Intégration à un PDi SAML

Tanium en tant que service est préconfiguré pour s’intégrer à votre fournisseur d’identité (PDi) SAML (Security Assertion Markup Language).

Vue d’ensemble de SAML

Security Assertion Markup Language (SAML) est une norme pour échanger les demandes d’authentification et les réponses entre les fournisseurs de services (SP) et les fournisseurs d’identité (PDi). Elle permet aux SP de donner aux utilisateurs l’accès aux applications de plusieurs domaines de sécurité via un service d’authentification SSO (Single Sign-On) que le PDi fournit. Lors de la réception d’une demande d’authentification, le PDi répond avec une assertion SAML, qui est un message indiquant si un utilisateur s’est authentifié avec succès. Dans Tanium Core Platform, activer le SAML revient à configurer le serveur Tanium comme un SP pour permettre aux utilisateurs d’accéder à la console Tanium. Vous pouvez configurer les types suivants d’authentification SSO SAML pour accéder à la console :

  • Tanium Server 7.2.314.3181 et les versions ultérieures s’intègrent à Okta en tant que PDi. Elles prennent en charge la SSO initiée par le PDi.
  • Tanium Server 7.2.314.3476 (et les versions ultérieures) s’intègre à Okta en tant que PDi, et prend en charge la SSO initiée par le PDi et la SSO initiée par le SP.

Une fois connecté au PDi, un utilisateur peut lancer de nouvelles sessions de Tanium Console sans devoir s’authentifier à nouveau, jusqu’à l’expiration de la session PDi. Le délai d’expiration de la session PDi est configuré sur le serveur PDi. Consultez votre administrateur PDi pour obtenir plus d’informations.

Vous pouvez configurer le serveur Tanium pour prendre en charge à la fois l’authentification SSO initiée par PDi et l’authentification initiée par SP, ou uniquement l’authentification SSO initiée par PDi. Vous ne pouvez pas configurer uniquement l’authentification SSO initiée par SP.

Conservez au moins un compte d’utilisateur sur le serveur Tanium qui ne nécessite pas d’authentification SAML et attribuez-lui le rôle réservé Administrateur. Vous pouvez utiliser ce compte pour accéder à la console Tanium si l’authentification SAML cesse de fonctionner (par exemple, si la connexion au PDi tombe en panne).

Le serveur Tanium ne prend pas en charge l’autorisation utilisateur (contrôle d’accès basé sur les rôles ; RBAC) via SAML. Pour contrôler les fonctionnalités, les paramètres et les informations que les utilisateurs peuvent voir et utiliser après avoir accédé à la console Tanium, configurez les permissions de rôle utilisateur. Pour plus de détails, reportez-vous à la section Vue d’ensemble du RBAC.

Seuls les utilisateurs disposant du rôle réservé Administrateur peuvent voir et utiliser la configuration SAML.

SSO initiée par PDi

Dans certaines entreprises, les utilisateurs doivent accéder à un grand nombre d’applications, voire à toutes les applications, en se connectant à un portail SSO unique fourni par le PDi de l’entreprise. Après avoir activé SAML sur le serveur Tanium, les utilisateurs peuvent accéder à Tanium Console via le portail SSO du PDi. Un workflow initié par le PDi comporte les phases suivantes (correspondance avec les chiffres dans la F : Figure 1) :

A1 Un utilisateur se connecte au portail SSO du PDi à l’aide d’un nom d’utilisateur et d’un mot de passe d’entreprise, puis clique sur la mosaïque de l’application souhaitée (la console Tanium, dans cet exemple).
2 Le PDi renvoie une réponse signée (qui contient une assertion SAML), indiquant que l’utilisateur s’est authentifié avec succès. Le navigateur de l’utilisateur transmet automatiquement la réponse au fournisseur de service (le serveur Tanium, dans cet exemple).
3 Le fournisseur de service utilise le certificat du PDi pour vérifier que la signature de la réponse SAML est valide.
4 Le SP fournit à l’utilisateur l’accès à l’application.
F : Figure 1 :  SSO SAML initiée par PDi

