Configuration du fournisseur de services ( SAML /OIDC)
Vous pouvez configurer le langage de balisage d'assertion de sécurité ( SAML ) ou le protocole OIDC ( OpenID ) en tant que fournisseur de services.
Avant de configurer l'authentification par identifiant ( SAML ) ou l'OIDC, assurez-vous d'avoir connecté votre fournisseur d'identité (IdP) à Instana. Pour plus d'informations, consultez la section « Configuration d' LDAP ».
Création de la clé et du certificat du fournisseur de service pour la configuration du fournisseur d'identité
Le fournisseur de services requiert une clé et un certificat pour signer ou valider les messages qu'il échange avec le IdP. La clé et le certificat doivent être chiffrés. Les clés et les certificats non chiffrés ne sont pas acceptés.
Pour générer une clé et un certificat SSL ( SSL ) au format PEM, utilisez openssl l'outil.
Générez une clé privée.
openssl genrsa -aes128 -out sp_key.pem 2048Vous pouvez être invité à entrer une phrase passe. N'oubliez pas cette phrase de passe, car vous en aurez besoin plus tard pour la saisir comme valeur
key_pass.Générez un certificat autosigné à l'aide de la clé privée.
openssl req -new -x509 -key sp_key.pem -out sp_cert.pem -days 365Renseignez les informations CSR (demande de signature de certificat) à l'invite. Veillez à entrer les mêmes informations que celles que vous avez utilisées lors de la génération de la clé privée.
Regroupez le certificat et la clé dans un seul fichier « PEM ».
cat sp_key.pem sp_cert.pem > sp_key_cert.pem
Veillez à stocker le fichier sp_key_cert.pem dans un emplacement sûr.
sp_key_cert.pem fichier dans un secret. La configuration de l' SAML e n'apparaît pas dans l'interface utilisateur tant que vous n'avez pas importé le certificat. Pour l'édition personnalisée auto-hébergée ( Kubernetes ou Red Hat OpenShift Container Platform ), lors de l'installation du backend d' Instana, veillez à ce que le fichier de configuration combiné soit ajouté au secret principal. Pour plus d'informations sur la configuration d'un fournisseur de services, consultez la section « Configuration d'un fournisseur de services ».Modification du fichier « settings.hcl »
Copiez le fichier combiné contenant le certificat et la clé (
sp_key_cert.pem) sur votre serveur Instana, et assurez-vous que l'installation d' Instana puisse lire ce fichier.Mettez à jour le fichier
settings.hclavec les informations de certificat et de clé. Lesettings.hclfichier se trouve dans le même répertoire que celui où vous avez exécuté lainstana initcommande d'installation du backend Instana.key_cert_path: chemin d'accès au fichiersp_key_cert.pemkey_pass: phrase passe que vous avez spécifiée dans la section précédente où vous avez généré la clé.
service_provider { key_cert_path = "/path/to/sp_key_cert.pem" key_pass = "key_pass" }Mettez à jour la configuration d' Instana.
instana update- Dans le menu de navigation de l'interface utilisateur d' Instana, sélectionnez .
Pour plus d'informations sur la configuration de l'authentification et de l'autorisation, consultez les pages SAML authentication and authorization et OpenId Connect authentication and authorization.
Remplacement du certificat
Le certificat créé avant a une durée de vie de 365 jours après laquelle vous devez en fournir un nouveau.
Pour ce faire, procédez comme suit:
Obtenez le fichier
sp_key.pemque vous avez créé précédemment.Créez le certificat.
openssl req -new -x509 -key sp_key.pem -out sp_cert.pem -days 365Regroupez-les dans un seul fichier « PEM ».
cat sp_key.pem sp_cert.pem > sp_key_cert.pemCopiez le résultat
sp_key_cert.pemdans le fichierpathToKeyCertPemet redémarrez instana en exécutant la commande instana stop & & instana start.
settings.hcl fichier.