Configuration de
Clarity
pour la prise en charge de SAML 2.0

ccppmop1591
Clarity
permet aux clients sur site d'utiliser les informations d'authentification émises par un fournisseur d'identités qui prend en charge SAML 2.0 et de se connecter à
Clarity
.
L'utilisation de la connexion par authentification unique basée sur la norme SAML présente les principaux avantages suivants :
  • Intégration transparente entre les réseaux et les environnements : tous les utilisateurs peuvent basculer facilement entre le réseau Intranet de votre organisation et
    Clarity
    .
  • Simplification de la gestion des mots de passe : il n'est pas nécessaire d'isoler la gestion des mots de passe des utilisateurs de
    Clarity
    , car votre système de gestion des utilisateurs gère également les mots de passe.
Voici quelques-uns des principaux domaines couverts dans cette rubrique :
2
Configuration des métadonnées SAML dans
Clarity
Chaque fournisseur d'identités prenant en charge la norme SAML 2.0 fournit une méthode de partage des métadonnées SAML avec d'autres applications. Demandez à l'administrateur de sécurité de votre organisation de vous fournir les métadonnées SAML pour votre fournisseur d'identités. Vous pourrez ensuite importer le fichier de métadonnées SAML dans
Clarity
.
Clarity
vous permet de réaliser les activités suivantes.
Examinons comment réaliser chacune de ces activités.
Importation de métadonnées SAML dans
Clarity
Lorsque l'administrateur vous aura fourni le fichier de métadonnées SAML, vous pourrez l'importer dans
Clarity
à l'aide de l'option Authentification et clés disponible sur la page Administration. Vous pouvez charger les métadonnées SAML ou remplir manuellement les différents attributs nécessaires à l'établissement d’une connexion avec le fournisseur d'identités.
Clarity
Importation de métadonnées SAML à l'aide d'un fichier XML
Pour importer les métadonnées SAML dans
Clarity
, vous pouvez utiliser le bouton Importer les métadonnées du fournisseur d'identités.
Procédez comme suit
:
  1. Connectez-vous à
    Clarity
    .
  2. Dans le menu principal, cliquez sur
    Administration
    .
  3. Cliquez sur
    Authentification et clés
    et sélectionnez
    Configurations SAML
    .
  4. Pour importer les métadonnées SAML, utilisez le bouton
    Importer les métadonnées du fournisseur d'identités
    .
  5. Entrez l'identifiant de configuration, le nom de la configuration et chargez le fichier de métadonnées SAML. Cliquez sur
    Terminé
    pour charger le fichier. La configuration SAML est maintenant prête. Le certificat associé à vos métadonnées SAML est désormais disponible dans l'onglet
    Certificats
    .
  6. Utilisez le sélecteur de colonnes pour ajouter divers attributs tels que l'URL du consommateur d'assertions, le contexte d'authentification, l'ID d'entité et l'ID d'entité du fournisseur d'identités à la grille. Ces attributs sont obligatoires et remplis en fonction des métadonnées SAML que vous avez importées.
  7. Utilisez cette option pour ajouter des attributs facultatifs, tels que le nom de l'organisation et le courriel du contact du service de support.
Saisie manuelle des configurations SAML
Si vous ne pouvez pas générer le fichier de métadonnées SAML à l'aide de votre fournisseur d'identités, ou si vous souhaitez remplir manuellement les configurations SAML, les détails suivants sont requis. Vous devrez obtenir la plupart de ces détails avec l'aide de l'administrateur de sécurité.
Clarity
Attribut
Description
Fournisseur
Certificat X509
Le certificat X509 est un format standard pour le chiffrement à clé publique. L'administration de sécurité doit vous fournir le texte du certificat pour vous permettre de le mettre à jour dans
Clarity
.
