Configuration de Active Directory
Active Directory Classic nécessite davantage de configuration pour fonctionner avec SAML que sa version Azure. Pour cela, suivez la documentation standard de SAML.
Les conseils suivants s'appliquent à une installation Active Directory classique et non à Azure Active Directory.
Prérequis
- Dans votre installation d' Active Directory, activez le service de fédération d' Active Directory (ADFS).
- Pour accéder à Instana, assurez-vous que tous les utilisateurs ont une adresse électronique dans leur profil.
- Des droits d'administrateurs sont requis.
Obtenir les métadonnées du fournisseur de services
Pour faciliter la configuration, un fichier d' XML s de métadonnées du fournisseur de services est fourni. Ce fichier peut être téléchargé à partir de la boîte de dialogue des paramètres SAML :
Pour faciliter la configuration, un fichier d' XML s de métadonnées du fournisseur de services est fourni. Vous pouvez télécharger ce fichier depuis Instana, puis vous rendre dans Paramètres > Sécurité et accès > Fournisseurs d'identité.
Pour sauvegarder le fichier pour une utilisation ultérieure, cliquez sur METADATA DOWNLOAD.
Création du partenaire de confiance
Dans la liste des outils, ouvrez AD FS Management.
Sélectionnez Add Relying Party Trust.
Un assistant vous est alors proposé pour créer une relation de confiance entre parties (ou « SAML »).
L'étape Select Data Source (Sélectionner une source de données) de cette boîte de dialogue vous permet de transférer les métadonnées du fournisseur de services que vous avez téléchargées d'Instana. Transférez le fichier et attendez que le traitement d'Active Directory soit terminé.
Terminez les étapes restantes pour créer le nouveau lien de confiance.
Vous êtes alors invité à utiliser la vue par défaut Gestion de la SV AD , qui contient maintenant le Associer la confiance de partienouvellement créé.
Ajouter les mappages d'attributs nécessaires
Instana doit recevoir l'adresse e-mail d'un utilisateur authentifié. Vous devez donc ajouter un mappage pour obtenir l'adresse e-mail de chaque utilisateur associé à l'interaction « SAML ».
Active Directory a des problèmes avec le mappage correct de ce mappage, vous devez donc vous aider à utiliser une combinaison de règles.
Pour ajouter la règle, sélectionnez la nouvelle Associer la confiance de partie, puis cliquez sur Editer la règle d'émission des demandes d'indemnisation ....
Il n'y a peut-être pas de règles à cet effet puisqu'il vient de se créer.
Sélectionnez « Ajouter une règle... ».
La boîte de dialogue suivante vous guide dans la création de la règle de mappage.
Sélectionnez « Envoyer les attributs d' LDAP s sous forme de revendications » dans la liste.
Attribuez un nom à la règle et choisissez de mapper E-Mail-Address à E-Mail-Address.
Sélectionnez Ajouter une règle ... Pour ajouter Transformer une demande d'indemnisation à venir. Cette règle se charge de convertir l'adresse e-mail au format NameID requis par la norme SAML.
Sélectionnez Adresse électronique comme type de demande entrant et ID de nom comme type de demande sortant. Format d'ID de nom sortant doit être défini sur le courrier électronique pour que la conversion réelle ait lieu.
Vous pouvez ensuite voir la liste de règles suivante.
L'ordre de ces règles est important, il faut donc vérifier que tout est bien à sa place.
C'est tout pour ce qui concerne Active Directory.
Terminer la configuration dans l' Instana
Connectez l' Instana e à Active Directory. Vous avez déjà importé les métadonnées du fournisseur de services depuis Instana vers AD.
Vous devez fournir l' IdP-Metadata, de l'adresse AD à l'adresse Instana.
Procédez comme suit :
Tout d'abord, vous devez télécharger le fichier de métadonnées. Utilisez un navigateur et accédez à https://<AD_HOST_NAME>/FederationMetadata/2007-06/FederationMetadata.xml, et veillez à remplacer < AD_HOST_NAME> par le nom de la machine sur laquelle AD s'exécute.
Enregistrez le fichier téléchargé localement, puis ouvrez la boîte de dialogue « Instana -saml_configuration ».
Sélectionnez Cliquez ici pour sélectionner PDI-Métadonnées-Fichier pour le téléchargement , puis cliquez sur ACTIVER.
Instana est accessible via l'adresse SAML.
