Intégration à un PDi SAML
Utilisez le Cloud Tanium Management Portal (CMP) pour :
-
Configurer votre fournisseur d’identités (PDi) SAML (Security Assertion Markup Language).
-
Gérer vos configurations PDi existantes.
-
Afficher les détails de votre instance Tanium et de vos droits.
Pour plus d’informations, reportez-vous au Guide de déploiement de Tanium Cloud : Configurer des fournisseurs d’identité et le provisionnement des utilisateurs sur le CMP.
Vue d’ensemble SAML
Security Assertion Markup Language (SAML) est une norme pour échanger les demandes d’authentification et les réponses entre les fournisseurs de services (SP) et les fournisseurs d’identité (PDi). Elle permet aux SP de donner aux utilisateurs l’accès aux applications de plusieurs domaines de sécurité via un service d’authentification SSO (Single Sign-On) que le PDi fournit. Lors de la réception d’une demande d’authentification, le PDi répond avec une assertion SAML, qui est un message indiquant si un utilisateur s’est authentifié avec succès. Dans Tanium Core Platform, activer le SAML revient à configurer le Tanium Server comme un SP pour permettre aux utilisateurs d’accéder à la Tanium Console. Vous pouvez configurer le Tanium Server pour prendre en charge à la fois l’authentification SSO initiée par PDi et l’authentification initiée par SP, ou uniquement l’authentification SSO initiée par PDi. Vous ne pouvez pas configurer uniquement l’authentification SSO initiée par SP.
Conservez au moins un compte d’utilisateur sur le Tanium Server qui ne nécessite pas d’authentification SAML et attribuez-lui le rôle réservé Administrator (Administrateur). Vous pouvez utiliser ce compte pour accéder à la Tanium Console si l’authentification SAML cesse de fonctionner (par exemple, si la connexion au PDi tombe en panne).
Seuls les utilisateurs disposant du rôle réservé Administrator (Administrateur) peuvent voir et gérer la configuration SAML.
Si un utilisateur ne peut pas se connecter à Tanium Console via SAML, vérifiez que le compte d’utilisateur n’est pas renommé, supprimé, désactivé ou verrouillé dans le magasin d’identités PDi. Pour résoudre d’autres problèmes concernant votre intégration SAML, consultez les journaux d’authentification. Pour trouver des événements spécifiques, ouvrez le journal dans un éditeur de texte ou utilisez les commandes CLI pour rechercher des mots-clés tels que SAML. Voir Guide de référence du déploiement de Tanium Core Platform : Journaux d’authentification.
SSO initiée par PDi
Dans certaines entreprises, les utilisateurs doivent accéder à un grand nombre d’applications, voire à toutes les applications, en se connectant à un portail SSO unique fourni par le PDi de l’entreprise. Après avoir activé SAML sur le Tanium Server, les utilisateurs peuvent accéder à Tanium Console via le portail SSO du PDi. Un workflow initié par le PDi comporte les phases suivantes (correspondance avec les chiffres dans la Figure 1) :
|
Un utilisateur se connecte au portail SSO du PDi à l’aide d’un nom d’utilisateur et d’un mot de passe d’entreprise, puis clique sur la mosaïque de l’application souhaitée (la Tanium Console dans ce cas). |
|
Le PDi renvoie une réponse signée (qui contient une assertion SAML), indiquant que l’utilisateur s’est authentifié avec succès. Le navigateur de l’utilisateur transmet automatiquement la réponse au fournisseur de service (le Tanium Server dans ce cas). |
|
Le fournisseur de service utilise le certificat du PDi pour vérifier que la signature de la réponse SAML est valide. |
|
Le SP fournit à l’utilisateur l’accès à l’application. |

SSO initiée par SP
Un workflow initié par le SP comporte les phases suivantes (correspondance avec les chiffres dans la Figure 2) :
|
L’utilisateur essaie d’accéder à l’application (la Tanium Console dans ce cas) directement via le fournisseur de service (le Tanium Server dans ce cas). |
|
Le SP redirige l’utilisateur pour s’authentifier via le PDi. Le navigateur utilisateur traite automatiquement la redirection. |
|
L’utilisateur se connecte au PDi. |
|
Le PDi renvoie une réponse signée (qui contient une assertion SAML), indiquant que l’utilisateur s’est authentifié avec succès. Le navigateur de l’utilisateur transmet automatiquement la réponse au fournisseur de service. |
|
Le fournisseur de service utilise le certificat du PDi pour vérifier que la signature de la réponse SAML est valide. |
|
Le SP fournit à l’utilisateur l’accès à l’application. |

Avant de commencer
-
Travaillez avec l’administrateur PDi pour identifier les utilisateurs qui doivent accéder à la Tanium Console via le PDi. Il incombe à l’administrateur PDi de configurer l’authentification via un serveur AD ou LDAP et de gérer l’accès des utilisateurs via le PDi. Pour plus d’informations sur la configuration d’une demande via un PDi, reportez-vous à la documentation de votre PDi.
