IdP Mappage des rôles

Modifier en ligne

Vous pouvez configurer Instana pour attribuer automatiquement aux utilisateurs le rôle d' Instana e (et, si vous le souhaitez, les intégrer à une équipe) en fonction des attributs dont ils disposent au sein de votre fournisseur d'identité ( IdP ).

Cette configuration réduit considérablement la charge de travail de gestion des utilisateurs. Dans l' Instana, vous pouvez utiliser les fonctionnalités de gestion manuelle des utilisateurs et des rôles, même si vous disposez d'une configuration de mappage IdP opérationnelle. Vous pouvez toutefois passer à l'attribution de rôles en vous appuyant sur les règles de mappage d' IdP s afin de centraliser la gestion des utilisateurs et des groupes au sein de votre IdP.

Pour plus d'informations sur l'activation des règles de mappage d' IdP s avec le contrôle d'accès traditionnel basé sur les rôles, consultez la section « Détails de mise en œuvre ».

Prérequis

Modifier en ligne

Pour que la mise en correspondance des rôles fonctionne, veillez à remplir les conditions préalables suivantes :

  • Configurez Instana pour déléguer l'authentification à votre fournisseur d'identité : SAML, OIDC ou LDAP. Si vous déléguez l'authentification à votre IdP,, vous devez connaître l'identifiant d'assertion de vos utilisateurs, par exemple SAML. La réussite de la mise en correspondance des rôles dépend de la saisie des clés et des valeurs d'assertion correctes. Utilisez des outils de navigateur intégrés ou des extensions de navigateur pour afficher une assertion.
  • Créez le rôle « Instana » que vous souhaitez mapper. Pour plus d'informations sur la création de rôles dans l' Instana, consultez la section Créer un rôle.

Règles de correspondance

Modifier en ligne

Une règle de mappage définit quel attribut d'assertion (clé et valeur) est associé à quel rôle d' Instana. Vous pouvez utiliser le même attribut d'assertion pour plusieurs rôles d' Instana. Pour le mappage des rôles, identifiez les attributs d'assertion appropriés que vous souhaitez associer aux rôles existants d' Instana.

Certains éléments de l'OIDC et de l' SAML IdPs peuvent être configurés pour fournir une liste de valeurs sous forme d'attributs dans les profils utilisateur. Si la clé est une liste dans le profil utilisateur, la règle s'appliquera si l'un des éléments de la liste correspond à la valeur. Si la règle correspond, l'utilisateur est ajouté au rôle configuré.

  • Si la case « Refuser l'accès si aucun mappage n'est trouvé » est cochée, l'utilisateur doit appartenir à un rôle pour pouvoir se connecter à Instana.
  • Si la case « Refuser l'accès si aucun mappage n'est trouvé » n'est pas cochée, l'utilisateur sera ajouté au rôle par défaut et provisionné.
Figure 1. IdP règles de mappage

Une règle de mappage se compose d'une clé, d'une valeur et d'un rôle d' Instana. La clé et la valeur font référence à l'attribut d'assertion et à sa valeur à partir de laquelle vous effectuez le mappage. La clé et la valeur doivent être dans le contexte des résultats de l'une des données utilisateur suivantes:

  • Profil OIDC
  • SAML profil
  • LDAP requête de l'utilisateur

Par exemple :

  • SAML : Vous souhaitez associer chaque utilisateur dont l'attribut « Department » contient la valeur « SRE » dans votre fournisseur d'identité SAML au rôle « Owner » de Instana.

    Clé Valeur Rôle
    Service SRE Propriétaire
  • SAML avec ADFS : vous souhaitez mapper chaque utilisateur dont l'attribut « Group » envoyé par les services de fédération d' Active Directory s (ADFS) contient la valeur « instana-admins » au groupe « Administrators » d' Instana.
    Clé Valeur Rôle
    Groupe administrateurs d'instana Administrateurs

    Pour obtenir des instructions détaillées sur la configuration d'ADFS afin d'envoyer l'appartenance à un groupe sous forme de revendications d' SAML, consultez les articles « Créer une règle pour envoyer l'appartenance à un groupe sous forme de revendication » (guide étape par étape pour l'envoi de l'appartenance à un groupe AD sous forme de revendications d' SAML ) et « Créer une règle pour envoyer les attributs d' LDAP sous forme de revendications » (autre approche pour les scénarios présentant des exigences complexes en matière de mappage d'attributs).

  • LDAP : Vous souhaitez associer chaque utilisateur du rôle « "memberOf: CN=administrators,CN=Groups,CN=SVT,OU=APMDir,DC=ibm,DC=com » de votre fournisseur d'identité LDAP au rôle « Instana "adminsDK" ».

    Clé Valeur Rôle
    memberOf CN=administrateurs, CN=Groupes, CN=SVT, OU=APMDir, DC=ibm, DC=com adminsDK
Remarque : l'attribut d'assertion « LDAP » (clé et valeur) doit correspondre exactement au nom commun (CN) du groupe trouvé. Par exemple, si votre LDAP donne dn: cn=myteam,c=de,ou=myorgunit,o=mycoor.org alors, pour la mise en correspondance, la clé est dn et la valeur est cn=myteam,c=de,ou=myorgunit,o=mycoor.org.

Refuser l'accès

Modifier en ligne

Si vous cochez la case dans le volet « Mappage des rôles », votre instance d' Instana s sera verrouillée afin d'empêcher tout accès non mappé. L'accès n'est autorisé qu'aux utilisateurs disposant d'au moins une règle de mappage active qui leur est appliquée lors de leur connexion.

Configurez les règles de mappage pour vos administrateurs et validez qu'ils peuvent se connecter avant de cocher la case.

Détails de l'implémentation

Modifier en ligne

Les rôles attribués par les règles de mappage que vous avez configurées sont traités de manière légèrement différente de l'attribution habituelle des rôles. La principale différence réside dans le fait que les utilisateurs perdent les attributions de rôles qui ne s'appliquent plus lors de leurs prochaines connexions. Lorsque les règles de mappage d' IdP s et le contrôle d'accès basé sur les rôles d' Instana sont tous deux activés, le système fonctionne selon certaines règles qui s'appliquent alors :

  • Si la case à cocher permettant de refuser l'accès n'est pas cochée, les utilisateurs ne disposant d'aucune règle de mappage sont affectés au rôle « Default » de l' Instana. Si ces mêmes utilisateurs occupent déjà le rôle « Par défaut », l'affectation est remplacée par une affectation au rôle « IdP ». IdP L'attribution de rôle implique que l'utilisateur peut perdre l'attribution de rôle « Par défaut » d' Instana lors de ses prochaines connexions si le mappage est modifié ou ne s'applique plus.

  • Une fois que vous avez coché la case permettant de refuser l'accès, les utilisateurs ne disposant pas de règles de mappage applicables ne peuvent pas se connecter. Même les utilisateurs bénéficiant déjà d'une attribution de rôles dans le cadre d' Instana s basées sur les rôles se voient refuser l'accès. Configurez les règles de mappage pour vos administrateurs et validez qu'ils peuvent se connecter avant de cocher la case.