Fédérer les identités avec SAML¶
Avertissement
La disponibilité de cette fonctionnalité dépend de la licence du domaine Opendatasoft.
Certaines organisations disposent déjà d'un service d'annuaire d'utilisateurs qui gère l'authentification et les permissions de leurs utilisateurs, et ne voient pas les avantages que peuvent apporter les fonctionnalités de gestion des utilisateurs intégrées à Opendatasoft.
Pour répondre à ce cas d'utilisation, la plateforme Opendatasoft prend en charge les fournisseurs d'identité (IdP) externes via le standard SAMLv2. Il est ainsi possible de mettre en œuvre une fédération d'identités entre un domaine, qui fera office de fournisseur de services, et cet IdP. Cette fédération permettra aux utilisateurs d'un domaine de se connecter à la plateforme via le fournisseur d'identité, et, le cas échéant, de réutiliser leur connexion active auprès de celui-ci afin de créer une authentification unique SSO.
Lorsqu'un fournisseur d'identités SAML est configuré sur un domaine, un utilisateur peut appartenir à 3 catégories.
Un utilisateur Opendatasoft standard qui a été invité par email ou s'est inscrit sur un domaine : cet utilisateur se connecte sur le domaine grâce à l'interface de connexion standard avec son nom d'utilisateur et son mot de passe Opendatasoft habituels, et le compte est accessible dans tout le réseau Opendatasoft. Les utilisateurs Opendatasoft sont représentés sur la plateforme par le pictogramme
.Un utilisateur local qui s'authentifie via l'IdP de l'organisation : cet utilisateur se connecte sur le domaine exclusivement via l'IdP de l'organisation, et n'étant disponible que sur un domaine précis, il peut avoir un accès limité à certaines fonctionnalités basées sur le réseau Opendatasoft. Les utilisateurs locaux sont représentés sur la plateforme par le pictogramme
.Un utilisateur lié qui a un compte Opendatasoft standard associé sur ce domaine précis à une identité de l'IdP de l'organisation. Cet utilisateur est un utilisateur Opendatasoft standard qui peut à la fois s'authentifier via l'interface de connexion Opendatasoft et via l'IdP de l'organisation. Les utilisateurs liés étant des utilisateurs Opendatasoft disposant de la capacité de se connecter via SAML, ils sont représentés sur la plateforme par les deux pictogrammes
et .
Utilisateur local¶
Chaque utilisateur disposant d'un compte utilisateur auprès de l'IdP approuvé par un domaine, mais ne disposant pas d'un compte utilisateur Opendatasoft, peut se connecter via le protocole SAML. Un utilisateur local sera créé pour l'utilisateur, en fonction des paramètres SAML du domaine.
Ces paramètres sont :
le mappeur de comptes : l'ensemble des paramètres envoyés par l'IdP permettant d'identifier un utilisateur unique,
le mappeur d'attributs : les paramètres correspondant au prénom, au nom de famille et à l'adresse email de l'utilisateur.
Ces utilisateurs locaux disposent des permissions pour explorer les jeux de données publics du domaine. Des permissions supplémentaires peuvent être attribuées à ces utilisateurs au niveau du domaine, pour des jeux de données individuels ou via des groupes (autres que le groupe Utilisateurs SAML, duquel ils sont automatiquement membres).
La création de nouveaux utilisateurs locaux via authentification sur l'IdP peut être désactivée en cochant l'option "Désactiver le provisioning d'utilisateurs locaux" dans la configuration SAML. Désactiver le provisioning d'utilisateurs locaux n'empêche pas les utilisateurs locaux existants de se connecter via SAML.
Utilisateur lié¶
Les utilisateurs disposant d'un compte utilisateur Opendatasoft peuvent lier ce dernier à des valeurs spécifiques de l'ensemble de paramètres définis dans la configuration du mappeur de comptes.