Un administrateur doit créer des utilisateurs de la Tanium Console s’ils sont locaux sur le Tanium Server (reportez-vous à la section Créer un utilisateur) ou importer les utilisateurs depuis un serveur LDAP (reportez-vous à la section Intégration aux serveurs LDAP).
- (Facultatif) Procurez-vous un fichier de métadonnées du PDi auprès de l’administrateur du PDi. Ce fichier XML spécifie les paramètres spécifiques au PDi, qui permettent au Tanium Server d’approuver le PDi. Par exemple, le fichier spécifie l’ID de l’entité, également connu sous le nom d’URI (Uniform Resource Identifier). C’est le GUID pour le PDi dans les communications SAML. Généralement et idéalement, le fichier de métadonnées inclut également le certificat du PDi, que le Tanium Server doit utiliser pour valider les réponses et les assertions SAML provenant du PDi. Sinon, vous devez vous procurer le certificat auprès de l’administrateur du PDi séparément du fichier de métadonnées. Le fichier de certificat doit être chiffré par PEM (Privacy Enhanced Mail).
- Générez un certificat pour la signature des demandes d’authentification à partir du Tanium Server. Certains PDi requièrent des demandes signées. Reportez-vous à la section Générer un certificat de signature de demande.
- (SSO initiée par PDi uniquement) Si des modifications sont apportées aux URL via lesquelles les utilisateurs de Tanium Console accèdent au portail SSO du PDi, collaborez avec l’administrateur du PDi lors du déploiement des modifications.
Générer un certificat de signature de demande
Certains PDi requièrent une signature numérique sur les demandes SAML provenant d’un fournisseur de service tel que le Tanium Server. Pour permettre au PDi d’authentifier les demandes, vous devez générer un certificat de signature de demande et une clé privée. Le Tanium Server utilise la clé pour signer les demandes et le PDi utilise le certificat pour valider la signature.
Générer un certificat de signature de demande dans le cadre d’un déploiement des appliances Tanium
Contactez l’assistance Tanium pour connaître les étapes à suivre pour générer un certificat de signature de demande dans le cadre d’un déploiement des appliances Tanium.
Générer un certificat de signature de demande dans le cadre d’un déploiement Windows
Après avoir généré le certificat de signature de demande SAML, vous devez redémarrer le Tanium Server pour qu’il puisse lire le certificat. Par conséquent, procédez comme suit à une période pendant laquelle le redémarrage du serveur n’interrompra pas les opérations critiques.
- Accédez à la CLI du Tanium Server. Si nécessaire, augmentez les permissions pour ouvrir l’invite de commandes en tant qu’utilisateur administrateur.
- Accédez au dossier d’installation du Tanium Server.
- Exécutez la commande suivante pour générer le certificat et la clé privée. Pour le <hostname>, spécifiez le FQDN du Tanium Server. Dans le cadre d’un déploiement actif-actif, séparez les noms d’hôte par une virgule (par ex. ts1.example.com,ts2.example.com). Vous devez spécifier SAMLEncryption en tant que certificat et noms de fichiers de clé pour que le serveur puisse les utiliser pour la communication SAML. L’utilitaire ajoute automatiquement les suffixes .crt et .key au certificat et aux noms de fichiers de clés.
