Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurer l’authentification unique

Vous pouvez configurer, activer ou désactiver l’authentification unique (SSO) sur la page Configuration de l’authentification unique.

Pour accéder à cette page, cliquez sur Administration > l’authentification unique.

Les composants de configuration de l’SSO sont les suivants :

  • Fournisseur d’identité (IdP) : serveur externe qui gère les identités et l’authentification des utilisateurs, tel qu’Okta ou Microsoft Azure.
  • Fournisseur de services : Juniper ATP Cloud agit en tant que fournisseur de services qui reçoit et valide l’assertion SAML envoyée par l’IdP en réponse à une demande de connexion.

Le fournisseur d’identité et le fournisseur de services établissent une confiance mutuelle et partagent les détails de configuration pour permettre une authentification SSO sécurisée.

Avant de commencer :

Vous devez configurer les paramètres SSO pour chaque organisation.

Ne configurez pas le même utilisateur ou la même adresse e-mail à la fois dans Juniper ATP Cloud et dans l’IdP. Les comptes d’utilisateur dupliqués peuvent entraîner des échecs d’authentification SSO ou un comportement de connexion inattendu.

Pour configurer les paramètres SSO :

  1. Sélectionnez Administration > l’authentification unique.
  2. Terminez la configuration en suivant les instructions ci-dessous.
    Tableau 1 : paramètres SSO

    Champ

    Descriptif

    Paramètres du fournisseur de services

    Nom d’affichage

    Entrez un nom d’affichage pour le paramètre SSO.

    ID d’entité

    Saisissez l’identifiant unique pour le portail client Juniper ATP Cloud.

    Attribut de nom d’utilisateur

    Entrez l’attribut username pour SAML. L’attribut Nom d’utilisateur est obligatoire et doit être au format adresse e-mail. L’attribut username est mappé aux données utilisateur, qui sont fournies par IdP dans la réponse d’assertion SAML.

    Signer les demandes d’authentification

    Activez le bouton bascule pour signer les demandes d’authentification SAML envoyées de Juniper ATP Cloud à IdP.

    Si vous activez les demandes d’authentification par signe, vous devez fournir à la fois une clé privée et un certificat de clé publique.

    Chiffrer la réponse SAML

    Activez le bouton bascule pour spécifier que l’assertion SAML renvoyée par l’IdP est chiffrée.

    Si la réponse SAML de chiffrement est activée, vous devez fournir à la fois un certificat de clé privée et un certificat de clé publique.

    Si le chiffrement des réponses SAML est activé dans Juniper ATP Cloud mais que l’IdP ne chiffre pas les réponses SAML, l’authentification SAML échoue.

    Clé privée

    Entrez la clé privée. La clé privée est générée localement par l’utilisateur. Dans Juniper ATP Cloud, la clé privée est utilisée pour signer la demande d’authentification SAML. La clé privée n’est pas partagée avec IdP.

    Certificat de clé publique

    Entrez le certificat de clé publique. Le certificat de clé publique est généré localement par l’utilisateur. Vous devez télécharger le même certificat de clé publique dans le portail IdP. Dans l’IdP, le certificat de clé publique est utilisé pour valider la demande d’authentification SAML envoyée par Juniper ATP Cloud.
    Options de rôle Choisissez Utiliser le rôle par défaut ou Entrer un rôle spécifique à l’IDP.

    Utiliser le rôle par défaut

    Rôle par défaut

    Sélectionnez un rôle par défaut pour l’utilisateur SAML dans l’organisation. Si vous n'avez pas saisi le rôle dans la section Mappage des rôles, vous devez spécifier le rôle par défaut pour l'organisation. Sélectionnez le rôle par défaut dans la liste.

    • Administrateur système : tous les privilèges

    • Opérateur : privilèges complets, mais ne peut pas créer d’utilisateurs

    • Observateur : privilèges en lecture seule

    • Aucun : aucun rôle par défaut

    Vous devez configurer un attribut de rôle ou un rôle par défaut pour vous connecter à la page SSO.

    Prénom

    Entrez l’attribut prénom de l’utilisateur SAML. L’attribut prénom est utilisé pour créer le profil utilisateur. Si vous ne fournissez pas le prénom, une partie de l’adresse e-mail est utilisée comme prénom pour créer le profil utilisateur.

    Nom

    Entrez l’attribut last name de l’utilisateur SAML. L’attribut last name est utilisé pour créer le profil utilisateur. Si vous ne fournissez pas le nom de famille, une partie de l’adresse e-mail est utilisée comme nom de famille pour créer le profil utilisateur.

    Saisissez le rôle spécifique de l’IdP

    Attribut de groupe

    (Facultatif) Entrez l’attribut group configuré dans IdP.

    Exemple : rôle

    Administrateur

    (Facultatif) Saisissez le rôle spécifique IdP qui doit être mappé au rôle d’administrateur Juniper ATP Cloud.

    Exemple : role_admin

    Opérateur

    (Facultatif) Saisissez le rôle spécifique IdP qui doit être mappé au rôle d’opérateur cloud ATP de Juniper.

    Exemple : role_operator

    Observateur

    (Facultatif) Saisissez le rôle spécifique IdP qui doit être mappé au rôle Juniper ATP Cloud Observer.

    Exemple : role_observer

    Prénom

    Entrez l’attribut prénom de l’utilisateur SAML. L’attribut prénom est utilisé pour créer le profil utilisateur. Si vous ne fournissez pas le prénom, une partie de l’adresse e-mail est utilisée comme prénom pour créer le profil utilisateur.

    Nom

    Entrez l’attribut last name de l’utilisateur SAML. L’attribut last name est utilisé pour créer le profil utilisateur. Si vous ne fournissez pas le nom de famille, une partie de l’adresse e-mail est utilisée comme nom de famille pour créer le profil utilisateur.

    Exporter les métadonnées du fournisseur de services

    Cliquez sur Exporter les métadonnées SP pour télécharger les métadonnées du fournisseur de services au format XML. L’administrateur peut télécharger et utiliser les métadonnées du fournisseur de services pour configurer dynamiquement tous les paramètres du fournisseur de services dans le portail IdP, à la fois. L’administrateur n’a pas besoin de configurer manuellement les paramètres de chaque fournisseur de services.

    Paramètres du fournisseur d’identité

    Paramètres IdP

    Sélectionnez Paramètres d’importation pour importer les métadonnées IdP en une seule fois. Pour configurer manuellement les paramètres de l’IdP, sélectionnez Entrer les paramètres manuellement.

    Importation

    Sélectionnez les métadonnées IdP au format XML et cliquez sur Importer.

    ID d’entité

    		 Saisissez l’identifiant unique de l’IdP. Si vous importez des métadonnées IdP, les informations seront mises à jour automatiquement.

    URL de connexion

    Entrez l’URL de redirection pour l’authentification de l’utilisateur dans IdP. Si vous importez des métadonnées IdP, les informations seront mises à jour automatiquement.

    Certificat IdP

    Entrez le certificat IdP pour déchiffrer la réponse SAML. Si vous importez des métadonnées IdP, les informations seront mises à jour automatiquement.
  3. Cliquez sur Enregistrer.
    Les paramètres SSO sont enregistrés.

Après avoir configuré à la fois les paramètres du fournisseur de services et les paramètres de l’IdP, vous pouvez activer SSO. Pour activer l’authentification unique en SSO, cliquez sur Activer. Pour désactiver le SSO existant, cliquez sur Désactiver.

Documentation connexe