Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Authentification unique SAML

Sécurité Assertion Markup Language (SAML) est un cadre d’authentification et d’autorisation entre un fournisseur de services (SP) et un fournisseur d’identité (IDP) dans lequel l’authentification est échangée à l’aide de documents XML signés numériquement. Le fournisseur de services accepte de faire confiance au fournisseur d’identité pour authentifier les utilisateurs. En retour, le fournisseur d’identité génère une assertion d’authentification, qui indique qu’un utilisateur a été authentifié.

Grâce à la fonctionnalité d’authentification SAML, vous pouvez facilement intégrer JSA à votre serveur d’identité d’entreprise pour fournir une authentification unique et éliminer la nécessité de gérer les utilisateurs locaux de JSA . Les utilisateurs authentifiés sur votre serveur d’identité peuvent s’authentifier automatiquement auprès de JSA. Ils n’ont pas besoin de mémoriser des mots de passe distincts ou de saisir des identifiants chaque fois qu’ils accèdent à JSA.

JSA est entièrement compatible avec le profil SSO Web SAML 2.0 en tant que fournisseur de services. Il prend en charge l’authentification unique et la déconnexion uniques initiées par les fournisseurs de services et les IDP.

Configuration de l’authentification SAML

Vous pouvez configurer JSA pour utiliser le framework d’authentification unique SAML (Security Assertion Markup Language) 2.0 pour l’authentification et l’autorisation des utilisateurs.

Pour terminer la configuration SAML dans JSA, vous devez générer un fichier de métadonnées XML sur votre serveur SAML (Identity Provider).

Suivez ces étapes pour configurer l’authentification SAML sur votre hôte JSA . Une fois cette tâche terminée, vous devez configurer le fournisseur d’identité pour qu’il fonctionne avec JSA.

  1. Dans l’onglet Admin , cliquez sur Authentification.

  2. Cliquez sur Paramètres du module d’authentification.

  3. Dans la liste Module d’authentification , sélectionnez SAML 2.0.

  4. Dans la section Configuration du fournisseur d’identité , cliquez sur Sélectionner un fichier de métadonnées, accédez au fichier de métadonnées XML créé par votre fournisseur d’identité, puis cliquez sur Ouvrir.

  5. Dans la section Configuration du fournisseur de services , tapez l’URL de l’ID d’entité .

  6. Sélectionnez un format NameID :

    • Non spécifié (par défaut)

    • Persistant

    • Adresse e-mail

    • Nom de l’objet du certificat X509

    • Nom de domaine Windows

    • Kerberos

    Remarque :

    Utilisez Non spécifié, sauf si votre fournisseur d’identité ne le prend pas en charge.

  7. Sélectionnez le protocole de liaison de requête :

    • HTTP-POST

    • Redirection HTTP

  8. Sélectionnez Oui pour Demander une assertion signée, sauf si l’appareil auquel vous vous connectez ne prend pas en charge les assertions signées.

    MISE EN GARDE :

    La sélection de Non entraîne une communication non authentifiée avec l’appareil SAML et n’est pas recommandée, car elle permet à un attaquant réseau non authentifié d’accéder à des ressources protégées.

  9. Si vous souhaitez que l’assertion renvoyée par le fournisseur d’identité soit chiffrée à l’aide d’un certificat JSA , sélectionnez Oui pour Demander une assertion chiffrée.

    Remarque :

    L’activation du chiffrement nécessite l’installation de fichiers de stratégie JCE SDK non restreints.

  10. Si vous souhaitez signer la demande d’authentification à l’aide d’un certificat JSA , sélectionnez Oui pour Signer la demande d’authentification.

  11. Si vous souhaitez déconnecter automatiquement les utilisateurs du fournisseur d’identité lorsqu’ils se déconnectent de JSA, sélectionnez Oui pour Activer la déconnexion unique initiée par le fournisseur de services.

    Remarque :

    Cette option n’est disponible que si elle est prise en charge par votre fournisseur d’identité.

  12. Utilisez l’une des méthodes suivantes pour configurer un certificat pour la signature et le déchiffrement :

    Tableau 1 : configuration d’un certificat pour la signature et le déchiffrement

    En option

    Descriptif

    Utilisez le certificat QRadar_SAML fourni

    Utilisez les liens de l’info-bulle pour télécharger les fichiers de l’AC racine, de l’AC racine CRL, de l’AC intermédiaire et de l’AC intermédiaire du certificat, qui doivent être téléchargés dans le magasin de certificats approuvé du serveur du fournisseur d’identité.

    Ajouter un nouveau certificat

    Cliquez sur Ajouter et suivez les instructions de la section Importation d’un nouveau certificat pour signature et déchiffrement pour ajouter un certificat personnalisé.