KeyUtility selfsign <hostname> SAMLEncryption
L’utilitaire génère le certificat et la clé au niveau supérieur du dossier d’installation du Tanium Server.
- Ouvrez le programme Windows Services (Services Windows) et redémarrez le service Tanium Server (Tanium Server).
Tant que le certificat et les fichiers de clé restent au niveau supérieur du dossier d’installation du Tanium Server, le serveur utilise automatiquement la clé pour signer les demandes SAML et inclut le certificat dans le fichier Tanium Metadata (Métadonnées Tanium) que vous envoyez au PDi (reportez-vous à la section Intégration à un PDi SAML).
Sinon, vous pouvez également ajouter les paramètres SAMLEncryptionCertPath (CheminCertChiffrementSAML) et SAMLEncryptionKeyPath (CheminCléChiffrementSAML) sur le Tanium Server pour configurer des noms de fichiers et des emplacements différents pour le certificat et la clé. Contactez l’assistance Tanium pour plus de détails.
Configurer le SAML sur le Tanium Server
Procédez comme suit pour configurer la SSO SAML initiée par SP ou initiée par PDi.
- Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > SAML Configuration (Configuration SAML) et cliquez sur l’un des boutons suivants :
- Configure SAML (Configurer SAML) : ce bouton apparaît si aucun PDi n’est actuellement configuré.
- Edit (Modifier)
: cliquez sur ce bouton pour modifier la configuration existante.
Si vous spécifiez un nouveau PDi, cela supprime toute configuration de PDi existante, car le Tanium Server ne prend en charge qu’un seul PDi à la fois.
- Configurez les champs suivants :
Tableau 1 : Paramètres de la configuration SAML Paramètres Recommandations Métadonnées du fournisseur d’identité Si l’administrateur de votre PDi a fourni un fichier de métadonnées de PDi, chargez-le pour configurer automatiquement les paramètres SAML suivants : - Entity ID Configuration (Configuration de l’ID d’entité) : le paramètre Validate IdP's Entity ID (Valider l’ID d’entité du PDi) est sélectionné par défaut et le champ de texte contient l’ID d’entité du PDi.
- Identity Provider Certificate (Certificat du fournisseur d’identité) : les métadonnées contiennent généralement le certificat. Si ce n’est pas le cas, vous devez charger manuellement le fichier de certificat.
Identity Provider SSO URL (URL SSO du fournisseur d’identité) : si les métadonnées spécifient cette URL, l’option Enable SP-initiated SSO (Activer la SSO initiée par SP) est automatiquement sélectionnée.
Pour charger le fichier de métadonnées du PDi, cliquez sur Choose File (Choisir un fichier), sélectionnez le fichier et cliquez sur Open (Ouvrir).
Configuration de l’ID d’entité Par défaut, le paramètre Validate IdP’s Entity ID (Valider l’ID d’entité du PDi) est sélectionné, ce qui signifie que le Tanium Server valide l’ID d’entité dans les réponses SAML du PDi. Le champ de texte affiche l’ID figurant dans le fichier Identity Provider Metadata (Métadonnées du fournisseur d’identité) que vous avez importé (par exemple http://www.okta.com/gzn4gvh7dvpeDr6oG4g1). L’activation du paramètre Validate IdP's Entity ID (Valider l’ID d’entité du PDi) est facultative, mais il s’agit d’une best practice de sécurité pour fournir une autre couche de protection en plus de l’utilisation du certificat du PDi pour valider les réponses SAML.
