Configuration de l'authentification

Modifier en ligne

Vous pouvez configurer l'authentification dans Instana afin de sécuriser l'accès à l'aide d'une connexion standard, de l'authentification multifactorielle (MFA) ou de fournisseurs d'identité.

Pour sécuriser l'accès à Instana, vous pouvez configurer différentes méthodes d'authentification. Suivez ces étapes pour configurer l'authentification de votre environnement Instana.

Authentification standard

Modifier en ligne

Instana utilise par défaut une authentification standard avec un nom d'utilisateur (adresse e-mail) et un mot de passe. Pour renforcer la sécurité, utilisez l'authentification multifactorielle (MFA) pour tous les utilisateurs, en particulier pour les comptes privilégiés. Si votre organisation utilise un fournisseur d'identité ( IdP ), configurez-le pour Instana conformément à votre politique en vigueur. IdP traite des exigences en matière d'authentification, d'application de l'authentification multifactorielle (MFA), de complexité des mots de passe et de rotation des mots de passe. Si votre organisation n'utilise pas d' IdP,, activez l'authentification à deux facteurs ( 2FA ) lors de la création de votre compte Instana afin de réduire le risque d'usurpation d'identité.

Authentification et autorisation SAML

Modifier en ligne

L'implémentation de la norme « SAML » proposée par Instana est compatible avec tous les serveurs IdPs conformes. Le fonctionnement des IdPs s suivantes est vérifié dès leur installation :

Cette liste n'est pas exhaustive et sera mise à jour à mesure que d'autres options seront validées :

Mise en route

Modifier en ligne

Pour activer SAML, vous devez créer une application SAML pour Instana dans votre IdP et l'attribuer à chaque utilisateur. Les utilisateurs créés via SAML se voient automatiquement attribuer le rôle par défaut.

Les installations auto-hébergées qui n'ont pas créé la clé du fournisseur de services auparavant doivent créer cette clé et configurer le fournisseur de services. Pour plus d'informations sur la configuration d'un fournisseur de services, consultez la section « Configuration d'un fournisseur de services ».

Remarque : une fois que vous avez activé SAML pour un locataire, vous ne pouvez vous connecter à Instana qu'en utilisant SAML. Pour modifier une configuration active d' SAML, vous devez supprimer la configuration actuelle et en créer une nouvelle. Vous pouvez supprimer la configuration de l' SAML soit via l'interface API en utilisant un jeton disposant des autorisations nécessaires, soit en cliquant sur le bouton Supprimer dans la boîte de dialogue « Configuration de l' SAML » de l'interface utilisateur Instana.

Instana prend en charge deux méthodes pour configurer SAML avec votre IdP:

  • Configuration automatisée par l'échange de fichiers de métadonnées
  • Configuration manuelle en saisissant les valeurs requises dans votre fichier ` IdP `

Vous pouvez configurer ces deux méthodes dans la boîte de dialogue « Configurer l'authentification - SAML » dans Instana.

Remarque : la durée de validité acceptée pour les jetons d'authentification SAML est comprise entre 1 et 200 jours. Cette gamme couvre les paramètres par défaut de la plupart des modèles SaaS et OnPrem IdPs.
Figure 1. Paramètres SAML

Configuration automatique

Modifier en ligne
Remarque : vous devez activer le protocole HTTPS ( JavaScript ) dans votre navigateur pour pouvoir vous authentifier sur SAML.

Certains fournisseurs d'identité ( IdPs ) prennent en charge la configuration automatique d' SAML s via l'échange de fichiers de métadonnées. Pour configurer automatiquement l'authentification par le protocole « SAML » :

  1. Dans le menu de navigation de l'interface utilisateur d' Instana, accédez à Paramètres > Sécurité et accès > Fournisseurs d'identité > SAML.
  2. Saisissez l'adresse e-mail et l'identifiant de l'entité du fournisseur de services (SP) dans la boîte de dialogue « Configurer l'authentification - SAML ».
  3. Sélectionnez **Automatique ** si votre service d' IdP s permet l'envoi de métadonnées d' Instana.
  4. Cliquez sur « Télécharger les métadonnées d' Instana ».
  5. Téléchargez les métadonnées « Instana » que vous avez téléchargées vers votre fournisseur d'identité.
  6. Téléchargez les métadonnées de l' IdP depuis votre compte IdP.
  7. Cliquez sur « Choisir un fichier » pour l'envoyer à Instana, puis téléchargez vos métadonnées IdP sur Instana.
  8. Ouvrez un nouvel onglet de navigation privée ou un autre navigateur, puis essayez de vous connecter à Instana en utilisant vos identifiants IdP afin de vérifier la configuration.

