Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Configuration de Shibboleth (SAML)

Si votre organisation utilise Shibboleth Identity Provider (IdP) pour l’authentification des utilisateurs, vous pouvez configurer Rancher pour permettre à vos utilisateurs de se connecter à Rancher en utilisant leurs identifiants Shibboleth.

Dans cette configuration, lorsque les utilisateurs de Rancher se connectent, ils seront redirigés vers l’IdP Shibboleth pour entrer leurs identifiants. Après l’authentification, ils seront redirigés vers l’interface utilisateur de Rancher.

Si vous configurez également OpenLDAP comme back-end de Shibboleth, il renverra une assertion SAML à Rancher avec des attributs utilisateur incluant des groupes. L’utilisateur authentifié pourra alors accéder aux ressources dans Rancher pour lesquelles ses groupes ont des permissions.

Les instructions de cette section supposent que vous comprenez comment Rancher, Shibboleth et OpenLDAP fonctionnent ensemble. Pour une explication plus détaillée de son fonctionnement, reportez-vous à cette page.

Configuration de Shibboleth dans Rancher

Prérequis pour Shibboleth

  • Vous devez avoir un serveur IdP Shibboleth configuré.

  • Voici les URL du fournisseur de services Rancher nécessaires à la configuration : URL des métadonnées : https://<rancher-server>/v1-saml/shibboleth/saml/metadata URL du service consommateur d’assertion (ACS) : https://<rancher-server>/v1-saml/shibboleth/saml/acs

  • Exportez un fichier metadata.xml depuis votre serveur IdP. Pour plus d’informations, consultez la documentation Shibboleth.

Configurer Shibboleth dans Rancher

Si votre organisation utilise Shibboleth pour l’authentification des utilisateurs, vous pouvez configurer Rancher pour permettre à vos utilisateurs de se connecter en utilisant leurs identifiants IdP.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et authentification.

  2. Dans le menu de navigation à gauche, cliquez sur Fournisseur d’authentification.

  3. Cliquez sur Shibboleth.

  4. Complétez le formulaire Configurer le compte Shibboleth. Shibboleth IdP vous permet de spécifier quel magasin de données vous souhaitez utiliser. Vous pouvez soit ajouter une base de données, soit utiliser un serveur LDAP existant. Par exemple, si vous sélectionnez votre serveur Active Directory (AD), les exemples ci-dessous décrivent comment vous pouvez mapper les attributs AD aux champs dans Rancher.

    1. Champ Nom d’affichage : Entrez l’attribut AD qui contient le nom d’affichage des utilisateurs (exemple : displayName).

    2. Champ Nom d’utilisateur : Entrez l’attribut AD qui contient le nom d’utilisateur/prénom (exemple : givenName).

    3. Champ UID : Entrez un attribut AD qui est unique pour chaque utilisateur (exemple : sAMAccountName, distinguishedName).

    4. Champ Groupes : Faites des entrées pour gérer les adhésions aux groupes (exemple : memberOf).

    5. Rancher API Host : Entrez l’URL de votre serveur Rancher.

    6. Clé privée et Certificat : Ceci est une paire clé-certificat pour créer un shell sécurisé entre Rancher et votre IdP.

      Vous pouvez en générer une en utilisant une commande openssl. Par exemple :

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    7. Métadonnées IDP : Le fichier metadata.xml que vous avez exporté depuis votre serveur IdP.

  5. Après avoir complété le formulaire Configurer le compte Shibboleth, cliquez sur Activer.

    Rancher vous redirige vers la page de connexion de l’IdP. Entrez les identifiants permettant de vous authentifier auprès de l’IdP Shibboleth afin de valider la configuration de Shibboleth dans Rancher.

    Vous devrez peut-être désactiver votre bloqueur de fenêtres contextuelles pour voir la page de connexion de l’IdP.

Résultat : Rancher est configuré pour fonctionner avec Shibboleth. Vos utilisateurs peuvent désormais se connecter à Rancher en utilisant leurs identifiants Shibboleth.

