réseaux informatiques et Internet. Il permet aux utilisateurs de se connecter en utilisant une seule identité à divers systèmes. Il valide les identifiants des utilisateurs, mais ne gère pas, à lui seul, les appartenances aux groupes.
-
SAML: Security Assertion Markup Language, une norme ouverte pour l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité et un fournisseur de services.
-
OpenLDAP: une implémentation gratuite et Open Source du protocole léger d’accès aux répertoires (LDAP). Il est utilisé pour gérer les ordinateurs et les utilisateurs d’une organisation. OpenLDAP est utile pour les utilisateurs de Rancher car il prend en charge les groupes. Dans Rancher, il est possible d’attribuer des permissions aux groupes afin qu’ils puissent accéder à des ressources telles que des clusters, des projets ou des espaces de noms, tant que les groupes existent déjà dans le fournisseur d’identité.
-
IdP ou IDP: Un fournisseur d’identité. OpenLDAP est un exemple de fournisseur d’identité.
Ajout des permissions de groupe OpenLDAP aux ressources Rancher
Le diagramme ci-dessous illustre comment les membres d’un groupe OpenLDAP peuvent accéder aux ressources dans Rancher pour lesquelles le groupe a des permissions.
Par exemple, un propriétaire de cluster pourrait ajouter un groupe OpenLDAP à un cluster afin que ses membres disposent des permissions nécessaires pour visualiser la plupart des ressources au niveau du cluster et créer de nouveaux projets. Ensuite, les membres du groupe OpenLDAP auront accès au cluster dès qu’ils se connecteront à Rancher.
Dans ce scénario, OpenLDAP permet au propriétaire du cluster de rechercher des groupes lors de l’attribution des permissions. Sans OpenLDAP, la fonctionnalité de recherche de groupes ne serait pas prise en charge.
Lorsqu’un membre du groupe OpenLDAP se connecte à Rancher, elle est redirigée vers Shibboleth et saisit son nom d’utilisateur et son mot de passe.
Shibboleth valide ses identifiants et récupère les attributs de l’utilisateur depuis OpenLDAP, y compris les groupes. Ensuite, Shibboleth envoie une assertion SAML à Rancher incluant les attributs de l’utilisateur. Rancher utilise les données du groupe afin qu’elle puisse accéder à toutes les ressources et permissions dont ses groupes disposent.
Permissions de groupe SAML et OpenLDAP
When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.
Rancher assigns user permissions based strictly on the groups provided in the SAML response.
|
Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response. To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups. |