Administrateur de sécurité
Contexte d'authentification
Le contexte d'authentification permet aux fournisseurs d'identités d'augmenter les assertions à l'aide d'informations supplémentaires relatives à l'authentification de l'utilisateur au niveau du fournisseur d'identités.
urn:oasis:names:tc:SAML:2.0:ac:classes:password
Administrateur de sécurité
Liaison du consommateur d'assertions
Les liaisons vous permettent de définir le format dans lequel les données sont transférées entre les fournisseurs d'identités et les fournisseurs de service.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
Administrateur de sécurité
ID d'entité du fournisseur d'identités
L'ID d'entité du fournisseur d'identités est un nom globalement unique pour chaque application créée dans le fournisseur d'identités.
http://www.okta.com/temp1eeddw
Administrateur de sécurité
ID d'entité
L'ID d'entité est un terminal unique pour
Clarity
. Vous pouvez ajouter l'ID que vous avez utilisé lors de la création de la configuration SAML pour générer l'ID d'entité.
http://ppmtemp.test.clarity.net:8080/niku/nu/sso/<ID>
Administrateur
Clarity
Formats d'ID de nom
Les formats d'ID de nom définissent les formats d'identificateur de nom pris en charge par le fournisseur d'identités.
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Administrateur de sécurité
Liaison du service d'authentification unique
La liaison du service d'authentification unique spécifie la liaison qui existe entre le service d'authentification unique au niveau du fournisseur d'identités et
Clarity
.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
Administrateur de sécurité
URL du service d'authentification unique
L'URL du service d'authentification unique fournit l'URL du service d'authentification unique de votre fournisseur d'identités.
https://dev-sample.okta.com/app/dummyorg388382_org_1/exkedjmn434r35tALF357/sso/saml
Administrateur de sécurité
Liaison de service de déconnexion unique du fournisseur d'identités
La liaison de service de déconnexion unique du fournisseur d'identités permet au fournisseur d'identités d'effectuer le suivi de tous les fournisseurs de service qui ont émis une réponse d'authentification lorsqu'un utilisateur utilise le fournisseur d'identités pour se connecter à plusieurs fournisseurs de service, y compris
Clarity
. Lorsque l'utilisateur se déconnecte ultérieurement de
Clarity
, le fournisseur d'identités est informé des autres fournisseurs de service auxquels il est connecté et peut envoyer des demandes de déconnexion si nécessaire.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
Administrateur de sécurité
URL du consommateur d'assertions
L'URL du consommateur d'assertions est le terminal dans
Clarity
auquel le fournisseur d'identités fournit une réponse d'authentification. Cette URL doit toujours se terminer par /niku/nu pour garantir l'intégration SAML correcte.
http://ppmtemp.test.clarity.net:8080/niku/nu
Administrateur
Clarity
Procédez comme suit :
  1. Connectez-vous à
    Clarity
    .
  2. Dans le menu principal, cliquez sur Administration.
  3. Cliquez sur
    Authentification et clés
    et sélectionnez
    Certificats
    .
  4. Cliquez sur
    Ajouter une ligne
    et entrez le
    Nom
    , le
    Texte du certificat
    et l'
    ID
    . Ces informations sont généralement fournies par l'administrateur de sécurité.
  5. Cliquez sur
    Configurations SAML
    , puis sur
    Ajouter une ligne
    .
  6. Sélectionnez le
    Panneau de colonnes
    pour ajouter les attributs appropriés à la grille
    Clarity
    . Vous pouvez maintenant commencer à ajouter les détails fournis par l'administrateur de sécurité.
La page Configuration SAML utilise la grille commune
Clarity
. Pour en savoir plus sur la grille commune
Clarity
, consultez la section Composants communs.
Gestion des certificats de sécurité
Vous pouvez utiliser
Clarity
pour gérer les certificats de sécurité dans votre organisation. Lorsque vous importez le fichier de métadonnées SAML dans
Clarity
, le certificat de sécurité est automatiquement disponible sur la page Certificats. Si votre organisation souhaite chiffrer la communication entre
Clarity
et le fournisseur d'identités, vous pouvez ajouter le certificat approprié sur la page Certificats. Vous pouvez également utiliser cette page pour mettre à jour une liste de certificats de votre organisation pour d'autres produits.
Clarity
Procédez comme suit :
  1. Connectez-vous à
    Clarity
    .
  2. Dans le menu principal, cliquez sur Administration.
  3. Cliquez sur
    Authentification et clés
    et sélectionnez
    Certificats
    .
  4. Cliquez sur
    Ajouter une ligne
    et entrez le
    Nom
    , le
    Texte du certificat
    et l'
    ID
    . Ces informations sont généralement fournies par l'administrateur de sécurité.
