GithubLinkedInXMail

SAML + Apache Cloudstack

Documentation : Configuration du SSO avec Authentik et Apache CloudStack

Cette documentation explique comment configurer le Single Sign-On (SSO) en utilisant Authentik comme fournisseur d'identité (IdP) et Apache CloudStack comme fournisseur de services (SP). Elle couvre les étapes côté Authentik et côté Apache CloudStack en se basant sur les captures d'écran fournies.

Configuration côté Authentik (Fournisseur d'Identité)

Authentik est utilisé pour fournir les métadonnées SAML et gérer l'authentification. Voici les étapes clés :

1. Création de l'Application SAML dans Authentik

  • Détails : Créez une application SAML dans Authentik pour CloudStack.

  • Paramètres :

    • Nom de l'application : Apache CloudStack

    • URL de redirection SAML : https://cloud.skyfik.net/client

    • URL de métadonnées IdP : https://auth.skyfik.net/application/saml/cloudstack/metadata/

    • URL de Single Sign-On (SSO) : https://cloud.skyfik.net/client/api?command=samlSso

    • Attribut utilisateur : http://schemas.goauthentik.io/2021/02/saml/username

2. Configuration des Métadonnées et Certificats

  • Détails : Fournissez les métadonnées et les certificats nécessaires.

    • URL de métadonnées IdP : https://auth.skyfik.net/application/saml/cloudstack/metadata/

    • Intervalle de rafraîchissement des métadonnées IdP : 1800 secondes (minimum 300).

3. Attributs et Redirection

  • Détails :

    • S'assurer que l'attribut username est mappé dans la réponse SAML.

    • Configurer l'URL de redirection après une authentification réussie : https://cloud.skyfik.net/client.

Configuration côté Apache CloudStack (Fournisseur de Services)

Apache CloudStack doit être configuré pour utiliser les métadonnées SAML fournies par Authentik et activer le SSO. Voici les étapes :

1. Activation du SSO SAML2

  • Détails : Activer le plugin SSO SAML2 dans les paramètres globaux.

    • Saml2 enabled (saml2.enabled) : Activé (✔).

    • Saml2 check signature (saml2.check.signature) : Désactivé (par défaut, recommandé activé pour la sécurité, mais désactivé ici pour compatibilité).

2. Configuration des Paramètres SAML2

  • Détails :

    • PluggableApi authenticators order (pluggableApi.authenticators.order) : SAML2Auth, OAUTH2Auth (ordre de priorité des extensions).

    • Saml2 append IdP domain (saml2.append.idpdomain) : Désactivé (ne pas ajouter le domaine IdP au nom d'utilisateur).

    • Saml2 default IdP id (saml2.default.idpid) : https://cloud.skyfik.net (IDP par défaut en cas de multiples IdPs).

    • Saml2 IdP metadata URL (saml2.idp.metadata.url) : https://auth.skyfik.net/application/saml/cloudstack/metadata/.

    • Saml2 redirect URL (saml2.redirect.url) : https://cloud.skyfik.net/client (URL de redirection après SSO).

    • Saml2 force authn (saml2.force.authn) : Désactivé (par défaut faux, force une nouvelle authentification si activé).

    • Saml2 user attribute (saml2.user.attribute) : http://schemas.goauthentik.io/2021/02/saml/username (attribut contenant le nom d'utilisateur).

    • Saml2 user sessionkey path (saml2.user.sessionkey.path) : Laisser vide (utilisera l'URL de redirection par défaut).

3. Configuration des Détails du Service Provider

  • Détails :

    • Saml2 sp org name (saml2.sp.org.name) : Apache CloudStack (nom de l'organisation SP).

    • Saml2 sp org URL (saml2.sp.org.url) : https://cloud.skyfik.net (URL de l'organisation SP).

    • Saml2 sp slo URL (saml2.sp.slo.url) : https://cloud.skyfik.net/client (URL de déconnexion unique).

    • Saml2 sp sso URL (saml2.sp.sso.url) : https://cloud.skyfik.net/client/api?command=samlSso (URL de connexion unique).

    • Saml2 sp contact email (saml2.sp.contact.email) : [email protected] (email de contact SP).

    • Saml2 sp contact person (saml2.sp.contact.person) : CloudStack Developers (nom du contact SP).

    • Saml2 sp id (saml2.sp.id) : https://cloud.skyfik.net (identifiant SP).

    • Saml2 sigalg (saml2.sigalg) : SHA1 (algorithme de signature, options : SHA1, SHA256, SHA384, SHA512).

4. Validation et Sécurité

  • Détails :

    • Saml2 validate login (saml2.validate.login) : Activé (valide que l'authentification SAML est effectuée avec un mot de passe).

    • S'assurer'''' que les certificats et les signatures sont correctement configurés pour la sécurité.

Remarques Importantes

  • Sécurité : Activer saml2.check.signature est recommandé pour éviter les risques de sécurité, sauf en cas de compatibilité descendante. Redémarrez les managers après les modifications

  • Test : Tester la configuration SSO après chaque modification pour vérifier que l'authentification fonctionne correctement.

PreviousOpenID + ProxmoxNextGit

Last updated

Was this helpful?