SSO initiée par SP

Un workflow initié par le SP comporte les phases suivantes (correspondance avec les chiffres dans la F : Figure 2) :

1  L’utilisateur essaie d’accéder à l’application (la console Tanium dans cet exemple) directement via le SP (le serveur Tanium dans cet exemple).
2 Le SP redirige l’utilisateur pour s’authentifier via le PDi. Le navigateur de l’utilisateur traite automatiquement la redirection.
3 L’utilisateur se connecte au PDi.
4 Le PDi renvoie une réponse signée (qui contient une assertion SAML), indiquant que l’utilisateur s’est authentifié avec succès. Le navigateur de l’utilisateur transmet automatiquement la réponse au fournisseur de service.
5 Le fournisseur de service utilise le certificat du PDi pour vérifier que la signature de la réponse SAML est valide.
6 Le SP fournit à l’utilisateur l’accès à l’application.
F : Figure 2 :  SSO SAML initiée par SP

Avant de commencer

  • Travaillez avec l’administrateur PDi pour identifier les utilisateurs qui doivent accéder à la console Tanium via le PDi. Il incombe à l’administrateur PDi de configurer l’authentification via un serveur AD ou  LDAP et de gérer l’accès des utilisateurs via le PDi. Pour plus d’informations sur la configuration d’une demande via un PDi, reportez-vous à la documentation de votre PDi.

    un administrateur doit créer des utilisateurs de la console Tanium s’ils sont locaux sur le serveur Tanium (reportez-vous à la section Créer un utilisateur) ou importer les utilisateurs depuis un serveur LDAP (reportez-vous à la section Intégration aux serveurs LDAP).

  • Travaillez avec l’administrateur PDi lors du déploiement des modifications des URL, via lesquelles les utilisateurs de la console Tanium accèdent au portail SSO PDi (SSO initiée par le PDI uniquement).

Configurer l’authentification SAML

Procédez comme suit pour activer le SSO initié par le SP ou le PDi.

si vous avez déjà activé une invite de mot de passe pour modifier la configuration, le serveur Tanium la modifie automatiquement sur l’invite Yes/Cancel (Oui/Annuler) une fois que vous avez activé l’authentification SAML.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) > SAML (SAML).
  2. Sélectionnez un PDi dans la liste déroulante Choose an IdP (Choisir un PDi).
  3. Dans la section Tanium URIs for <IdP> Configuration (URL Tanium pour configuration du PDi), copiez les valeurs Single sign on URL (URL d’authentification unique) et Audience URI (SP entity ID) (URI public (ID entité SP)) et partagez-les avec l’administrateur PDi. L’administrateur a besoin de ces informations pour configurer le PDi, pour prendre en charge l’application de la console Tanium.

    Avant d’effectuer les étapes restantes, l’administrateur PDi doit vous envoyer le certificat PDi que le serveur Tanium utilisera pour valider les messages SAML reçus du service PDi.