Connexion à Instana pour la première fois après l'activation d' SAML
Lorsque vous configurez l'authentification via SAML pour Instana, vous devez saisir une adresse e-mail dans le champ **« Saisissez une adresse e-mail qui sera automatiquement attribuée au groupe des propriétaires »**. Cette adresse e-mail est indispensable pour conserver l'accès administrateur à Instana une fois que SAML aura été activé.
Attribution des droits de propriétaire à l'aide d'une adresse e-mail
L'adresse e-mail que vous saisissez lors de la configuration d' SAML sert de mécanisme de démarrage. Cela garantit qu'au moins un utilisateur de votre fournisseur d'identité ( IdP ) puisse accéder à Instana avec des privilèges d'administrateur dès l'activation de SAML.
Cette configuration de messagerie est indispensable pour les raisons suivantes :
- Une fois l' SAML e activée, vous ne pourrez vous connecter à Instana qu'en utilisant l'authentification SAML.
- L'utilisateur dont l'adresse e-mail correspond à ce champ se voit attribuer les droits de propriétaire.
- Cet accès est disponible avant même que vous ne configuriez les mappages de groupes ou que vous n'attribuiez des rôles à d'autres utilisateurs.
- Tous les autres utilisateurs qui se connectent via SAML se voient attribuer le rôle par défaut; voir manage-users.html.
Se connecter à Instana en tant qu'administrateur initial
Pour vous connecter en tant qu'administrateur initial après avoir activé l'authentification par le service « SAML », procédez comme suit :
- Go vers votre adresse Instana URL (par exemple, ` https://your-tenant.instana.io `). Vous êtes automatiquement redirigé vers la page de connexion de vos services de fédération Active Directory (ADFS).
- Connectez-vous avec les identifiants de l'utilisateur dont l'adresse e-mail **correspond exactement** à celle que vous avez saisie dans le champ « Groupe de propriétaires » lors de la configuration d' SAML. Une fois l'authentification effectuée avec succès via votre IdP,, vous serez redirigé vers Instana avec tous les droits d'administration.
L'administrateur initial peut alors effectuer les tâches suivantes :
- Configurer les mappages de groupes pour attribuer des rôles à d'autres utilisateurs
- Gérer les accès et les autorisations des utilisateurs
- Modifiez les paramètres d' SAML e si nécessaire (en supprimant puis en recréant la configuration)
Remarques importantes
- Email L'adresse doit correspondre exactement : l'adresse e-mail figurant dans votre profil utilisateur sur Active Directory doit correspondre exactement à celle que vous avez saisie lors de la configuration de SAML.
- Respect de la casse : assurez-vous que l'adresse e-mail correspond exactement, tant au niveau de la casse que de la mise en forme.
- Le compte doit être actif : le compte utilisateur doit être actif et accessible sur Active Directory.
- SAML C'est la seule méthode de connexion : une fois l' SAML ation activée, l'authentification standard par nom d'utilisateur et mot de passe n'est plus disponible. Assurez-vous que l'adresse e-mail du groupe de propriétaires est correcte avant d'activer la fonction « SAML ».
- Testez dans un autre navigateur : avant de fermer votre session actuelle, ouvrez une fenêtre de navigation privée ou un autre navigateur pour tester la connexion à SAML et vérifier que l'administrateur initial peut accéder à Instana.
Résolution des problèmes liés à la première connexion
Si vous ne parvenez pas à vous connecter après avoir activé SAML, essayez les étapes de dépannage suivantes :
- Vérifiez que l'adresse e-mail correspond : assurez-vous que l'adresse e-mail figurant dans votre profil utilisateur ADFS correspond exactement à celle saisie lors de la configuration d' SAML.
- Vérifier l'état du compte utilisateur : assurez-vous que le compte utilisateur est actif sur Active Directory.
- Vérifier l'échange de métadonnées d' SAML : Vérifiez que les métadonnées de IdP ont bien été téléchargées sur Instana et que les métadonnées de Instana ont été correctement configurées dans ADFS.
- Consultez les journaux ADFS : vérifiez si les journaux ADFS contiennent des erreurs d'authentification ou des problèmes liés aux assertions d' SAML.
- API Accès à des fins de restauration : si vous ne pouvez plus accéder au système, vous pouvez supprimer la configuration de l' SAML via l'interface Instana REST API à l'aide d'un jeton disposant des autorisations nécessaires.
Mise en correspondance des groupes d' Active Directory s avec les rôles d' Instana
Une fois l'authentification via SAML configurée, vous pouvez associer des groupes Active Directory à des rôles Instana afin d'attribuer automatiquement aux utilisateurs les autorisations appropriées en fonction de leur appartenance à un groupe AD. Cette mise en correspondance permet une gestion centralisée des utilisateurs via votre Active Directory.
