Intégration à un PDi SAML
Tanium en tant que service est préconfiguré pour s’intégrer à votre fournisseur d’identité (PDi) SAML (Security Assertion Markup Language).
Vue d’ensemble de SAML
Security Assertion Markup Language (SAML) est une norme pour échanger les demandes d’authentification et les réponses entre les fournisseurs de services (SP) et les fournisseurs d’identité (PDi). Elle permet aux SP de donner aux utilisateurs l’accès aux applications de plusieurs domaines de sécurité via un service d’authentification SSO (Single Sign-On) que le PDi fournit. Lors de la réception d’une demande d’authentification, le PDi répond avec une assertion SAML, qui est un message indiquant si un utilisateur s’est authentifié avec succès. Dans Tanium Core Platform, activer le SAML revient à configurer le serveur Tanium comme un SP pour permettre aux utilisateurs d’accéder à la console Tanium. Vous pouvez configurer les types suivants d’authentification SSO SAML pour accéder à la console :
- Tanium Server 7.2.314.3181 et les versions ultérieures s’intègrent à Okta en tant que PDi. Elles prennent en charge la SSO initiée par le PDi.
- Tanium Server 7.2.314.3476 (et les versions ultérieures) s’intègre à Okta en tant que PDi, et prend en charge la SSO initiée par le PDi et la SSO initiée par le SP.
Une fois connecté au PDi, un utilisateur peut lancer de nouvelles sessions de Tanium Console sans devoir s’authentifier à nouveau, jusqu’à l’expiration de la session PDi. Le délai d’expiration de la session PDi est configuré sur le serveur PDi. Consultez votre administrateur PDi pour obtenir plus d’informations.
Vous pouvez configurer le serveur Tanium pour prendre en charge à la fois l’authentification SSO initiée par PDi et l’authentification initiée par SP, ou uniquement l’authentification SSO initiée par PDi. Vous ne pouvez pas configurer uniquement l’authentification SSO initiée par SP.
Conservez au moins un compte d’utilisateur sur le serveur Tanium qui ne nécessite pas d’authentification SAML et attribuez-lui le rôle réservé Administrateur. Vous pouvez utiliser ce compte pour accéder à la console Tanium si l’authentification SAML cesse de fonctionner (par exemple, si la connexion au PDi tombe en panne).
Le serveur Tanium ne prend pas en charge l’autorisation utilisateur (contrôle d’accès basé sur les rôles ; RBAC) via SAML. Pour contrôler les fonctionnalités, les paramètres et les informations que les utilisateurs peuvent voir et utiliser après avoir accédé à la console Tanium, configurez les permissions de rôle utilisateur. Pour plus de détails, reportez-vous à la section Vue d’ensemble du RBAC.
Seuls les utilisateurs disposant du rôle réservé Administrateur peuvent voir et utiliser la configuration SAML.
SSO initiée par PDi
Dans certaines entreprises, les utilisateurs doivent accéder à un grand nombre d’applications, voire à toutes les applications, en se connectant à un portail SSO unique fourni par le PDi de l’entreprise. Après avoir activé SAML sur le serveur Tanium, les utilisateurs peuvent accéder à Tanium Console via le portail SSO du PDi. Un workflow initié par le PDi comporte les phases suivantes (correspondance avec les chiffres dans la F : Figure 1) :
|
Un utilisateur se connecte au portail SSO du PDi à l’aide d’un nom d’utilisateur et d’un mot de passe d’entreprise, puis clique sur la mosaïque de l’application souhaitée (la console Tanium, dans cet exemple). |
|
Le PDi renvoie une réponse signée (qui contient une assertion SAML), indiquant que l’utilisateur s’est authentifié avec succès. Le navigateur de l’utilisateur transmet automatiquement la réponse au fournisseur de service (le serveur Tanium, dans cet exemple). |
|
Le fournisseur de service utilise le certificat du PDi pour vérifier que la signature de la réponse SAML est valide. |
|
Le SP fournit à l’utilisateur l’accès à l’application. |

SSO initiée par SP
Un workflow initié par le SP comporte les phases suivantes (correspondance avec les chiffres dans la F : Figure 2) :
|
L’utilisateur essaie d’accéder à l’application (la console Tanium dans cet exemple) directement via le SP (le serveur Tanium dans cet exemple). |
|
Le SP redirige l’utilisateur pour s’authentifier via le PDi. Le navigateur de l’utilisateur traite automatiquement la redirection. |
|
L’utilisateur se connecte au PDi. |
|
Le PDi renvoie une réponse signée (qui contient une assertion SAML), indiquant que l’utilisateur s’est authentifié avec succès. Le navigateur de l’utilisateur transmet automatiquement la réponse au fournisseur de service. |
|
Le fournisseur de service utilise le certificat du PDi pour vérifier que la signature de la réponse SAML est valide. |
|
Le SP fournit à l’utilisateur l’accès à l’application. |

Avant de commencer
-
Travaillez avec l’administrateur PDi pour identifier les utilisateurs qui doivent accéder à la console Tanium via le PDi. Il incombe à l’administrateur PDi de configurer l’authentification via un serveur AD ou LDAP et de gérer l’accès des utilisateurs via le PDi. Pour plus d’informations sur la configuration d’une demande via un PDi, reportez-vous à la documentation de votre PDi.