Une fois la liaison établie, les utilisateurs qui s'identifient via le protocole SAML seront identifiés avec leur compte utilisateur Opendatasoft. Les utilisateurs liés peuvent se voir attribuer les mêmes permissions et être ajoutés aux mêmes groupes que les utilisateurs normaux et sont des utilisateurs Opendatasoft. En outre, ils sont automatiquement ajoutés au groupe Utilisateurs SAML.
Ce mode permet à n'importe quel utilisateur d'avoir un compte Opendatasoft, mais de se connecter via SAML sur un domaine précis.
Il existe 2 méthodes pour lier un compte utilisateur Opendatasoft :
la première consiste à cliquer sur
Lier votre compte à un compte SAML sur ce domainedans l'onglet identité des paramètres de compte utilisateur :
l'autre méthode consiste à établir la liaison lors du processus de création du compte utilisateur en cliquant sur le lien permettant de terminer l'inscription via le protocole SAML. Cette méthode permet d'accélérer le processus de création du compte utilisateur et de lier rapidement ce dernier :
Sélection de la page de connexion par défaut¶
La plateforme Opendatasoft permet de choisir la page de connexion qui s'affichera lorsque les utilisateurs cliqueront sur un lien d'identification ou essaieront d'accéder à une page à accès limité.
Si la page de connexion IdP est sélectionnée par défaut, le processus d'identification SAML sera alors démarré automatiquement lorsqu'un utilisateur non authentifié clique sur le lien d'identification ou essaie d'accéder à une page à accès limité, comme l'espace administrateur. Lorsque la page de connexion IdP est sélectionnée, les utilisateurs qui souhaitent se connecter à la plateforme avec leurs identifiants Opendatasoft auront la possibilité de le faire en se rendant sur la page de connexion https://<platform-url>/login/.
Déconnexion unique¶
La plateforme Opendatasoft supporte le processus standard de déconnexion unique SAML via le binding HTTP-Redirect. Cela signifie que si le fournisseur d'identité le permet, la déconnexion d'un utilisateur connecté via SAML déclenche une déconnexion du fournisseur d'identité, et une déconnexion depuis le fournisseur d'identité déclenche une déconnexion de l'utilisateur sur la plateforme.
Configurer son domaine avec un fournisseur d'identité¶
Rendez vous sur la page de configuration des intégrations du domaine.
Activez l'option "Autoriser l'accès aux utilisateurs SAML".
Collez le document de metadata de votre fournisseur d'identité dans le champ "Document de metadata de l'IDP".
Si vous utilisez Microsoft Azure Active Directory comme Identity Provider, cochez la case.
Si vous souhaitez désactiver la création d'utilisateur local afin que seuls les utilisateurs existants puissent se connecter à la plateforme via SAML, cochez la case "Désactiver le provisionnement d'utilisateurs locaux".
Renseignez l'ensemble des attributs renvoyés par l'IDP qui définissent de façon unique un utilisateur.
Si les utilisateurs sont définis de façon unique par leur NameID saml, et que le format du NameID n'est pas transient, il n'est pas nécessaire de remplir cette option.
Par exemple, si vos utilisateurs sont définis par l'attribut "FirstName" et "LastName", entrez "FirstName" dans la zone de texte, puis validez avec enter. Entrez ensuite "LastName" et validez avec enter.
Renseignez les mappings d'attributs pour le nom d'utilisateur, le nom de famille, le prénom et l'adresse email.
Il s'agit ici de remplir les champs correspondant avec le nom de l'attribut tel qu'envoyé par le fournisseur d'identité.
Par exemple, si votre fournisseur d'identité renseigne le prénom de l'utilisateur qui se connecte en appellant cet attribut "FirstName", c'est ce qu'il faudra écrire dans le champ "prénom".
Si certaines de ces informations ne sont pas fournies par votre fournisseur d'identité, laissez les champs vides. La plateforme les générera automatiquement sur base des autres attributs définis.
Définissez des conditions d'accès éventuelles.
La première zone de texte est le nom de l'attribut à vérifier, et la seconde est la valeur que cet attribut doit prendre. Si vous désirez uniquement vérifier la présence de l'attribut, vous pouvez ne pas renseigner la seconde zone de texte.