Éléments devant être signés Par défaut, chaque SAML Response (Réponse SAML) et chaque SAML Assertion (Assertion SAML) provenant du PDi requièrent une signature numérique, que le Tanium Server valide à l’aide du certificat du PDi. Si votre PDi est Microsoft Azure, la réponse et l’assertion nécessitent une signature. Pour les autres PDi, vous pouvez désactiver la demande de signature pour les assertions SAML, mais pas pour les réponses. Identity Provider Certificate (Certificat du fournisseur d’identité) Le Tanium Server utilise le certificat du PDi pour valider les réponses SAML et les assertions provenant du PDi. Si le fichier Identity Provider Metadata (Métadonnées du fournisseur d’identité) spécifie le certificat, le Tanium Server l’extrait automatiquement et remplit ce paramètre avec le nom de fichier du certificat. Sinon, vous devez charger manuellement le certificat fourni par le PDi séparément des métadonnées : cliquez sur Update File (Mettre à jour le fichier), sélectionnez le certificat et cliquez sur Open (Ouvrir). ID d’entité Tanium L’ID d’entité de votre environnement Tanium. Le Tanium Server génère automatiquement un ID, mais vous pouvez le remplacer par n’importe quel URI (identificateur de ressource uniforme) qui identifie de manière unique votre environnement Tanium dans les communications SAML. L’URI est généralement une URL qui contient le nom de domaine du Tanium Server (par exemple https://tanium.example.com/sp). Personnaliser les URL ACS Tanium Sélectionnez cette option si l’URL ACS (Assertion Consumer Service) que le Tanium Server génère par défaut ne fonctionnera pas dans le cadre de votre déploiement. Le serveur utilise l’URL ACS pour recevoir et traiter les assertions SAML provenant du PDi. L’URL par défaut est basée sur le nom d’hôte réel ou l’adresse IP réelle du serveur, qui peut différer du nom d’hôte ou de l’adresse que les utilisateurs spécifient dans leur navigateur pour accéder à Tanium Console. Sélectionnez une option : - Use the same host name for all Tanium Servers (Utiliser le même nom d’hôte pour tous les Tanium Servers) : sélectionnez cette option si votre déploiement utilise un équilibreur de charge qui masque la présence d’un ou de plusieurs Tanium Servers. Pour Shared Custom Hostname (Nom d’hôte personnalisé commun), saisissez le nom d’hôte ou l’adresse IP que les utilisateurs spécifient dans leur navigateur pour accéder à Tanium Console. Cette option est requise si votre PDi ne prend en charge qu’une seule URL ACS pour chaque fournisseur de service.
- Specify unique host names for each Tanium Server (Spécifier des noms d’hôte uniques pour chaque Tanium Server) : sélectionnez cette option si les utilisateurs accèdent à Tanium Console de chaque Tanium Server actif-actif à l’aide de noms d’hôtes ou d’adresses IP distincts. Saisissez le Custom Host Name (Nom d’hôte personnalisé) de chaque serveur.
Dans de rares circonstances, l’un des Tanium Servers dans le cadre d’un déploiement actif-actif peut ne pas encore être enregistré. Dans de tels cas, saisissez quand même le Custom Host Name (Nom d’hôte personnalisé) de chaque serveur pour vous assurer que les deux peuvent fonctionner en tant que SP lorsque le serveur non enregistré s’enregistre.
Configuration de la SSO initiée par SP Si le fichier Identity Provider Metadata (Métadonnées du fournisseur d’identité) spécifie une Identity Provider SSO URL (URL SSO du fournisseur d’identité), le Tanium Server remplit automatiquement ce paramètre et sélectionne Enable SP-initiated SSO (Activer la SSO initiée par SP). Il s’agit de l’URL via laquelle les utilisateurs accèdent à Tanium Console (par exemple https://company.saml-provider.com/app/companyinc_tanium/dGFuaXVtc2FtbA/sso/saml). Si vous souhaitez que les utilisateurs accèdent à la Console uniquement via le portail SSO du PDi, désélectionnez Enable SP-initiated SSO (Activer la SSO initiée par SP). Sélectionnez les options de connexion si vous activez la SSO initiée par SP :
- Allow users to sign in with username and password (Autoriser les utilisateurs à se connecter avec leur nom d’utilisateur et leur mot de passe) : ce paramètre permet de spécifier si la page de connexion à Tanium Console affiche un lien Sign In with Password (Connexion avec mot de passe) ou non.
Ce lien donne aux utilisateurs la possibilité d’accéder à Tanium Console en saisissant des informations d’identification au lieu d’utiliser la SSO. Désélectionnez cette option si vous souhaitez forcer tous les utilisateurs à s’authentifier via la SSO SAML lorsqu’ils se connectent à la Console. L’option s’applique uniquement à l’accès à la Console et ne permet pas de contrôler l’accès à la CLI ou à l’API du Tanium Server par authentification.