    Renouveler ou mettre à jour un certificat existant

    Cliquez sur Renouveler pour renouveler le QRadar_SAML certificat s’il a expiré ou expire bientôt. Cliquez sur Mettre à jour pour mettre à jour un certificat personnalisé qui a expiré ou qui expire bientôt. Ces options s’affichent en fonction du certificat que vous utilisez

  13. Sélectionnez l’une des méthodes suivantes pour autoriser les utilisateurs :

    Tableau 2 : configuration d’un certificat pour la signature et le déchiffrement

    En option

    Descriptif

    À l’échelle locale

    Vous devez créer des utilisateurs JSA locaux et configurer leurs rôles et profils de sécurité dans le Gestionnaire des utilisateurs.

    Attributs utilisateur

    JSA utilise les attributs fournis dans les assertions SAML pour créer automatiquement des utilisateurs locaux lors des demandes d’authentification. Les rôles et les profils de sécurité sont attribués en fonction de la valeur de l’attribut de rôle et de l’attribut de profil de sécurité. Ces attributs doivent être fournis dans les assertions, et les rôles et les profils de sécurité doivent déjà exister dans JSA. Les noms d’utilisateur, les rôles d’utilisateur et les profils de sécurité sont sensibles à la casse.

    Remarque :

    Lorsque vous utilisez un rôle avec des fonctionnalités Admin, la valeur de l’attribut de profil de sécurité doit être Admin.
    Remarque :

    Dans un environnement multilocataire, vous devez également configurer l’attribut Locataire pour affecter des utilisateurs aux locataires. Si l’attribut de locataire n’est pas fourni, l’utilisateur créé n’est affecté à aucun locataire.

  14. Cliquez sur Enregistrer le module d’authentification.

    Le fichier de métadonnées SAML JSA est automatiquement téléchargé.

  15. Sous l’onglet Admin , cliquez sur Déployer les modifications.

    Après avoir configuré JSA, vous devez configurer votre fournisseur d’identité à l’aide du fichier de métadonnées XML enregistré.

    Si vous avez sélectionné Autorisation locale, accédez à Gestion des utilisateurs pour créer des utilisateurs locaux. Si vous avez sélectionné Attributs utilisateur, créez des rôles, des profils de sécurité et des locataires selon vos besoins, puis déployez.

Installation des fichiers de stratégie JCE du SDK non restreint

L’utilisation de la technologie de cryptage est contrôlée par la loi des États-Unis. JSA Les kits de développement de solutions (SDK) comprennent des fichiers de stratégie de juridiction solides mais limités. Pour prendre en charge les assertions SAML chiffrées, avec JSA, vous devez d’abord obtenir les fichiers de règle Java Cryptoography Extension (JCE) à juridiction illimitée.

  1. Téléchargez les fichiers de politique JCE (Java Cryptography Extension) sans restriction.

  2. Décompressez le fichier compressé.

    Sélectionnez les fichiers JAR suivants dans le dossier non restreint :

    • local_policy.jar

    • US_export_policy.jar

  3. Placez les fichiers dans le répertoire suivant de votre console JSA :

    /opt/ibm/java-x86_64-80/jre/lib/security/

  4. Sous l’onglet Admin, cliquez sur Déployer les modifications.

  5. Cliquez sur Paramètres avancés > redémarrer le serveur Web.

Importation d’un nouveau certificat pour signature et déchiffrement

La fonctionnalité SAML 2.0 de JSA permet d’utiliser un certificat x509 autre que celui fourni QRadar_SAML certificate pour la signature et le chiffrement.

  1. Pour Certificat de signature et de chiffrement, cliquez sur Ajouter.

  2. Dans la fenêtre Importer un nouveau certificat , tapez un nom convivial pour le certificat.

  3. Cliquez sur Parcourir pour sélectionner un fichier de clé privée, puis sur Ouvrir.

  4. Cliquez sur Parcourir pour sélectionner un fichier de certificat, puis sur Ouvrir.

  5. Si le certificat à charger comporte un AC intermédiaire, cliquez sur Parcourir pour sélectionner le fichier AC intermédiaire, puis cliquez sur Ouvrir.

  6. Si l’AC racine du certificat n’est pas une AC racine commune préinstallée avec le système d’exploitation, cliquez sur Parcourir pour sélectionner le fichier d’AC racine, puis cliquez sur Ouvrir.

  7. Cliquez sur Télécharger pour charger le certificat.

Configuration de SAML avec les services de fédération Microsoft Active Directory

Après avoir configuré SAML dans JSA, vous pouvez configurer votre fournisseur d’identité à l’aide du fichier de métadonnées XML que vous avez créé au cours de ce processus. Cet exemple comprend des instructions pour configurer Microsoft Active Directory Federation Services (AD FS) afin qu’il communique avec JSA à l’aide de l’infrastructure d’authentification unique SAML 2.0.

