# SAML + CENTREON ## 📘 IntĂ©gration Authentik (IdP) avec Centreon (SP) via SAML Cette documentation dĂ©crit comment intĂ©grer **Authentik** comme **fournisseur d'identitĂ© (IdP)** avec **Centreon** comme **Service Provider (SP)** via **SAML 2.0**, en environnement sĂ©curisĂ© **avec reverse proxy** et certificats TLS **Let's Encrypt**. *** ### 🧰 PrĂ©requis #### 1. Environnement sĂ©curisĂ© * **Centreon** et **Authentik** sont accessibles en HTTPS via reverse proxy (NGINX, Traefik, Apache
). * Certificats **Let’s Encrypt** valides sur les deux cĂŽtĂ©s (authentik et centreon). * Authentik est dĂ©jĂ  installĂ© ([voir guide Docker ici](/tutoriels/singlesignon/authentik.md)). #### 2. DNS / Reverse Proxy * Le reverse proxy gĂšre les certificats SSL et fait suivre le trafic vers les IP internes : * `https://auth.mondomaine.tld` → Authentik (port 80/443) * `https://centreon.mondomaine.tld` → Centreon (port 80/443) *** ### ⚙ Étapes cĂŽtĂ© Authentik (IdP) #### 1. GĂ©nĂ©rer un certificat signĂ© (pour les assertions) Depuis l’interface admin : * Aller dans **System → Certificates → Generate** * ParamĂštres : * **Common Name (CN)** : `centreon.mondomaine.tld` * **Subject Alternative Name (SAN)** : `auth.mondomaine.tld`, `centreon.mondomaine.tld` * Utiliser ce certificat pour : * **Signer l’assertion** * **Signer la rĂ©ponse** *** #### 2. CrĂ©er un Provider SAML Aller dans **Providers → Create → SAML Provider** * **ACS URL** :\ `https://centreon.mondomaine.tld/centreon/api/latest/saml/acs` * **Issuer** :\ `https://centreon.mondomaine.tld` *(⚠ Sans `/` final)* * **SLO URL** : *(facultatif)* * **Binding** : POST * **Sign Responses** : ✅ * **Sign Assertions** : ✅ * **Certificate** : le certificat gĂ©nĂ©rĂ© Ă  l'Ă©tape 1 Enregistrer. *** #### 3. CrĂ©er une Application SAML * Aller dans **Applications → Create** * **Name** : `Centreon` * **Slug** : `centreon` * **Provider** : celui crĂ©Ă© juste avant * **User attribute mapping ( fais par defaut, mais s'assurer d'avoir les suivants d'inclu)** : * `username` * `email` * `name` **💡 Identifiants SAML visibles dans :**\ [`https://auth.mondomaine.tld/application/saml/centreon/metadata/`](https://auth.skyfik.net/application/saml/supervision/metadata/) *** ### ⚙ Étapes cĂŽtĂ© Centreon (SP) #### 1. Modifier le fichier PHP des options SAML Dans `/usr/share/centreon/src/Core/Security/Authentication/Infrastructure/Provider/Settings/Formatter/OneLoginSettingsFormatter.php` Ajoutez dans le bloc `'security'` : ```php 'security' => [ 'requestedAuthContext' => false, 'requestedAuthnContextComparison' => 'Minimum', ], ``` RedĂ©marrer Apache / PHP-FPM ou l’unitĂ© Centreon : ```bash systemctl restart centreon ``` *** #### 2. Configuration Web de SAML dans Centreon Depuis l’interface web Centreon : * **Administration → Authentication → SAML** | Champ | Valeur | | -------------------------- | ----------------------------------------------------------------------------- | | Authentication Method | Mixed | | Remote login URL | `https://auth.mondomaine.tld/application/saml/centreon/sso/binding/redirect/` | | Issuer (Entity ID) | `https://centreon.mondomaine.tld` | | x.509 Certificate | 🔐 Certificat signĂ© gĂ©nĂ©rĂ© dans Authentik (voir Ă©tape 1) | | Login Attribute (username) | `http://schemas.goauthentik.io/2021/02/saml/username` | | Email Attribute | `http://schemas.goauthentik.io/2021/02/saml/email` | | Name Attribute | `http://schemas.goauthentik.io/2021/02/saml/name` | *** ### 🔁 Reverse Proxy (bonus) #### Exemple de config NGINX pour passer centreon en https ```nginx server { listen 443 ssl; server_name centreon.mondomaine.tld; ssl_certificate /etc/letsencrypt/live/centreon.mondomaine.tld/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/centreon.mondomaine.tld/privkey.pem; location / { proxy_pass http:///; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 💡 **Important** : Le certificat prĂ©sentĂ© doit ĂȘtre valide et reconnu par Authentik. {% hint style="danger" %} Si vous utilisez un **certificat autosignĂ©**, ajoutez-le manuellement dans le keystore Java d'Authentik ou dĂ©sactivez la validation stricte (non recommandĂ© en prod). {% endhint %} ### ✅ VĂ©rifications finales * ✔ L’ACS URL correspond Ă  celle dĂ©finie dans Authentik * ✔ Le certificat est bien signĂ© * ✔ Les attributs SAML sont bien mappĂ©s * ✔ Authentik utilise une URL en HTTPS avec certificat reconnu *** ### DEBUG Si vous rencontrez des bug, j'ai ecrit un comment sur une issue github qui peut etre trĂšs utiles. [Lien vers commentaires issues](https://github.com/bbalet/jorani/issues/394#issuecomment-2886970601) ### 📚 RĂ©fĂ©rences utiles * [Authentik SAML Docs](https://goauthentik.io/docs/providers/saml) * [Centreon SAML Integration (via OneLogin)](https://docs.centreon.com/docs/administration/authentication/saml/) * [Schemas Authentik SAML](https://github.com/goauthentik/authentik/blame/main/blueprints/system/providers-saml.yaml) *** --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki-tech.fikara.io/tutoriels/singlesignon/saml-+-centreon.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.