  5. Cliquez sur
    Panneau de colonnes
    pour ajouter les attributs appropriés à la grille
    Clarity
    . Vous pouvez ajouter les attributs Date de début et Date d'expiration à la grille pour permettre aux administrateurs de vérifier la validité du certificat.
  6. Si vous avez ajouté un certificat de fournisseur de service pour chiffrer la communication entre
    Clarity
    et le fournisseur d'identités :
    1. Cliquez sur
      Configurations SAML
      et utilisez le
      Panneau de colonnes
      pour ajouter les attributs suivants :
      • Certificat du fournisseur de service
      • Chiffrer les assertions de fournisseur d'identités
      • Clé privée
    2. Double-cliquez sur la colonne
      Certificat du fournisseur de service
      pour sélectionner le certificat du fournisseur de service.
    3. Sélectionnez la case
      Chiffrer les assertions de fournisseur d'identités
      .
    4. Entrez la clé privée.
La page Certificats utilise la grille commune
Clarity
. Pour en savoir plus sur la grille commune, consultez la section Composants communs.
Exportation des métadonnées du fournisseur de service
Après avoir chargé vos métadonnées SAML dans
Clarity
, vous devez fournir les métadonnées
Clarity
appropriées au fournisseur d'identités pour lui permettre d'authentifier les utilisateurs qui veulent accéder à
Clarity
.
Procédez comme suit :
  1. Connectez-vous à
    Clarity
    .
  2. Dans le menu principal, cliquez sur
    Administration
    .
  3. Cliquez sur
    Authentification et clés
    et sélectionnez
    Configurations SAML
    .
  4. Cliquez avec le bouton droit de la souris sur la configuration à exporter et sélectionnez Exporter les métadonnées du fournisseur de service.
  5. Enregistrez le fichier et envoyez-le à l'administrateur de sécurité.
Configuration de
Clarity
pour la prise en charge de plusieurs fournisseurs d'identités
Vous pouvez configurer
Clarity
pour prendre en charge plusieurs fournisseurs d'identités. Bien que la plupart des organisations utilisent un seul fournisseur d'identités, dans certains cas (Par ex. : migration d'un fournisseur d'identités vers un autre), vous voudrez peut-être prendre en charge plusieurs fournisseurs d'identités.
Procédez comme suit :
  1. Créez une configuration SAML pour le deuxième fournisseur d'identités dans
    Clarity
    . Pour plus d'informations, consultez la section Importation de métadonnées SAML.
  2. Mettez à jour l'URL du consommateur d'assertions pour y ajouter le suffixe ?sso_code=<ID>. Voici un exemple. Veillez à utiliser le même ID que celui utilisé pour configurer la configuration SAML dans
    Clarity
    .
    http://ppmtemp.test.clarity.net:8080/niku/nu?sso_code=IDP2
    Clarity
  3. Exportez les métadonnées
    Clarity
    et utilisez-les pour configurer le fournisseur d'identités. Pour en savoir plus sur l'exportation de métadonnées
    Clarity
    , consultez la section Exportation des métadonnées du fournisseur de service.
    Par exemple, vous avez configuré le systèm Okta comme deuxième fournisseur d'identités. Lorsque de la configuration d'Okta, effectuez les opérations suivantes :
    • Mettez à jour l'option URL d'authentification unique pour ajoutez le suffixe ?sso_code=<ID>.
    • Désactivez la case
      Use this for Recipient URL and Destination URL
      (Utiliser pour l'URL du destinataire et l'URL de destination).
    • Supprimez le paramètre ?sso_code=<ID> de l'URL du destinataire et de l'URL de destination. Pour en savoir plus sur la configuration d'autres fournisseurs d'identités, consultez la section Exemples de configuration SAML.
Configuration de
Clarity
pour la prise en charge de SAML 2.0
Vous devez effectuer les actions suivantes pour configurer
Clarity
pour la prise en charge de la norme SAML 2.0.
Mise à jour des paramètres dans l'outil d'administration système
Clarity
(CSA)
La dernière étape de configuration de
Clarity
pour la prise en charge de SAML 2.0 consiste à actuver l'authentification unique et à définir le type de jeton dans l'outil d'administration système
Clarity
.