  4. Dans la section Informations sur la configuration <IdP>, utilisez les commandes pour télécharger le fichier du certificat PDi. Plus loin dans cette procédure, après avoir enregistré toutes les modifications apportées à la configuration, cette section affiche le nom du certificat sous forme de lien, sur lequel vous pouvez cliquer pour ouvrir une fenêtre contextuelle présentant le contenu du certificat.
  5. (PDI personnalisé uniquement) Configurez les paramètres suivants dans la section Custom IdP Settings (Paramètres PDi personnalisés). Tous les paramètres sont requis, sauf indication contraire. Ces paramètres se réfèrent aux éléments, attributs et valeurs dans les messages de réponse SAML XML que le PDi envoie au serveur Tanium, après que les utilisateurs aient tenté de s’authentifier.
    6. T :  Tableau 3 : Paramètres personnalisés du PDi
    Paramètres Recommandations
    Nom Nom identifiant le PDi.
    xp_response_destination Sélecteur Xpath pour la destination de réponse dans l’élément Response. Par exemple : @Destination. La destination est l’URL à laquelle le PDi envoie la réponse SAML. Le serveur Tanium utilise le paramètre sec_response_allowed_destination pour valider la destination.
    xp_response_issuer Sélecteur Xpath pour l’identificateur de l’émetteur de la réponse dans l’élément Response. Par exemple : Issuer/text(). Le serveur Tanium utilise le paramètre sec_response_allowed_issuer pour valider l’identificateur de l’émetteur.
    xp_response_status Sélecteur Xpath pour le code de statut de réponse dans l’élément Response. Par exemple : Status/StatusCode/@Value. Le code de statut indique si l’authentification a réussi au niveau du PDi.
    xp_response_id Sélecteur Xpath pour l’identificateur de réponse dans l’élément Response. Par exemple : @ID. Le serveur Tanium utilise l’identificateur pour s’assurer que la signature de réponse renvoie à l’élément correct.
    xp_response_issue_instant Sélecteur Xpath pour le temps d’émission de réponse dans l’élément Response. Par exemple : @IssueInstant. Le serveur Tanium utilise l’instant d’émission pour s’assurer que la réponse n’a pas expiré.
    xp_assertion_issuer Sélecteur Xpath pour l’identificateur de l’émetteur de l’assertion dans l’élément Assertion. Par exemple : Issuer/text(). Le serveur Tanium utilise le paramètre sec_assertion_allowed_issuer pour valider l’identificateur de l’émetteur.
    xp_assertion_audience Sélecteur Xpath pour le public de l’assertion attendu dans l’élément Assertion. Par exemple : Conditions/AudienceRestriction/Audience/text(). Le serveur Tanium utilise le paramètre sec_assertion_allowed_audience pour valider le public attendu.
    xp_assertion_username Sélecteur Xpath pour le nom d’utilisateur dans l’élément Assertion. Par exemple : Subject/NameID/text(). Le serveur Tanium utilise le paramètre pour récupérer le nom d’utilisateur de l’utilisateur qui a essayé de s’authentifier.
    xp_assertion_recipient Sélecteur Xpath pour la valeur du destinataire dans l’élément Assertion. Par exemple : Subject/SubjectConfirmation/SubjectConfirmationData/@Recipient. Le destinataire est l’endroit où le PDi envoie l’assertion SAML. Le serveur Tanium utilise le paramètre sec_assertion_allowed_recipient pour valider le destinataire.
    xp_assertion_auth_class Sélecteur Xpath pour la classe d’authentification dans l’élément Assertion. Par exemple : AuthnStatement/AuthnContext/AuthnContextClassRef/text(). La classe d’authentification représente la méthode utilisée par le PDi pour authentifier l’utilisateur. Le serveur Tanium utilise le paramètre sec_assertion_allowed_auth_context_classes pour valider la classe d’authentification.
    xp_assertion_cond_before Sélecteur Xpath pour la condition not-before (pas-avant) dans l’élément Assertion. Par exemple : Conditions/@NotBefore. La condition not-before indique la date et l’heure avant laquelle l’assertion n’est pas valide. Si vous avez défini sec_check_assertion_time_constraints sur true, xp_assertion_cond_before requiert une valeur.
