Configuration de l'authentification multifacteur
Vous pouvez utiliser ces étapes de base avec l'API Element pour configurer votre cluster afin qu'il utilise l'authentification multifacteur.
Les détails de chaque méthode API sont disponibles dans le "Référence de l'API d'élément".
-
Créez une nouvelle configuration de fournisseur d'identités tiers pour le cluster en appelant la méthode d'API suivante et en transmettant les métadonnées IDP au format JSON :
CreateIdpConfiguration
Les métadonnées IDP, au format texte brut, sont extraites du IDP tiers. Ces métadonnées doivent être validées pour être correctement formatées dans JSON. Vous pouvez utiliser de nombreuses applications de formateur JSON, par exemple :https://freeformatter.com/json-escape.html.
-
Récupérez les métadonnées du cluster, via spMetadataUrl, pour les copier vers le PDI tiers en appelant la méthode API suivante :
ListIdpConfigurations
SpMetadaUrl est une URL utilisée pour récupérer les métadonnées du fournisseur de services du cluster pour le PDI afin d'établir une relation de confiance.
-
Configurez les assertions SAML sur l'IDP tiers pour inclure l'attribut « NameID » afin d'identifier de manière unique un utilisateur pour la journalisation d'audit et pour que Single Logout fonctionne correctement.
-
Créez un ou plusieurs comptes utilisateur d'administrateur de cluster authentifiés par un IDP tiers pour autorisation en appelant la méthode API suivante :
AddIdpClusterAdmin
Le nom d'utilisateur de l'administrateur de cluster IDP doit correspondre au mappage de nom/valeur de l'attribut SAML pour l'effet souhaité, comme indiqué dans les exemples suivants : -
Email=bob@company.com — où le IDP est configuré pour publier une adresse électronique dans les attributs SAML.
-
Group=cluster-Administrator - où le IDP est configuré pour libérer une propriété de groupe dans laquelle tous les utilisateurs doivent avoir accès. Notez que le couplage nom/valeur de l'attribut SAML est sensible à la casse à des fins de sécurité.
-
-
Activer l'authentification multifacteur pour le cluster en appelant la méthode API suivante :
EnableIdpAuthentication