Procédez comme suit :
  1. Connectez-vous à l'Outil d'administration système
    Clarity
    à l'aide du lien suivant. L'URL de connexion par défaut suivante s'applique au CSA sur les serveurs exécutant Apache Tomcat : http://<nom_hôte>:<port>/niku/app.
  2. Sélectionnez le serveur approprié.
  3. Accédez à l'onglet
    Application
    et sélectionnez la case à cocher
    Utiliser l'authentification unique
    dans la section Instance d'application : Application.
  4. Enregistrez les modifications.
  5. Accédez à l'onglet
    Sécurité
    et définissez la valeur du champ Type de jeton sur
    En-tête
    .
    Clarity
  6. Enregistrez les modifications.
  7. Redémarrez les services
    Clarity
    .
Activer l'authentification SAML
Vous devez activer l'authentification SAML dans PPM classique. Procédez comme suit :
  1. Connectez-vous à PPM classique et sélectionnez
    Administration
    ,
    Options du système
    pour ouvrir la page Options du système.
  2. Sélectionnez l'option
    Activer l'authentification SAML
    .
Clarity
Vérification de la correspondance des détails de connexion entre
Clarity
et le fournisseur d'identités
Vous devez vous assurer que les détails de connexion dans le fournisseur d'identités correspondent aux détails associés au champ Nom d'utilisateur de la ressource dans
Clarity
.
Clarity
  1. Connectez-vous à PPM classique avec les informations d'identification de l'administrateur.
  2. Sélectionnez
    Administration
    ,
    Ressources
    pour ouvrir la page Ressources.
  3. Sélectionnez une ressource pour l'ouvrir et assurez-vous que la valeur du champ
    Nom d'utilisateur
    correspond aux détails de connexion associés à votre fournisseur d'identités.
Points clés à retenir
Voici quelques points clés à retenir lors de la configuration de
Clarity
pour la prise en charge de l'authentification SAML 2.0 :
  • Clarity
    utilise les tables CMN_SEC_CERTS et CMN_SEC_SAML_CONFIGS pour stocker les détails SAML dans la base de données.
  • Si vous avez configuré l'authentification SAML 2.0 sur un système de développement ou de test et que vous copiez les données de production sur ces systèmes, vous devez effectuer les opérations suivantes :
    • Supprimez la configuration SAML copiée.
    • Importez à nouveau les métadonnées SAML.
    • Veillez à ne pas tronquer les tables de base de données.
Examen d'exemples de configuration de fournisseur d'identités
Voici quelques exemples de configuration de fournisseurs d'identités
.
Okta et Azure sont utilisés à titre d'exemple ;
Clarity
prend en charge tous les fournisseurs d'identités prenant en charge SAML 2.0.
Configuration du système Okta pour émettre des informations d'identification pour
Clarity
Vous pouvez demander à l'administrateur de sécurité de créer une application SAML 2.0 dans Okta et de la configurer pour permettre aux utilisateurs de l'entreprise d'utiliser leurs informations d'identification pour se connecter à
Clarity
.
Effectuez les opérations suivantes :
  1. Connectez-vous à l'application Okta Administrator.
  2. Dans le menu supérieur, cliquez sur
    Applications
    , puis sélectionnez à nouveau
    Applications
    .
    Clarity
  3. Cliquez sur
    Add Application
    pour créer une application.
  4. Sélectionnez le bouton radio
    SAML 2.0
    pour créer une application SAML 2.0.
    Clarity
  5. Spécifiez le nom de l'application et chargez son logo.
    Clarity
  6. Dans la fenêtre Configure SAML, entrez les informations suivantes :
    Clarity
    • Single Sign-On URL : il s'agit de l’URL d'entrée de l'application
      Clarity
      . Exemple : https://test.broadcom.com/niku/nu .
    • Sélectionnez la case à cocher
      Use this for Recipient URL and Destination URL
      .
    • Dans le champ Audience URI (SP Entity ID), entrez l'ID de l'entité du fournisseur de services de votre application
      Clarity
      . En général, il s'agit de l'URL d'entrée de votre application pointant vers action:union.samlMetadata. Exemple : https://testppm.broadcom.com/niku/nu#action:union.samlMetadata.