un administrateur doit créer des utilisateurs de la console Tanium s’ils sont locaux sur le serveur Tanium (reportez-vous à la section Créer un utilisateur) ou importer les utilisateurs depuis un serveur LDAP (reportez-vous à la section Intégration aux serveurs LDAP).
- Travaillez avec l’administrateur PDi lors du déploiement des modifications des URL, via lesquelles les utilisateurs de la console Tanium accèdent au portail SSO PDi (SSO initiée par le PDI uniquement).
Configurer l’authentification SAML
Procédez comme suit pour activer le SSO initié par le SP ou le PDi.
si vous avez déjà activé une invite de mot de passe pour modifier la configuration, le serveur Tanium la modifie automatiquement sur l’invite Yes/Cancel (Oui/Annuler) une fois que vous avez activé l’authentification SAML.
- Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) > SAML (SAML).
- Sélectionnez un PDi dans la liste déroulante Choose an IdP (Choisir un PDi).
- Dans la section Tanium URIs for <IdP> Configuration (URL Tanium pour configuration du PDi), copiez les valeurs Single sign on URL (URL d’authentification unique) et Audience URI (SP entity ID) (URI public (ID entité SP)) et partagez-les avec l’administrateur PDi. L’administrateur a besoin de ces informations pour configurer le PDi, pour prendre en charge l’application de la console Tanium.
Avant d’effectuer les étapes restantes, l’administrateur PDi doit vous envoyer le certificat PDi que le serveur Tanium utilisera pour valider les messages SAML reçus du service PDi.
- Dans la section Informations sur la configuration <IdP>, utilisez les commandes pour télécharger le fichier du certificat PDi. Plus loin dans cette procédure, après avoir enregistré toutes les modifications apportées à la configuration, cette section affiche le nom du certificat sous forme de lien, sur lequel vous pouvez cliquer pour ouvrir une fenêtre contextuelle présentant le contenu du certificat.
- (PDI personnalisé uniquement) Configurez les paramètres suivants dans la section Custom IdP Settings (Paramètres PDi personnalisés). Tous les paramètres sont requis, sauf indication contraire. Ces paramètres se réfèrent aux éléments, attributs et valeurs dans les messages de réponse SAML XML que le PDi envoie au serveur Tanium, après que les utilisateurs aient tenté de s’authentifier.
- (SSO initiée par SP uniquement) Dans la section Service Provider Initiated SSO (SSO initiée par le fournisseur), sélectionnez Enable SP-initiated SSO (Activer SSO initiée par SP) et configurez les champs obligatoires suivants.
- Cliquez sur Save (Enregistrer) pour appliquer vos modifications et démarrer le service Tanium Server SP (SP du serveur Tanium).
Pour savoir comment vous connecter à Tanium Console via la SSO SAML, reportez-vous à la section Se connecter à la console.
Paramètres | Recommandations |
---|---|
idp_sso_service_url | URL SSO où les utilisateurs accèdent au service via le PDi. Par exemple : https://company.saml-provider.com/app/companyinc_tanium/dGFuaXVtc2FtbA/sso/saml. |
idp_sso_issuer | Identifiant de l’émetteur attendu pour la réponse SAML. Par exemple : http://www.saml-provider.com/YWJjZGVmMTIzNA. La valeur doit correspondre aux valeurs sec_assertion_allowed_issuer et sec_response_allowed_issuer. |
idp_sso_force_reauth | Sélectionnez l’option enabled (activée) si vous souhaitez forcer les utilisateurs à saisir des informations d’identification lorsqu’ils lancent une nouvelle session sur Tanium Console, même s’ils sont déjà authentifiés pour une session précédente qui s’est terminée en raison d’une inactivité ou d’un événement de déconnexion manuelle. Par défaut, cette option est désactivée et les utilisateurs peuvent simplement cliquer sur Sign In with SSO (Connexion avec SSO) pour démarrer une autre session sur Tanium Console sans avoir à saisir d’informations d’identification. |
Interdire la connexion du mot de passe pour la console Tanium | Sélectionnez cette option si vous souhaitez forcer tous les utilisateurs à s’authentifier via la SSO SAML lorsqu’ils se connectent à Tanium Console. L’option s’applique uniquement à l’accès à la console Tanium et n’empêche pas l’accès à la CLI ou à l’API du serveur Tanium par authentification. Vous devez attendre jusqu’à trois minutes pour que votre sélection s’applique. Une fois que la modification prend effet, la page de connexion n’affiche plus l’option Sign In with password (Connexion avec mot de passe).