Si vous désactivez les connexions avec mot de passe et que la SSO initiée par SP cesse de fonctionner plus tard (par exemple, la connexion au PDi a été perdue), aucun utilisateur ne peut accéder à Tanium Console. Dans ce cas, vous devez désactiver l’authentification SSO initiée par le SP via la CLI pour réactiver l’authentification avec mot de passe local ou LDAP. Reportez-vous à la section Désactiver l’authentification SSO initiée par le SP via la CLI.
Pour désactiver l’authentification avec mot de passe LDAP au niveau de l’API, désactivez l’option Authentification dans la configuration du serveur LDAP.
- Force full user re-authentication at every sign-in (Forcer la réauthentification totale des utilisateurs à chaque connexion) : sélectionnez cette option si vous souhaitez forcer les utilisateurs à saisir des informations d’identification lorsqu’ils lancent une nouvelle session sur Tanium Console, même s’ils sont déjà authentifiés pour une session précédente qui s’est terminée en raison d’une inactivité ou d’un événement de déconnexion manuelle. Par défaut, cette option est désélectionnée et les utilisateurs peuvent simplement cliquer sur Sign In with SSO (Connexion avec SSO) pour démarrer une autre session sur Tanium Console sans avoir à saisir d’informations d’identification.
- Cliquez sur Save (Enregistrer).
Vous devez attendre jusqu’à trois minutes pour que le Tanium Server applique vos modifications. Si vous avez modifié les paramètres SP-initiated SSO Configuration (Configuration de la SSO initiée par SP) pour une configuration SAML existante, vous devez également actualiser manuellement la page de connexion après avoir attendu.
Si la section Tanium Metadata (Métadonnées Tanium) affiche le message Request Signing Certificate Not Configured (Certificat de signature de demande non configuré), pensez à générer le certificat avant de continuer. Reportez-vous à la section Générer un certificat de signature de demande.
- Si le PDi prend en charge les documents d’échange de métadonnées, cliquez sur Download (Télécharger) dans la section Tanium Metadata (Métadonnées Tanium) pour exporter le fichier de métadonnées vers le répertoire Downloads (Téléchargements) sur le système que vous utilisez pour accéder à Tanium Console. Le Tanium Server génère automatiquement les métadonnées en fonction des paramètres que vous avez configurés sur la page SAML Configuration (Configuration SAML). Vous devez envoyer le fichier au PDi. L’administrateur du PDi utilise ensuite le fichier pour configurer le PDi avec les paramètres qui sont requis pour pouvoir communiquer avec le Tanium Server. Si le PDi ne prend pas en charge les documents d’échange de métadonnées, l’administrateur du PDi doit configurer manuellement les paramètres dans le système du PDi. Une fois que l’administrateur a configuré le système du PDi, les utilisateurs peuvent commencer à accéder à Tanium Console via la SSO. Reportez-vous à la section Configurer le SAML sur le PDi.
Pour savoir comment vous connecter à Tanium Console via la SSO, reportez-vous à la section Se connecter à la console.
Configurer le SAML sur le PDi
Travaillez avec un administrateur PDi pour configurer le PDi pour l’intégration avec le Tanium Server.
Avant de commencer
Effectuez l’une des tâches suivantes selon que le PDi prend en charge les documents d’échange de métadonnées :
-
Pris en charge : importez le fichier de métadonnées Tanium dans le PDi pour configurer automatiquement les paramètres que vous avez déjà configurés sur le Tanium Server, comme décrit à la dernière étape de la section Configurer le SAML sur le Tanium Server.
- Non pris en charge : enregistrez les paramètres que vous devez saisir manuellement dans le PDi :
- Connectez-vous à Tanium Console en tant qu’utilisateur avec le rôle Administrator (Administrateur).
- Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > SAML Configuration (Configuration SAML).
- Enregistrez les valeurs Tanium Entity ID (ID d’entité Tanium) et Tanium ACS URLs (URL ACS Tanium) et fournissez-les à l’administrateur qui configurera le PDi pour l’intégration au Tanium Server.