Configuration manuelle

Modifier en ligne

Vous pouvez recourir à la configuration manuelle si votre fournisseur d'identité ne vous permet pas d'importer des métadonnées d' Instana. Pour la configuration manuelle, vous devez saisir les valeurs des métadonnées de l'application « SAML ». Pour éviter toute erreur, copiez-collez les valeurs requises à partir de la boîte de dialogue « Configurer l'authentification - SAML » dans l'interface utilisateur d' Instana.

Pour configurer manuellement l'authentification par le protocole « SAML » :

  1. Dans le menu de navigation de l'interface utilisateur d' Instana, accédez à Paramètres > Sécurité et accès > Fournisseurs d'identité > SAML.
  2. Saisissez l'adresse e-mail et l'identifiant de l'entité du fournisseur de services (SP) dans la boîte de dialogue « Configurer l'authentification - SAML ».
  3. Sélectionnez « Manuel ».
  4. Dans votre instance d' IdP,, créez une application SAML en utilisant les valeurs fournies dans l'interface utilisateur de Instana. Pour plus d'informations sur ces valeurs, consultez la page « Valeurs des métadonnées » sur Instana,
  5. Téléchargez les métadonnées de l' IdP depuis votre compte IdP.
  6. Cliquez sur « Choisir un fichier » pour l'envoyer sur Instana, puis téléchargez le fichier de métadonnées IdP.
  7. Ouvrez un nouvel onglet de navigation privée ou un autre navigateur, puis essayez de vous connecter à Instana en utilisant vos identifiants IdP afin de vérifier la configuration.

Instana valeurs des métadonnées

Modifier en ligne

Les valeurs de métadonnées suivantes d' Instana sont requises pour connecter votre fournisseur d'identité à Instana :

  • ID d'entité du fournisseur de services (SP)

    L'identifiant d'entité du fournisseur de services (SP) utilisé par Instana pour communiquer avec votre fournisseur d'identité ( IdP ) correspond au nom de votre tenant.

  • Format d'identifiant de nom Le format d'identifiant de nom de l' SAML doit être défini à EMAIL l'aide de l'identificateur de format : urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

  • Service de gestion des identités (authentification unique) URL

    L'adresse du service de gestion des identités (ACS) URL, également appelée « Single Sign-On » URL, est constituée d'une partie fixe provenant de Instana et du nom de votre tenant.

    Le format d'adresse URL est le suivant :

    https://instana.io/auth/signIn/saml/callback?client_name=SAML2Client\<Tenant Name>

    Par exemple, si votre tenant est « instana », l'adresse URL serait alors :

    https://instana.io/auth/signIn/saml/callback?client_name=SAML2ClientInstana

  • URL de déconnexion

    Central, IdP-initiated La déconnexion est prise en charge.

    L' URL de déconnexion est fixe et ne comporte aucune partie variable. Vous pouvez accéder directement à l' URL suivante :

    https://instana.io/auth/signOut/saml/callback

Nom d'utilisateur

Modifier en ligne

Le nom d'utilisateur est généré à partir des attributs de l' SAML, fournis par l' IdP lors de la connexion.

La recommandation générale des attributs X500-style et de leurs alias connus est suivie.

La logique suivante est appliquée pour extraire un nom d'utilisateur à partir des attributs fournis :

  • Vérifiez si un nom d'affichage a été fourni comme l'un des noms d'attribut suivants: name/displayname/cn/urn:oid:2.5.4.3.
  • Vérifiez si un prénom a été fourni comme l'un des noms d'attribut suivants: firstname/givenname/gn/userfirstname/urn:oid:2.5.4.42.
  • Vérifiez si un nom de famille a été fourni comme l'un des noms d'attribut suivants: lastname/sn/userlastname/surname/urn:oid:2.5.4.4.

Le nom d'affichage est prioritaire sur toutes les autres options. Si le nom d'affichage est introuvable, mais que seul un prénom, un nom de famille ou les deux sont trouvés, les noms trouvés sont utilisés. Si rien n'est trouvé, la chaîne précédant le @-sign de NameID (qui est le user-eMail) est utilisée pour générer un nom.

Les changements de nom sont reflétés après la déconnexion d'un utilisateur car cela nécessite un échange avec le IdP.

Configuration d' SAML dans l' core.secret

Modifier en ligne

Pour afficher l'élément « SAML » dans le volet de navigation, procédez core.secret comme suit :

  1. Entrez mykeypass comme keyPassword.

     # SAML configuration
 serviceProviderConfig:
 # Password for the key/cert file
 keyPassword: mykeypass

  2. Créez la clé en exécutant la commande suivante :

    openssl genrsa -aes128 -out key.pem 2048

  3. Créez le certificat en exécutant la commande suivante :

    openssl req -new -x509 -key key.pem -out cert.pem -days 365

  4. Regroupez la clé et le certificat dans un seul fichier en exécutant la commande suivante :

    cat key.pem cert.pem > sp.pem

Authentification et autorisation OpenId Connect

Modifier en ligne

L'intégration OIDC d' Instana est conforme aux normes et est donc prise en charge par toutes les IdP's actuelles compatibles OIDC.

