Configuration de la fédération SSO
La fédération d'authentification unique (SSO) permet aux utilisateurs de se connecter à VaultPAM à l'aide de leur fournisseur d'identité (IdP) existant. VaultPAM achemine la SSO via Keycloak, et le fournisseur amont est configuré là. VaultPAM n'utilise pas de téléversement de métadonnées SAML pour ce flux.
Prérequis
- VaultPAM : rôle d'Administrateur d'organisation
- Fournisseur d'identité : accès administrateur à votre locataire Entra ID ou à votre organisation Okta
- Keycloak : accès au realm qui sert de broker pour votre environnement
- Protocole : OIDC / OAuth 2.0 pris en charge par votre IdP et Keycloak
Microsoft Entra ID (Azure AD)
Cette procédure utilise OIDC via Keycloak. Créez une inscription d'application OAuth 2.0 dans Azure, pas une application d'entreprise SAML.
- Dans le portail Azure, accédez à Entra ID > Inscription d'applications > Nouvelle inscription.
- Nommez l'application VaultPAM, choisissez le type de compte qui correspond à votre périmètre de locataire, puis enregistrez-la.
- Ajoutez l'URI de redirection du broker Keycloak pour votre environnement. Utilisez l'URL de rappel du realm et du fournisseur, par exemple
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Créez un secret client et notez l'ID d'application (client), l'ID de répertoire (locataire) et la valeur du secret client.
- Dans la console d'administration Keycloak, ouvrez le realm qui sert de broker pour votre environnement et ajoutez ou mettez à jour le fournisseur d'identité OIDC Microsoft avec l'issuer ou l'URL de découverte Azure, l'ID client, le secret client et la restriction de locataire.
- Enregistrez la configuration IdP et testez la connexion depuis la page de connexion VaultPAM.
- Confirmez que la connexion aboutit et que l'utilisateur arrive dans VaultPAM après la redirection Keycloak.
État de réussite : Les utilisateurs du locataire Entra ID autorisé peuvent se connecter à VaultPAM via Keycloak avec leurs identifiants Microsoft.
Okta
Cette procédure utilise également OIDC via Keycloak. Créez une intégration d'application OIDC dans Okta, pas une intégration SAML.
- Dans la console d'administration Okta, accédez à Applications > Applications > Créer une intégration d'application.
- Sélectionnez OIDC - OpenID Connect, choisissez Web Application, puis cliquez sur Suivant.
- Nommez l'application VaultPAM et ajoutez l'URI de redirection du broker Keycloak pour votre environnement.
- Notez l'ID client, le secret client et l'URL de l'issuer affichés par Okta.
- Dans la console d'administration Keycloak, ajoutez ou mettez à jour le fournisseur d'identité OIDC Okta avec ces valeurs et les restrictions de revendications ou de domaine nécessaires.
- Enregistrez la configuration IdP et testez la connexion depuis la page de connexion VaultPAM.
État de réussite : Les utilisateurs Okta affectés peuvent se connecter à VaultPAM via Keycloak, et le journal d'audit enregistre la session authentifiée par SSO.
Si des utilisateurs reçoivent une erreur d'authentification ou sont redirigés vers la page de connexion, consultez Échec de connexion SSO pour connaître les causes fréquentes et les solutions.