- ADFS transmet des informations sur les groupes : vous configurez ADFS pour inclure l'appartenance à des groupes AD en tant qu'attributs dans l'assertion « SAML ».
- L'utilisateur se connecte via SAML : lorsqu'un utilisateur s'authentifie, ADFS envoie une assertion « SAML » contenant les groupes auxquels appartient l'utilisateur.
- Instana reçoit l'assertion : Instana extrait les attributs du groupe de l'assertion SAML.
- Les règles de mappage s'appliquent : les règles de mappage d' Instana font correspondre les valeurs de l'attribut « SAML » aux rôles de Instana.
- L'utilisateur est provisionné : l'utilisateur se voit automatiquement attribuer les rôles correspondants dans l' Instana.
Cette approche basée sur les attributs est conforme à la norme « SAML » et offre une grande souplesse, mais elle nécessite une configuration sur ADFS (pour envoyer les informations relatives aux groupes) et sur Instana (pour mapper les attributs).
Prérequis
Avant de configurer le mappage des rôles, vérifiez que les conditions préalables suivantes sont remplies :
- Effectuez la configuration de base d' SAML, comme décrit dans les sections précédentes.
Créez les rôles d' Instana s auxquels vous souhaitez effectuer le mappage. Pour plus d'informations, consultez le site manage-users.html.
- Déterminez quels groupes d' Active Directory s doivent correspondre à quels rôles d' Instana.
- Assurez-vous que les utilisateurs font partie des groupes AD appropriés.
Étape 1 : Configurer ADFS pour envoyer les informations d'appartenance à un groupe
Vous devez configurer ADFS pour inclure l'appartenance au groupe « Active Directory » en tant que revendications dans l'assertion « SAML ». Pour ce faire, il suffit d'ajouter des règles de revendication à votre confiance de partie de confiance dans ADFS.
La configuration d'ADFS comprend les étapes suivantes :
- Ajouter des règles de réclamation pour envoyer les informations relatives à l'appartenance à un groupe.
- Configurez la manière dont les informations relatives au groupe sont représentées dans l'assertion « SAML ».
- Précisez les groupes Active Directory vers lesquels envoyer les informations, ou envoyez toutes les appartenances à des groupes.
- Veillez à ce que les valeurs des réclamations soient cohérentes et faciles à mettre en correspondance.
Pour obtenir des instructions détaillées sur la configuration d'ADFS afin d'envoyer des revendications de groupe, consultez les références suivantes dans la documentation officielle de Microsoft :
- Guide étape par étape pour envoyer l'appartenance à un groupe AD sous forme de revendications d' SAML : Créer une règle pour envoyer l'appartenance à un groupe sous forme de revendication
- Autre approche pour les scénarios présentant des exigences complexes en matière de mappage d'attributs : créer une règle pour envoyer les attributs d' LDAP s sous forme de revendications
Tenez compte des points clés suivants pour la configuration d'ADFS :
- Utilisez un nom d'attribut cohérent pour les revendications de groupe (par exemple, « Groupe », « Rôle » ou un nom personnalisé)
- Utilisez des identifiants de groupe simples, en minuscules (par exemple, « instana-admins » au lieu de « CN= Instana -Admins,OU=Groups,DC=example,DC=com »)
- Faites d'abord un test avec quelques groupes avant d'envoyer le message à tous les membres des groupes
- Sachez que l'envoi d'un grand nombre de groupes peut entraîner des assertions d' SAML s volumineuses
Étape 2 : Vérifiez que l'assertion « SAML » contient les informations relatives au groupe
Avant de configurer l' Instana, vérifiez qu'ADFS transmet les informations de groupe dans l'assertion « SAML » en suivant les étapes suivantes :
- Connectez-vous à Instana en utilisant l'authentification SAML.
- Utilisez les outils de développement de votre navigateur ( F12 ) pour analyser le trafic réseau.
- Recherchez la réponse « SAML » (généralement une redirection POST vers une page de rappel URL ).
- Décodez l'assertion « SAML » (elle est codée en format « base64 ») et recherchez les attributs de groupe.