Configuration

Modifier en ligne

Pour accéder au formulaire de configuration, dans le menu de navigation de l'interface utilisateur d' Instana, cliquez sur Paramètres > Sécurité et accès > Fournisseurs d'identité.

Figure 2. Configurer l'authentification - OIDC

Pour configurer Instana comme fournisseur de services pour votre application côté fournisseur d'identité. Les valeurs suivantes de votre fournisseur d'identité sont nécessaires.

  • ClientID: Il s'agit de l'identifiant attribué à votre application par le fournisseur d'identité.

  • Clé secrète du client : il s'agit d'un jeton utilisé par Instana pour vérifier l'authenticité de la réponse fournie par le fournisseur d'identité. Cette valeur est une clé secrète et est conservée en toute sécurité.

  • URL de découverte : utilisez une URL de découverte de votre configuration OIDC; Instana la récupérera automatiquement.

  • Compte administrateur / propriétaire: une adresse électronique d'un compte OIDC doit être saisie ici. Les droits owner sont initialement accordés à ce compte après le basculement vers le flux OIDC, tous les autres seront affectés aux droits default .

En outre, les valeurs suivantes sont importantes pour la configuration côté fournisseur d'identité.

  • URL de redirection : l'URI de redirection que vous définissez dans l' IdP détermine où les réponses sont envoyées depuis Instana.
  • Mettre fin à la session URL / Se déconnecter URL : pour se déconnecter d' IdP-initiated.
Remarque : une fois l'OIDC activé pour un locataire, vous ne pouvez plus vous connecter à Instana d'aucune autre manière. La configuration OIDC peut être supprimée via API à l'aide d'un jeton disposant des autorisations nécessaires.

Connexion unique Google (SSO)

Modifier en ligne

Vous pouvez activer la fonctionnalité d'authentification unique « Google » préconfigurée d' Instana pour votre organisation. La connexion unique est un paramètre de titulaire. Lorsque vous activez la connexion unique, elle est appliquée à toutes les unités de locataire de votre organisation. Les utilisateurs d' Instana s créés via l'authentification unique (SSO) de Google sont ajoutés au rôle utilisateur intégré « default ».

Pour activer la connexion unique Google , procédez comme suit:

  1. Dans le menu de navigation de l'interface utilisateur d' Instana, cliquez sur Paramètres > Sécurité et accès > Fournisseurs d'identité.
  2. Sélectionnez « SSO d' Google s préconfiguré ».
  3. Dans la zone Domaines autorisés , entrez les domaines qui correspondent à l'adresse e-mail de votre organisation. Par exemple, @instana.com. Utilisez des virgules pour séparer plusieurs domaines.
    Remarque : indiquez les noms de domaine dont votre organisation est propriétaire. N'utilisez pas de domaines externes à votre organisation, tels que « @ gmail.com », car cela permettrait à toute personne disposant d'une adresse e-mail sur ce domaine d'y accéder.
  4. Cliquez sur Sauvegarder.

Les utilisateurs dont l'adresse e-mail appartient à l'un des domaines répertoriés dans le champ « Domaines autorisés » sont autorisés à s'inscrire en tant que nouveaux utilisateurs sur Instana.

Les utilisateurs ayant obtenu un accès à Instana via l'authentification unique (SSO) de Google peuvent accéder à Instana même si vous modifiez ou supprimez ultérieurement les domaines autorisés. Pour révoquer l'accès d'un utilisateur, supprimez-le de Instana.

Définition du délai d'expiration de la session

Modifier en ligne

Vous pouvez définir un délai d'expiration de session pour Instana. Le délai d'expiration de la session s'applique au niveau du tenant.

  • Délai d'expiration d'une session inactive : durée maximale pendant laquelle un onglet du navigateur contenant l'interface graphique d' Instana peut rester masqué. Si vous accédez à l'interface utilisateur d' Instana et que vous passez à un autre onglet dans le navigateur, la session expire au bout du délai défini. Vous devez vous reconnecter à l'interface utilisateur d' Instana. La valeur par défaut est de 8 heures.
  • Délai d'expiration de la session utilisateur : durée maximale pendant laquelle un utilisateur peut rester connecté après s'être connecté à l'interface graphique d' Instana. La session expire après la durée fixée. L'utilisateur doit se reconnecter à l'interface utilisateur d' Instana. La valeur par défaut est 7 jours. Le délai d'attente de la session inactive est prioritaire sur le délai d'attente de la session utilisateur.

Pour définir le délai d'attente de la session, procédez comme suit :

  1. Dans le menu de navigation de l'interface utilisateur d' Instana, cliquez sur Paramètres > Sécurité et accès > Délais d'expiration des sessions.
  2. Définir la durée du délai d'attente.
  3. Cliquez sur Sauvegarder.