Si vous désactivez les connexions avec mot de passe et que l’authentification SAML cesse de fonctionner plus tard (par exemple, la connexion au PDi a été perdue), aucun utilisateur ne peut accéder à Tanium Console. Dans ce cas, vous devez désactiver l’authentification SSO initiée par le SP via la CLI pour réactiver l’authentification avec mot de passe local ou LDAP : reportez-vous à la section Désactiver l’authentification SSO initiée par le SP via la CLI. Pour désactiver l’authentification avec mot de passe LDAP au niveau de l’API, désactivez l’option Authentification dans la configuration du serveur LDAP. |
Générer un certificat de signature de demande
Certains PDi requièrent une signature numérique sur les demandes SAML provenant d’un fournisseur de service tel que le serveur Tanium. Pour permettre au PDi d’authentifier les demandes, vous devez générer un certificat de signature de demande et une clé privée. Le serveur Tanium utilise la clé pour signer les demandes et le PDi utilise le certificat pour valider la signature.
Générer un certificat de signature de demande dans le cadre d’un déploiement des appliances Tanium
Contacter l’assistance Tanium pour connaître les étapes à suivre pour générer un certificat de signature de demande dans le cadre d’un déploiement des appliances Tanium.
Générer un certificat de signature de demande dans le cadre d’un déploiement Windows
- Accédez à la CLI du serveur Tanium. Si nécessaire, augmentez les permissions pour ouvrir l’invite de commandes en tant qu’utilisateur administrateur.
- Accédez au dossier d’installation du serveur Tanium.
- Exécutez la commande suivante pour générer le certificat et la clé privée.
Pour le <hostname>, spécifiez le FQDN du serveur Tanium. Dans le cadre d’un déploiement actif-actif, séparez les noms d’hôte par une virgule (par ex. ts1.example.com,ts2.example.com). Vous devez spécifier SAMLEncryption en tant que certificat et noms de fichiers de clé pour que le serveur puisse les utiliser pour la communication SAML. L’utilitaire ajoute automatiquement les suffixes .crt et .key au certificat et aux noms de fichiers de clés.
KeyUtility selfsign <hostname> SAMLEncryption
L’utilitaire génère le certificat et la clé au niveau supérieur du dossier d’installation du serveur Tanium. Tant que les fichiers y restent, le serveur Tanium utilise automatiquement le certificat et la clé pour sécuriser la communication SAML.
Sinon, vous pouvez également ajouter les paramètres SAMLEncryptionCertPath (CheminCertChiffrementSAML) et SAMLEncryptionKeyPath (CheminCléChiffrementSAML) sur le serveur Tanium pour configurer des noms de fichiers et des emplacements différents pour le certificat et la clé. Contacter l’assistance Tanium pour plus de détails.
- Fournissez le certificat au PDi. Collaborez avec l’administrateur de votre PDi pour configurer le PDi de manière à utiliser le certificat.
Désactiver l’authentification SSO initiée par le SP via la CLI
Si vous devez désactiver l’authentification SSO initiée par le SP sans accéder à la console Tanium, vous pouvez définir le paramètre global console_saml_sp_enabled via la CLI.
Désactiver la SSO dans le cadre d’un déploiement des appliances Tanium
Contacter l’assistance Tanium pour savoir comment désactiver la SSO dans le cadre d’un déploiement des appliances Tanium.
Désactiver la SSO dans le cadre d’un déploiement Windows
- Accédez à la CLI du serveur Tanium. Si nécessaire, augmentez les permissions pour ouvrir l’invite de commandes en tant qu’utilisateur administrateur.
- Accédez au dossier d’installation du serveur Tanium.
- Exécutez la commande suivante :
TaniumReceiver global-settings set console_saml_sp_enabled 0
Attendez jusqu’à une minute pour que la modification soit appliquée, ou redémarrez le service Tanium Server (Serveur Tanium) pour appliquer immédiatement la modification. vous trouverez le service Tanium Server (Serveur Tanium) dans le programme Windows Services (Services Windows).
Désactiver le service SAML SP du serveur Tanium
Si vous devez suspendre le fonctionnement du serveur Tanium en tant que SP SAML, vous pouvez arrêter le service SP en supprimant les paramètres PDi.
- Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) > SAML (SAML).
- Réglez Choose an IdP (Choisir un PDi) sur No Provider (Aucun fournisseur) et cliquez sur Save (Enregistrer).
Dernière mise à jour : 10/09/2021 11:44 | Commentaires