Par exemple, si votre IdP renvoie une liste de "Roles" pour les utilisateurs, et que vous voulez que seuls les utilisateurs qui ont un rôle puissent se connecter, renseignez "Roles" dans la première zone de texte. Si vous voulez vous assurer que seuls les utilisateurs qui ont le rôle "DataAccess" aient accès au domaine, entrez "DataAccess" dans la seconde zone de texte.
Configurer librement la page de connexion par défaut
La configuration de la page de connexion par défaut peut être trouvée en naviguant dans l'interface de configuration du domaine à la page sécurité.
Configurer le fournisseur d'identité¶
La configuration du fournisseur d'identité dépend de l'implémentation de celui-ci, mais elle consiste toujours en l'import du document de metadata du fournisseur de service.
Vous pouvez télécharger le document de metadata du fournisseur de services Opendatasoft en vous rendant sur https://<VOTRE DOMAINE>.opendatasoft.com/saml2/metadata.xml
Utilisation des attributs utilisateur pour filtrer des données¶
La fonction #attr vous permet de filtrer les enregistrements d'un jeu de données de façon que seuls les enregistrements renvoyés soient ceux qui correspondent à une valeur définie dans les attributs utilisateur envoyés par l'IDP. Dans les exemples suivants, nous partons du principe que nous avons 3 utilisateurs avec des noms d'utilisateur et attributs SAML respectifs "user-country" et "user-language" indiqués dans le tableau suivant.
Utilisateur |
user-country | user-language |
|---|---|---|
Utilisateur1 |
France | Français |
Utilisateur2 |
Canada | Français |
Utilisateur3 |
États-Unis |
Anglais |
Et un jeu de données avec des enregistrements indiqués par le tableau suivant.
pays |
language | message |
|---|---|---|
Monde |
Anglais |
Hello world |
| France | Français |
Bonjour à tous les Français |
| Canada | Français |
Bonjour à tous les Canadiens |
| Canada | Anglais |
Hello to all Canadians |
États-Unis |
Anglais |
Hello to all Americans |
Nous pouvons limiter ces utilisateurs de façon qu'ils voient uniquement les messages concernant leur pays respectif en utilisant la requête "#attr(country, user-country)".
Utilisateur1 voit
pays |
language | message |
|---|---|---|
| France | Français |
Bonjour à tous les Français |
Utilisateur2 voit
pays |
language | message |
|---|---|---|
| Canada | Français |
Bonjour à tous les Canadiens |
| Canada | Anglais |
Hello to all Canadians |
Utilisateur3 voit
pays |
language | message |
|---|---|---|
États-Unis |
Anglais |
Hello to all Americans |
Nous pouvons également limiter ces utilisateurs de façon qu'ils voient uniquement les messages dans leur langue respective en utilisant la requête "#attr(language, user-language)".
Utilisateur1 voit
pays |
language | message |
|---|---|---|
| France | Français |
Bonjour à tous les Français |
| Canada | Français |
Bonjour à tous les Canadiens |
Utilisateur2 voit
pays |
language | message |
|---|---|---|
| France | Français |
Bonjour à tous les Français |
| Canada | Français |
Bonjour à tous les Canadiens |
Utilisateur3 voit
pays |
language | message |
|---|---|---|
Monde |
Anglais |
Hello world |
États-Unis |
Anglais |
Hello to all Americans |
Cette fonction étant propre au langage de requête, elle peut également être combinée aux opérateurs habituels. Nous pouvons, par exemple, limiter les utilisateurs de façon qu'ils voient uniquement les messages adaptés à leur pays et à leur langue en utilisant la requête "#attr(language, user-language) AND #attr(country, user-country)".
Utilisateur1 voit
pays |
language | message |
|---|---|---|
| France | Français |
Bonjour à tous les Français |
Utilisateur2 voit
pays |
language | message |
|---|---|---|
| Canada | Français |
Bonjour à tous les Canadiens |
Utilisateur3 voit
pays |
language | message |
|---|---|---|
États-Unis |
Anglais |
Hello to all Americans |