Pour configurer le serveur AD FS, vous devez d’abord configurer SAML dans JSA. Copiez ensuite le fichier de métadonnées XML SAML JSA que vous avez créé au cours de ce processus à un emplacement accessible au serveur AD FS.

  1. Dans la console de gestion AD FS, sélectionnez le dossier Approbations de partie de confiance.

  2. Dans la barre latérale Actions, cliquez sur Approbation de partie de confiance standard, puis sur Démarrer. L’assistant Ajouter une approbation de partie de confiance s’ouvre.

  3. Dans la fenêtre Sélectionner une source de données , sélectionnez Importer des données sur la partie dépendante à partir d’un fichier, accédez au fichier de métadonnées XML SAML JSA , puis cliquez sur Ouvrir.

  4. Cliquez sur Suivant.

  5. Saisissez un nom d’affichage et ajoutez les notes pertinentes, puis cliquez sur Suivant.

  6. Sélectionnez une stratégie de contrôle d’accès, puis cliquez sur Suivant.

  7. Configurez toutes les options supplémentaires dont vous avez besoin, puis cliquez sur Suivant.

  8. Cliquez sur Fermer.

  9. Dans le dossier Fiducies de partie de confiance , sélectionnez la nouvelle fiducie que vous avez créée, puis cliquez sur Modifier la stratégie d’émission de réclamation.

  10. Cliquez sur Ajouter une règle.

  11. Sélectionnez Envoyer les attributs LDAP en tant que revendications dans le menu Modèle de règle de revendication , puis cliquez sur Suivant.

  12. Saisissez un nom de règle de revendication et sélectionnez le magasin d’attributs.

  13. Sélectionnez les attributs à envoyer dans l’assertion, mappez-les au type de réclamation sortante approprié, puis cliquez sur Terminer.

  14. Cliquez sur Ajouter une règle.

  15. Sélectionnez Transformer une revendication entrante dans le menu Modèle de règle de revendication , puis cliquez sur Suivant.

  16. Configurez les options suivantes :

    • Nom de la règle de revendication

    • Type de revendication entrante - valeur d’usage UPN

    • Type de revendication sortante NameID

    • Format NameID sortant

  17. Sélectionnez Transmettre toutes les valeurs de revendication, puis cliquez sur Terminer.

  18. Si vous avez configuré JSA pour utiliser le certificat QRadar_SAML fourni pour SAML, copiez les fichiers Root AC, intermediate AC et CRL précédemment téléchargés dans un répertoire sur le serveur Windows. Ouvrez ensuite une fenêtre de ligne de commande en tant qu’administrateur sur le système d’exploitation Windows et tapez les commandes suivantes :

    Les fichiers se trouvent dans /opt/qradar/ca/www.

Dépannage de l’authentification SAML

Utilisez les informations suivantes pour résoudre les erreurs et les problèmes lors de l’utilisation de SAML 2.0 avec JSA.

Connexion ou échec de déconnexion

En cas d’échec de l’authentification unique ou de la déconnexion unique, assurez-vous que les métadonnées SAML JSA que vous avez téléchargées dans le fournisseur d’identité correspondent aux dernières métadonnées déployées à l’adresse https://<yourjsaserverhostname>/console/SAMLMetadata. Assurez-vous également d’avoir téléchargé les fichiers AC racine, AC CRL racine, AC intermédiaire, AC intermédiaire du certificat sélectionné au bon emplacement des magasins de certificats du serveur IDP. Lorsque le certificat fourni QRadar_SAML est utilisé, vous pouvez télécharger ces fichiers à l’adresse suivante :

Remarque :

Si vous utilisez le certificat QRadar_SAML fourni, les étapes ci-dessus sont nécessaires après avoir restauré JSA à partir d’une sauvegarde.

Compte non autorisé

Certains problèmes de configuration peuvent produire cette erreur :

This account is not authorized to access JSA. Logout from your SAML identity provider and use an authorized account to login.

Si vous utilisez l’autorisation locale, assurez-vous que l’ID de nom dans l’assertion SAML correspond à un nom d’utilisateur JSA existant et que l’utilisateur est déployé.

Si vous utilisez l’autorisation d’attribut utilisateur , assurez-vous que l’assertion SAML contient l’attribut de rôle et l’attribut de profil de sécurité configurés avec des valeurs qui correspondent à un rôle et un profil de sécurité déployés existants dans JSA. Lorsque vous utilisez un rôle avec des fonctionnalités Admin , la valeur de l’attribut de profil de sécurité doit être Admin. Si l’assertion contient un attribut de locataire dans un environnement mutualisé, assurez-vous que la valeur de l’attribut correspond à un locataire existant dans JSA.