    xp_assertion_cond_after Sélecteur Xpath pour la condition not-on-or-after (pas-le-ou-après) dans l’élément Assertion. Par exemple : Conditions/@NotOnOrAfter. La condition not-on-or-after indique la date et l’heure auxquelles l’assertion devient invalide. Si vous avez défini sec_check_assertion_time_constraints sur true, xp_assertion_cond_after requiert une valeur.
    sec_check_assertion_time_constraints Paramètre facultatif qui permet d’activer (cochez la case) ou de désactiver (décochez la case) la validation des conditions de date et heure not-before (xp_assertion_cond_before (cond_assertion_xp_avant)) et not-on-or-after (xp_assertion_cond_after (cond_assertion_xp_après)) de l’assertion.
    sec_assertion_allowed_auth_context_classes Liste optionnelle séparée par des virgules de valeurs possibles pour la classe d’authentification qui représente la méthode utilisée par le PDi pour authentifier l’utilisateur. Par exemple : urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport.
    sec_assertion_allowed_issuer Valeur de validation facultative pour l’identificateur de l’émetteur d’assertion. Par exemple : http://www.saml-provider.com/YWJjZGVmMTIzNA.
    sec_assertion_allowed_recipient Valeur de validation facultative pour l’URL du destinataire de l’assertion. Par exemple : https://myhost.company.com/saml2/auth/custom.
    sec_assertion_allowed_audience Valeur attendue facultative pour le public de l’assertion. Par exemple : tanium-saml2.
    sec_elt_assertion_signed Sélectionnez cette option si vous souhaitez que le serveur Tanium vérifie la signature de l’assertion du PDI.
    sec_response_allowed_issuer Valeur de validation facultative pour l’identificateur de l’émetteur de réponse. Par exemple : http://www.saml-provider.com/YWJjZGVmMTIzNA.
    sec_response_allowed_destination Valeur de validation facultative pour l’URL de destination de la réponse. Par exemple : https://myhost.company.com/saml2/auth/custom.
    sec_response_expiration Période facultative en secondes lorsqu’une réponse est valide et réutilisable. Si vous ne spécifiez pas de valeur, la période par défaut est de 300 secondes (cinq minutes).
  6. (SSO initiée par SP uniquement) Dans la section Service Provider Initiated SSO (SSO initiée par le fournisseur), sélectionnez Enable SP-initiated SSO (Activer SSO initiée par SP) et configurez les champs obligatoires suivants.
    7. T :  Tableau 4 : Paramètres de SSO initiée par SP
    Paramètres Recommandations
    idp_sso_service_url URL SSO où les utilisateurs accèdent au service via le PDi. Par exemple : https://company.saml-provider.com/app/companyinc_tanium/dGFuaXVtc2FtbA/sso/saml.
    idp_sso_issuer Identifiant de l’émetteur attendu pour la réponse SAML. Par exemple : http://www.saml-provider.com/YWJjZGVmMTIzNA. La valeur doit correspondre aux valeurs sec_assertion_allowed_issuer et sec_response_allowed_issuer.
    idp_sso_force_reauth Sélectionnez l’option enabled (activée) si vous souhaitez forcer les utilisateurs à saisir des informations d’identification lorsqu’ils lancent une nouvelle session sur Tanium Console, même s’ils sont déjà authentifiés pour une session précédente qui s’est terminée en raison d’une inactivité ou d’un événement de déconnexion manuelle. Par défaut, cette option est désactivée et les utilisateurs peuvent simplement cliquer sur Sign In with SSO (Connexion avec SSO) pour démarrer une autre session sur Tanium Console sans avoir à saisir d’informations d’identification.
    Interdire la connexion du mot de passe pour la console Tanium Sélectionnez cette option si vous souhaitez forcer tous les utilisateurs à s’authentifier via la SSO SAML lorsqu’ils se connectent à Tanium Console. L’option s’applique uniquement à l’accès à la console Tanium et n’empêche pas l’accès à la CLI ou à l’API du serveur Tanium par authentification. Vous devez attendre jusqu’à trois minutes pour que votre sélection s’applique. Une fois que la modification prend effet, la page de connexion n’affiche plus l’option Sign In with password (Connexion avec mot de passe).