Exemple d'assertion « SAML » avec des informations sur le groupe :
<saml:Attribute Name="Group">
<saml:AttributeValue>instana-admins</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="Group">
<saml:AttributeValue>instana-developers</saml:AttributeValue>
</saml:Attribute>
Étape 3 : Configurer les règles de mappage dans l' Instana
Une fois qu'ADFS a été configuré pour envoyer des informations de groupe, créez des règles de mappage dans Instana afin de mapper les attributs SAML aux rôles Instana en suivant les étapes suivantes :
- Dans l'interface utilisateur d' Instana, accédez à Paramètres > Sécurité et accès > Fournisseurs d'identité > Mappage des rôles.
- Cliquez sur « Créer une règle de mappage ».
- Configurez chaque règle de mappage :
- Légende : nom de l'attribut « SAML » (par exemple, «Group», «Role» ou tout autre nom que vous avez configuré dans ADFS)
- Valeur : la valeur exacte envoyée par ADFS pour un groupe spécifique (par exemple, « instana-admins »)
- Rôle : sélectionnez le rôle d' Instana à attribuer aux utilisateurs (par exemple, « Administrateurs »)
- Équipe (facultatif) : affecter des utilisateurs à une équipe spécifique
- Cliquez sur **Sauvegarder**.
- Répétez cette opération pour chaque groupe AD que vous souhaitez mapper.
| Clé | Valeur | Rôle | Equipe |
|---|---|---|---|
| Groupe | administrateurs d'instana | Administrateurs | (facultatif). |
| Groupe | développeurs d'instana | Développeurs | (facultatif). |
| Groupe | visionneuses Instana | Afficheurs | (facultatif). |
Étape 4 : Tester le mappage des rôles
Pour vérifier que le mappage des rôles fonctionne correctement, procédez comme suit :
- Essayez de vous déconnecter complètement de Instana en tant qu'utilisateur test membre d'un groupe AD mappé.
- Essayez de vous reconnecter à Instana en tant qu'utilisateur test avec l'adresse SAML.
- Dans l'interface graphique d' Instana, accédez à Paramètres > Sécurité et accès > Utilisateurs.
- Recherchez l'utilisateur de test et vérifiez qu'il dispose bien des rôles Instana appropriés.
- Vérifiez que l'utilisateur dispose des autorisations attendues en fonction de son appartenance à un rôle.
Remarques importantes
- Mappage basé sur les attributs : le mappage repose sur les attributs d'assertion d' SAML, et non sur une liaison directe entre les rôles d'Active Directory et d' Instana.
- Mises à jour dynamiques : les attributions de rôles sont mises à jour à chaque connexion en fonction de l'assertion d' SAML.
- Rôles multiples : les utilisateurs peuvent appartenir à plusieurs groupes Active Directory et se voient attribuer tous les rôles d' Instana s correspondants.
- Respect de la casse : les noms et les valeurs des attributs SAML sont sensibles à la casse.
- Correspondance exacte : la valeur indiquée dans vos règles de mappage doit correspondre exactement à celle envoyée par ADFS.
- Option « Refuser l'accès » : vous pouvez configurer Instana pour refuser l'accès aux utilisateurs qui ne correspondent à aucune règle de mappage. Pour plus d'informations, consultez la section « Mappage des rôles » sur IdP.
Dépannage du mappage des rôles
Si le mappage des rôles ne fonctionne pas comme prévu, essayez les étapes de dépannage suivantes :
- Vérifiez l'assertion « SAML » : utilisez les outils de développement du navigateur ou une extension de traçage SAML pour vous assurer qu'ADFS envoie bien les informations relatives aux groupes.
- 2. Vérifiez les noms d'attributs : assurez-vous que la « clé » (Key) de vos règles de mappage Instana correspond exactement au nom de l'attribut SAML (en tenant compte de la casse).
- 3. Vérifiez les valeurs des attributs : assurez-vous que la « Valeur » indiquée dans vos règles de mappage correspond exactement à la valeur de l'attribut SAML (la casse est prise en compte).
- 4. Vérifier les règles de revendication ADFS : assurez-vous que les règles de revendication dans ADFS sont correctement configurées et appliquées à la relation de confiance de partie de confiance « Instana ».
- 5. Effectuez un test avec une nouvelle connexion : demandez à l'utilisateur de se déconnecter complètement, puis de se reconnecter afin de vous assurer que la dernière assertion d' SAML est bien prise en compte.
- 6. Vérifiez qu'il n'y a pas de fautes de frappe : même de petites différences (espaces, majuscules) peuvent empêcher la correspondance.
- 7. Consultez les journaux d' Instana : vérifiez les journaux d' Instana pour détecter toute erreur liée à SAML ou au mappage des rôles.