Configuration SSO (Azure AD, OIDC, SAML2)
Activez l'authentification entreprise avec votre fournisseur d'identité
KaliaOps prend en charge l'authentification unique (SSO) via les protocoles OAuth2/OIDC et SAML2, permettant à vos utilisateurs de s'authentifier avec leurs identifiants d'entreprise depuis Azure AD, Okta, Auth0, Keycloak, Google Workspace ou tout fournisseur d'identité compatible SAML2. La configuration prend moins de 15 minutes.
Présentation
L'authentification unique (SSO) permet à vos utilisateurs d'accéder à KaliaOps avec leurs identifiants d'entreprise, éliminant le besoin de mots de passe séparés. KaliaOps prend en charge deux protocoles d'authentification :
- OAuth2/OIDC : Utilisé par Azure AD, Okta, Auth0, Keycloak, Google Workspace
- SAML2 : Utilisé par ADFS, Ping Identity, OneLogin et les IdP d'entreprise historiques
Pourquoi SSO plutôt que LDAP ?
En tant que plateforme SaaS cloud, KaliaOps ne peut pas se connecter directement à vos serveurs LDAP/AD sur site (qui sont généralement derrière des pare-feu). Les protocoles SSO sont spécifiquement conçus pour l'authentification via Internet et constituent la norme pour les applications cloud d'entreprise.
Configuration Azure AD
Créer une inscription d'application
Dans le portail Azure, allez dans Inscriptions d'applications et cliquez sur Nouvelle inscription :
- Nom : KaliaOps SSO
- Types de comptes pris en charge : Comptes dans cet annuaire d'organisation uniquement
- URI de redirection : Copiez l'URI affichée dans KaliaOps Paramètres > SSO
Obtenir l'ID client et l'ID locataire
Après avoir créé l'inscription d'application, copiez les valeurs suivantes :
- ID d'application (client) : C'est votre ID client
- ID d'annuaire (locataire) : C'est votre ID locataire Azure
Créer un secret client
Allez dans Certificats et secrets, cliquez sur Nouveau secret client, et copiez la valeur immédiatement (elle ne sera plus affichée).
Configurer les autorisations API
Allez dans Autorisations d'API et ajoutez les autorisations déléguées Microsoft Graph :
- openid
- profile
- User.Read
Cliquez sur Accorder le consentement administrateur pour approuver ces autorisations.
Configurer KaliaOps
Dans KaliaOps, allez dans Paramètres > Authentification unique et saisissez :
- Fournisseur : Azure AD
- ID client : Votre ID d'application
- Secret client : Votre valeur de secret
- ID locataire Azure : Votre ID d'annuaire
Cliquez sur Enregistrer et utilisez le bouton Tester la connexion pour vérifier.
Configuration OIDC générique
Pour les autres fournisseurs d'identité (Okta, Auth0, Keycloak, Google Workspace), utilisez la configuration OIDC générique.
Informations requises
- ID client : Identifiant d'application de votre IdP
- Secret client : Clé secrète de votre IdP
- URL de l'émetteur : URL de l'émetteur OIDC de votre IdP
Exemples d'URL d'émetteur
- Okta : https://votre-org.okta.com
- Auth0 : https://votre-tenant.auth0.com
- Keycloak : https://keycloak.example.com/realms/votre-realm
- Google Workspace : https://accounts.google.com
Assurez-vous de configurer l'URI de redirection dans votre IdP : copiez-la depuis Paramètres KaliaOps > SSO.
Configuration SAML2
Pour les fournisseurs d'identité basés sur SAML2 (ADFS, Ping Identity, OneLogin), vous devez échanger des métadonnées entre KaliaOps et votre IdP.
Informations de votre IdP
- Entity ID de l'IdP : Identifiant unique de votre fournisseur d'identité
- URL SSO de l'IdP : URL où les utilisateurs sont redirigés pour s'authentifier
- Certificat de l'IdP : Certificat X.509 pour la validation des signatures (format PEM)
Informations à fournir à votre IdP
- Entity ID du SP : https://kaliaops.com/{tenant}/auth/saml2/metadata
- URL ACS : https://kaliaops.com/{tenant}/auth/saml2/acs
- Format NameID : Adresse email
Mapping des attributs
Configurez votre IdP pour envoyer les attributs SAML suivants :
- Email (obligatoire)
- Prénom et nom (optionnel, pour le provisionnement automatique)
- Groupes (optionnel, pour le contrôle d'accès)
Provisionnement des utilisateurs
KaliaOps peut créer automatiquement des comptes utilisateur lorsque les employés se connectent pour la première fois via SSO.
Création automatique des utilisateurs
Lorsque cette option est activée, les nouveaux utilisateurs sont automatiquement créés avec leurs informations provenant du fournisseur d'identité. Vous pouvez spécifier un rôle par défaut pour ces utilisateurs.
Liaison aux employés
Lorsque cette option est activée, KaliaOps tentera de faire correspondre les nouveaux utilisateurs SSO avec les employés existants dans votre CMDB par email ou nom. Cela lie automatiquement le compte utilisateur à l'enregistrement employé.
Contrôle d'accès par groupe de sécurité
Vous pouvez restreindre l'accès SSO aux membres d'un groupe de sécurité spécifique. Seuls les utilisateurs appartenant à ce groupe pourront se connecter. Les autres verront un message d'accès refusé.
Tests et dépannage
Après avoir configuré le SSO, utilisez le bouton Tester la connexion pour vérifier que KaliaOps peut communiquer avec votre fournisseur d'identité.
Problèmes courants
- Paramètre state invalide
- Cela indique un problème de protection CSRF. Assurez-vous que les cookies sont activés et que l'URI de redirection est correctement configurée.
- Accès groupe refusé
- L'utilisateur n'est pas membre du groupe de sécurité autorisé. Vérifiez l'appartenance au groupe dans votre IdP.
- Réponse OIDC discovery invalide
- L'URL de l'émetteur est incorrecte. Vérifiez que vous pouvez accéder à {issuer}/.well-known/openid-configuration
- Validation de signature échouée (SAML2)
- Le certificat de l'IdP est incorrect ou expiré. Téléchargez le certificat actuel depuis votre IdP.
- Support Azure AD, Okta, Auth0, Keycloak, Google Workspace
- Protocoles OAuth2/OIDC et SAML2
- Provisionnement automatique des utilisateurs à la première connexion
- Contrôle d'accès par groupe de sécurité
- 2FA optionnel en complément de l'authentification SSO