    Si vous désactivez les connexions avec mot de passe et que l’authentification SAML cesse de fonctionner plus tard (par exemple, la connexion au PDi a été perdue), aucun utilisateur ne peut accéder à Tanium Console. Dans ce cas, vous devez désactiver l’authentification SSO initiée par le SP via la CLI pour réactiver l’authentification avec mot de passe local ou LDAP : reportez-vous à la section Désactiver l’authentification SSO initiée par le SP via la CLI.

    Pour désactiver l’authentification avec mot de passe LDAP au niveau de l’API, désactivez l’option Authentification dans la configuration du serveur LDAP.
  7. Cliquez sur Save (Enregistrer) pour appliquer vos modifications et démarrer le service Tanium Server SP (SP du serveur Tanium).

    Pour savoir comment vous connecter à Tanium Console via la SSO SAML, reportez-vous à la section Se connecter à la console.

Générer un certificat de signature de demande

Certains PDi requièrent une signature numérique sur les demandes SAML provenant d’un fournisseur de service tel que le serveur Tanium. Pour permettre au PDi d’authentifier les demandes, vous devez générer un certificat de signature de demande et une clé privée. Le serveur Tanium utilise la clé pour signer les demandes et le PDi utilise le certificat pour valider la signature.

Générer un certificat de signature de demande dans le cadre d’un déploiement des appliances Tanium

Contacter l’assistance Tanium pour connaître les étapes à suivre pour générer un certificat de signature de demande dans le cadre d’un déploiement des appliances Tanium.

Générer un certificat de signature de demande dans le cadre d’un déploiement Windows

  1. Accédez à la CLI du serveur Tanium. Si nécessaire, augmentez les permissions pour ouvrir l’invite de commandes en tant qu’utilisateur administrateur.


  2. Accédez au dossier d’installation du serveur Tanium.
  3. Exécutez la commande suivante pour générer le certificat et la clé privée. Pour le <hostname>, spécifiez le FQDN du serveur Tanium. Dans le cadre d’un déploiement actif-actif, séparez les noms d’hôte par une virgule (par ex. ts1.example.com,ts2.example.com). Vous devez spécifier SAMLEncryption en tant que certificat et noms de fichiers de clé pour que le serveur puisse les utiliser pour la communication SAML. L’utilitaire ajoute automatiquement les suffixes .crt et .key au certificat et aux noms de fichiers de clés.

    KeyUtility selfsign <hostname> SAMLEncryption

    L’utilitaire génère le certificat et la clé au niveau supérieur du dossier d’installation du serveur Tanium. Tant que les fichiers y restent, le serveur Tanium utilise automatiquement le certificat et la clé pour sécuriser la communication SAML.

    Sinon, vous pouvez également ajouter les paramètres SAMLEncryptionCertPath (CheminCertChiffrementSAML) et SAMLEncryptionKeyPath (CheminCléChiffrementSAML) sur le serveur Tanium pour configurer des noms de fichiers et des emplacements différents pour le certificat et la clé. Contacter l’assistance Tanium pour plus de détails.

  4. Fournissez le certificat au PDi. Collaborez avec l’administrateur de votre PDi pour configurer le PDi de manière à utiliser le certificat.

Désactiver l’authentification SSO initiée par le SP via la CLI

Si vous devez désactiver l’authentification SSO initiée par le SP sans accéder à la console Tanium, vous pouvez définir le paramètre global console_saml_sp_enabled via la CLI.

Désactiver la SSO dans le cadre d’un déploiement des appliances Tanium

Contacter l’assistance Tanium pour savoir comment désactiver la SSO dans le cadre d’un déploiement des appliances Tanium.

Désactiver la SSO dans le cadre d’un déploiement Windows

  1. Accédez à la CLI du serveur Tanium. Si nécessaire, augmentez les permissions pour ouvrir l’invite de commandes en tant qu’utilisateur administrateur.


  2. Accédez au dossier d’installation du serveur Tanium.
  3. Exécutez la commande suivante :

    TaniumReceiver global-settings set console_saml_sp_enabled 0

    Attendez jusqu’à une minute pour que la modification soit appliquée, ou redémarrez le service Tanium Server (Serveur Tanium) pour appliquer immédiatement la modification. vous trouverez le service Tanium Server (Serveur Tanium) dans le programme Windows Services (Services Windows).

Désactiver le service SAML SP du serveur Tanium

Si vous devez suspendre le fonctionnement du serveur Tanium en tant que SP SAML, vous pouvez arrêter le service SP en supprimant les paramètres PDi.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) > SAML (SAML).
  2. Réglez Choose an IdP (Choisir un PDi) sur No Provider (Aucun fournisseur) et cliquez sur Save (Enregistrer).