Fichiers journaux

Vous pouvez diagnostiquer de nombreux autres problèmes à l’aide des journaux du serveur Identity Provider et du journal /var/log/ qradar.error .

Restaurer la connexion système pour enquête

Pour examiner les problèmes liés à SAML 2.0, vous pouvez restaurer JSA pour utiliser la connexion système par défaut.

Copiez le contenu de /opt/qradar/conf/templates/login.conf dans /opt/qradar/conf/ login.conf

Vous pouvez également modifier le fichier /opt/qradar/conf/login.conf et le modifier

ModuleClass=com.q1labs.uiframeworks.auth.configuration.SAMLLoginModule

à

ModuleClass=com.q1labs.uiframeworks.auth.configuration.LocalPasswordLoginConfiguration

Videz le cache du navigateur et connectez-vous en tant qu’utilisateur administrateur. Une fois votre enquête terminée, remplacez l’attribut par SAMLLoginModule et videz à nouveau le cache du navigateur.

Impossible d’accéder à la console JSA après s’être connecté auprès d’un fournisseur d’identité

Assurez-vous que le nom d’hôte de la console JSA peut être résolu par le serveur DNS local. Assurez-vous également que votre ordinateur peut accéder à la console JSA à l’aide du nom d’hôte.

Échecs de connexion ou de déconnexion sur le serveur IDP

Consultez les journaux du serveur IDP pour déterminer si les échecs sont causés par des erreurs dans les contrôles de révocation de la liste de révocation de certificats. Si c’est le cas, importez les listes de révocation de certificats QRadar_SAML sur le serveur IDP ou assurez-vous que le serveur IDP peut accéder à la console JSA à l’aide d’une connexion HTTP.

Le certificat du fournisseur d’identité a expiré

Lorsque le certificat dans le fichier de métadonnées des fournisseurs d’identité a expiré, vous ne pouvez pas vous connecter à JSA et l’erreur suivante apparaît dans le fichier /var/log/qradar.error :

com.q1labs.uiframeworks.auth.saml.metadata.DefaultMetadataServiceImpl: [ERROR] NotAfter: <date> java.security.cert.CertificateExpiredException: NotAfter:

Pour résoudre ce problème, demandez à votre fournisseur d’identité de mettre à jour le certificat dans le fichier de métadonnées, puis reconfigurez SAML dans JSA pour utiliser le nouveau fichier de métadonnées IDP.

QRadar_SAML certificat a expiré

Une notification système JSA s’affiche lorsque le certificat QRadar_SAML est sur le point d’expirer.

Avant l’expiration du certificat, vous devez le renouveler.

  1. Dans l’onglet Admin , cliquez sur Authentification.

  2. Cliquez sur Paramètres du module d’authentification.

  3. Dans la liste Module d’authentification , sélectionnez SAML 2.0.

  4. Cliquez sur Renouveler pour renouveler le certificat QRadar_SAML.

  5. Cliquez sur Enregistrer le module d’authentification.

    Le fichier de métadonnées SAML JSA est automatiquement téléchargé.

  6. Cliquez sur les liens dans l’info-bulle pour télécharger l’AC racine JSA et le certificat d’AC intermédiaire, ainsi que les fichiers CRL.

  7. Sous l’onglet Admin , cliquez sur Déployer les modifications.

  8. Envoyez les fichiers suivants à votre serveur IDP pour déployer les modifications.

    • Fichier de métadonnées JSA

    • Certificat d’AC racine JSA

    • Certificat AC intermédiaire de la JSA

    • CRL fichiers

Le certificat tiers a expiré

Vous n’êtes pas obligé d’utiliser le certificat QRadar_SAML fourni avec JSA ; Vous pouvez utiliser votre propre certificat tiers. Lorsque le certificat est sur le point d’expirer, une notification du système JSAs’affiche.

Avant l’expiration du certificat tiers, vous devez mettre à jour le certificat existant ou ajouter un nouveau certificat.

  1. Cliquez sur Paramètres du module d’authentification.

  2. Dans la liste Module d’authentification , sélectionnez SAML 2.0.

  3. Cliquez sur Ajouter ou Mettre à jour.

  4. Cliquez sur Enregistrer le module d’authentification.

    Le fichier de métadonnées SAML JSA est automatiquement téléchargé.

  5. Cliquez sur les liens dans l’info-bulle pour télécharger l’AC racine JSA et le certificat d’AC intermédiaire, ainsi que les fichiers CRL.

  6. Sous l’onglet Admin , cliquez sur Déployer les modifications.

  7. Envoyez les fichiers suivants à votre serveur IDP pour déployer les modifications.

    • Fichier de métadonnées JSA

    • Certificat d’AC racine JSA

    • Certificat AC intermédiaire de la JSA

    • CRL fichiers

Documentation connexe