Configurer les paramètres du Tanium Server sur le PDi
Les étapes spécifiques pour configurer un PDi pour l’intégration à un fournisseur de service (le Tanium Server dans ce cas) varient selon le fournisseur de PDi. Cependant, tous les PDi nécessitent les paramètres suivants. Si vous avez importé le fichier de métadonnées Tanium, les paramètres de ce fichier sont automatiquement configurés dans le PDi et vous devez simplement les vérifier.
- ID d’entité Tanium
- URL ACS Tanium
- NameID Format (Format de l’ID du nom) : défini sur Unspecified. Dans les assertions SAML, la valeur NameID (ID du nom) doit correspondre au User Name (Nom d’utilisateur) (et non au Display Name (Nom d’affichage) d’un utilisateur sur le Tanium Server (reportez-vous à la section Afficher les paramètres de l’utilisateur. Si le serveur importe des utilisateurs via LDAP, la valeur NameID (ID du nom) doit correspondre à la valeur Propriété du nom d’utilisateur pour chaque utilisateur.
- RelayState (État de relais) : défini sur aucune valeur (vide). Le Tanium Server ne traite pas ce paramètre.
Une fois que l’administrateur a configuré le PDi, les utilisateurs peuvent commencer à accéder à Tanium Console via la SSO.
Désactiver ou activer la SSO SAML
Initialement, vous activez la SSO SAML en effectuant les étapes indiquées sous la section Intégration à un PDi SAML. Si la désactivation de la SSO devient nécessaire, par exemple pour résoudre des problèmes d’authentification, vous pourrez la réactiver ultérieurement. Lorsque la SSO est désactivée, les utilisateurs doivent saisir leur nom d’utilisateur et leur mot de passe pour se connecter à Tanium Console.
Si la SSO cesse de fonctionner (par exemple, la connexion au PDi est perdue), les utilisateurs peuvent accéder à la Console via les informations d’identification uniquement si vous avez sélectionné l’option Allow users to sign in with username and password (Autoriser les utilisateurs à se connecter avec un nom d’utilisateur et un mot de passe) dans la configuration SAML. Si vous avez désélectionné cette option, vous devez Désactiver l’authentification SSO initiée par le SP via la CLI pour réactiver l’accès avec des informations d’identification.
Désactiver la SSO via Tanium Console
- Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > SAML Configuration (Configuration SAML).
- Cliquez sur Disable SAML (Désactiver SAML).
Activer la SSO via Tanium Console
- Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > SAML Configuration (Configuration SAML).
- Cliquez sur Enable SAML (Activer SAML).
- (Facultatif) Sélectionnez Enable SP-initiated SSO (Activer la SSO initiée par SP) et modifiez les options SP-Initiated SSO Configuration (Configuration de la SSO initiée par SP) si nécessaire.
- Cliquez sur Save (Enregistrer).
Désactiver l’authentification SSO initiée par le SP via la CLI
Si vous devez désactiver l’authentification SSO initiée par le SP sans accéder à la Tanium Console, vous pouvez définir le paramètre global console_saml_sp_enabled via la CLI. Les étapes pour désactiver la SSO initiée par SP dépendent de l’utilisation de l’appliance Tanium ou de l’infrastructure Windows par votre déploiement Tanium.
Appliance : Désactiver SSO
Contactez l’assistance Tanium pour savoir comment désactiver la SSO dans le cadre d’un déploiement des appliances Tanium.
Windows : Désactiver SSO
- Accédez à la CLI du Tanium Server. Si nécessaire, augmentez les permissions pour ouvrir l’invite de commandes en tant qu’utilisateur administrateur.
- Accédez au dossier d’installation du Tanium Server.
- Exécutez la commande suivante :
TaniumReceiver global-settings set console_saml_sp_enabled 0
Attendez jusqu’à une minute pour que la modification soit appliquée, ou redémarrez le service Tanium Server (Tanium Server) pour appliquer immédiatement la modification. vous trouverez le service Tanium Server (Tanium Server) dans le programme Windows Services (Services Windows).
Dernière mise à jour : 18/08/2023 09:50 | Commentaires