Avertissements concernant le fournisseur SAML

Si vous configurez Shibboleth sans OpenLDAP, les avertissements suivants s’appliquent en raison du fait que le protocole SAML ne prend pas en charge la recherche ou la consultation des utilisateurs ou des groupes.

  • Il n’y a pas de validation sur les utilisateurs ou les groupes lors de l’attribution de permissions dans Rancher.

  • Lors de l’ajout d’utilisateurs, les identifiants exacts des utilisateurs (c’est-à-dire le champ UID) doivent être saisis correctement. Lorsque vous tapez l’identifiant de l’utilisateur, il n’y aura pas de recherche pour d’autres identifiants d’utilisateurs qui pourraient correspondre.

  • Lors de l’ajout de groupes, vous devez sélectionner le groupe dans le menu déroulant à côté de la zone de texte. Rancher suppose que toute saisie dans la zone de texte est un utilisateur.

  • Le menu déroulant des groupes affiche uniquement les groupes dont vous êtes membre. Cependant, si vous avez des permissions d’administrateur ou des permissions d’administrateur restreintes, vous pouvez rejoindre un groupe dont vous n’êtes pas membre.

Pour activer la recherche de groupes lors de l’attribution de permissions dans Rancher, vous devrez configurer un back-end pour le fournisseur SAML qui prend en charge les groupes, tel qu’OpenLDAP.

Configuration de la déconnexion unique SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Configuration d’OpenLDAP dans Rancher

Si vous configurez également OpenLDAP comme back-end de Shibboleth, il renverra une assertion SAML à Rancher avec des attributs utilisateur incluant des groupes. Les utilisateurs authentifiés pourront alors accéder aux ressources dans Rancher pour lesquelles leurs groupes ont des permissions.

Prérequis pour OpenLDAP

Rancher doit être configuré avec un compte de liaison LDAP (également appelé compte de service) pour rechercher et récupérer les entrées LDAP concernant les utilisateurs et les groupes qui devraient avoir accès. Il est recommandé de ne pas utiliser un compte administrateur ou un compte personnel à cette fin et de créer plutôt un compte dédié dans OpenLDAP avec un accès en lecture seule aux utilisateurs et groupes sous la base de recherche configurée (voir ci-dessous).

Utilisez-vous TLS ?

Si le certificat utilisé par le serveur OpenLDAP est auto-signé ou n’est pas d’une autorité de certification reconnue, assurez-vous d’avoir à portée de main le certificat CA (concaténé avec tous les certificats intermédiaires) au format PEM. Vous devrez coller ce certificat lors de la configuration afin que Rancher puisse valider la chaîne de certificats.

Configurer OpenLDAP dans Rancher

Configurer les paramètres pour le serveur OpenLDAP, les groupes et les utilisateurs. Pour obtenir de l’aide pour remplir chaque champ, référez-vous à la référence de configuration. Notez que l’appartenance à des groupes imbriqués n’est pas disponible pour Shibboleth.

Avant de procéder à la configuration, veuillez vous familiariser avec les concepts de Configuration d’authentification externe et utilisateurs principaux.

  1. Connectez-vous à l’interface utilisateur de Rancher en utilisant le compte local initial admin.

  2. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et authentification.

  3. Dans le menu de navigation à gauche, cliquez sur Fournisseur d’authentification.

  4. Cliquez sur Shibboleth ou, si SAML est déjà configuré, Edit Config.

  5. Sous User and Group Search, cochez Configurer un serveur OpenLDAP.

Dépannage

Si vous rencontrez des problèmes lors du test de la connexion au serveur OpenLDAP, vérifiez d’abord les identifiants saisis pour le compte de service ainsi que la configuration de la base de recherche. Vous pouvez également consulter les journaux de Rancher pour aider à identifier la cause du problème. Les journaux de débogage peuvent contenir des informations plus détaillées sur l’erreur. Veuillez vous référer à Comment puis-je activer la journalisation de débogage dans cette documentation.