étape 1 : configuration des paramètres de connexion unique dans BigFix Inventory

Pour la première étape, configurez les paramètres de connexion unique dans BigFix Inventory.

Avant de commencer

Collecter les informations nécessaires
Avant de commencer la configuration, collectez les informations suivantes :
  • URL de la page de connexion du fournisseur d'identité. Il s'agit de l'URL vers laquelle une demande non authentifiée est réacheminée. Une fois que la demande a été authentifiée par le fournisseur d'identité, l'utilisateur est réacheminé vers BigFix Inventory.

    Par exemple : https://ADFS_host_name/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://BFI_host_name:9081/ibm/saml20/defaultSP.

  • URL de l'émetteur digne de confiance. Il s'agit de l'URL vers l'émetteur de certificat du fournisseur d'identité qui est nécessaire pour établir une relation d'accréditation.

    Par exemple, http://ADFS_host_name/adfs/services/trust.

  • Certificat public du fournisseur d'identité au format key_name.cer.
Activer SSL
Assurez-vous que SSL est activé dans BigFix Inventory et dans le fournisseur d'identité.
Sauvegarder les fichiers
Avant de commencer à configurer la connexion unique, sauvegardez les fichiers suivants :
  • server.xml
    • Linux bfi_install_dir/wlp/usr/servers/server1
    • Windows bfi_install_dir\wlp\usr\servers\server1
  • web.xml
    • Linux bfi_install_dir/wlp/usr/servers/server1/apps/tema.war/WEB-INF
    • Windows bfi_install_dir\wlp\usr\servers\server1\apps\tema.war\WEB-INF
Remarque : Si vous configurez le dELAi de session pour la connexion unique, n'oubliez pas qu'il doit être plus long que celui configuré pour BigFix Inventory. Sinon, modifiez les paramètres dans BigFix Inventory. Pour plus d'informations, voir : Définition du dELAi d'attente de session.
Créer des utilisateurs
Créez des utilisateurs BigFix Inventory qui utiliseront la connexion unique. Pendant la création des utilisateurs, sélectionnez Connexion unique comme méthode d'authentification. Assurez-vous que tous les noms d'utilisateur sont des noms qualifiés complets qui contiennent le nom de domaine complet. Par exemple : user@domain.example. En outre, vérifiez qu'au moins un utilisateur est administrateur.

Linux Si le serveur BigFix Inventory est installé sous Linux et que les utilisateurs du fournisseur d'identité utilisent la convention de dénomination à casse mixte, créez des utilisateurs en respectant la même convention dans BigFix Inventory. Sinon, les utilisateurs ne pourront pas générer d'images instantanées d'audit.

Remarque : Le jeton utilisateur n'est pas disponible une fois qu'un utilisateur de connexion unique a été créé. Si vous avez besoin du jeton, par exemple pour exécuter des appels d'API REST, demandez à l'administrateur BigFix Inventory de vous le fournir.

Procédure

  1. Connectez-vous à BigFix Inventory, puis cliquez sur Gestion > Paramètres de connexion unique.
  2. Sélectionnez SAML comme méthode de connexion unique.

    L'ID instance ID classé est automatiquement compléter avec la valeur defaultSP. Il s'agit de l'identificateur du service BigFix Inventory. Avec l'URL BigFix Inventory, il constitue l'ID fournisseur de services global : https://BFI_host_name:BFI_port/ibm/saml20/defaultSP.

    A partir de cette valeur, l'URL du service consommateur d'assertion SAML est générée : https://BFI_host_name:BFI_port/ibm/saml20/defaultSP/acs. L'URL doit être utilisée pour la configuration du fournisseur d'identité.

  3. Spécifiez l'URL de la page de connexion du fournisseur d'identité que vous utiliserez pour vous connecter en mode connexion unique à BigFix Inventory.
    Par exemple :
    https://ADFS_host_name/adfs/ls/IdPInitiatedSignOn.aspx?LoginToRP=https://BFI_host_name:9081/ibm/saml20/defaultSP
    Important : Vérifiez que l'adresse URL que vous indiquez est correcte. L'adresse n'est pas validée. Si vous faites une faute de frappe, vous risquez de devoir rétablir la configuration de la connexion manuellement.
  4. Fournissez le certificat public du fournisseur d'identité. Cliquez sur Parcourir pour rechercher le certificat key_name.cer que vous avez créé.
  5. Spécifiez l'URL de l'émetteur de certificat du fournisseur d'identité. Il s'agit du nom d'émetteur du fournisseur d'identité tel qu'il apparaît dans l'assertion SAML.
    Par exemple :
    http://ADFS_host_name/adfs/services/trust
    Important : Vérifiez que l'adresse URL que vous indiquez est correcte. L'adresse n'est pas validée. Si vous faites une faute de frappe, vous risquez de devoir rétablir la configuration de la connexion manuellement.
  6. Cliquez sur Sauvegarder.
  7. Facultatif : Pour utiliser un certificat personnalisé pour la configuration SSO, voir : Utilisation d'un certificat (personnalisé) signé par une autorité de certification pour une connexion unique (SSO) basée sur SAML. Sinon, passez à l'étape suivante.
  8. Cliquez sur le lien Télécharger les métadonnées du fournisseur de service et sauvegardez le fichier spMetadata.xml.
    Remarque : Lorsque l'entrée de connexion unique SAML est créée, seul le bouton Supprimer et le lien Télécharger les métadonnées du fournisseur de service sont activés. Si le lien de téléchargement n'est pas affiché, redémarrez le serveur BigFix Inventory.

Que faire ensuite

A partir du fichier spMetadata.xml, configure le fournisseur d'identité pour la connexion unique.