    • Dans le champ Default RelayState, entrez l'URL vers laquelle vous souhaitez que l'application soit redirigée après une assertion SAML correcte. Par exemple, https://testppm.broadcom.com/pm redirige les utilisateurs vers la Nouvelle expérience utilisateur dans
      Clarity
      .
    • Ne mettez pas à jour les champs suivants :
      • Name ID Format
      • Application Username
      • Update Application Username on
    • Sous la section Attribute Statements (Optional) :
      • Dans le champ Name, sélectionnez Login.
      • Dans le champ Name format, sélectionnez Unspecified.
      • Dans le champ Value, sélectionnez User email.
  7. Dans la fenêtre
    Are you a customer or partner
    , sélectionnez l'option pertinente pour votre scénario et cliquez sur
    Finish
    .
    Clarity
  8. Cliquez sur
    View Setup Instructions
    , faites défiler l'écran jusqu'en bas, copiez les métadonnées du fournisseur d'identités et enregistrez-les sous forme de fichier XML.
    Clarity
  9. Utilisez l'API samlMetadata pour importer les métadonnées du fournisseur d'identités dans
    Clarity
    .
    Clarity
Pour obtenir des instructions détaillées, vous pouvez examiner les sections Configuration de SAML à l'aide d'API REST et Configuration de
Clarity
pour la prise en charge de SAML 2.0.
Configuration d'Azure pour émettre des informations d’identification pour
Clarity
Vous pouvez travailler avec l'administrateur de sécurité pour créer une application SAML 2.0 dans Azure et la configurer pour permettre aux utilisateurs de l'entreprise d'utiliser leurs informations d'identification pour se connecter à
Clarity
.
  1. Connectez-vous au Portail Azure et cliquez sur
    Azure Active Directory
    .
    Clarity
  2. Sélectionnez
    Applications d'entreprise
    ,
    Nouvelle application
    et sélectionnez
    Application ne figurant pas dans la galerie
    .
  3. Entrez le nom de l'application et cliquez sur
    Ajouter
    .
    Clarity
  4. Cliquez sur
    Accueil
    ,
    Azure Active Directory
    et
    Applications d'entreprise
    , puis sélectionnez l'application que vous avez créée.
    Clarity
  5. Cliquez sur
    Authentification unique
    , puis sur
    SAML
    .
    Clarity
  6. Sous
    Basic SAML Configuration
    , cliquez sur
    Edit
    pour ajouter les valeurs suivantes :
    Clarity
    1. Identifier (Entity ID) : il s'agit de l'ID de l'entité SAML
      Clarity
      . Exemple : https://testppm.broadcom.net/niku/nu#action:union.samlMetadata.
    2. Reply URL (ACS URL) : il s'agit de l'URL ACS ou du fournisseur de services (
      Clarity
      ). Exemple : https://testppm.broadcom.net/niku/nu.
    3. Sign-on URL : champ vide
    4. Relay State : spécifiez l'URL vers laquelle Azure doit rediriger après la connexion.
    5. Logout URL : champ vide
  7. Sous User Attributes and Claims, l'attribut Unique User Identifier n'est pas modifiable. Supprimez les autres et ajoutez une nouvelle demande appelée
    Login
    .
    1. L'attribut source doit être identique au nom d'utilisateur dans
      Clarity
      PPM. Définissez l'attribut source sur user.userprincipalname.
      Clarity
  8. Téléchargez le fichier XML de métadonnées de fédération à partir du lien.
    Clarity
  9. Modifiez le fichier XML de métadonnées de fédération et faites-le défiler jusqu'en bas. Ajoutez les informations suivantes au fichier : <Format_ID_nom>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</Format_ID_nom>.
  10. Enregistrez vos modifications et fermez le fichier.
    Clarity
  11. Utilisez l'API samlMetadata pour importer les métadonnées du fournisseur d'identités dans
    Clarity
    .
Pour obtenir des instructions détaillées, vous pouvez examiner les sections Configuration de SAML à l'aide d'API REST et Configuration de
Clarity
pour la prise en charge de SAML 2.0.