Note :

Configurer la gestion des identités et des accès OCI en tant que source d'authentification unique pour la plate-forme de commande Rapid7

Présentation

Oracle Cloud Infrastructure (OCI) est la plateforme infonuagique d'Oracle qui offre un ensemble complet de services infonuagiques, y compris l'informatique, le stockage, le réseautage, les bases de données et la gestion des identités. OCI est conçu pour les applications traditionnelles et les nouvelles charges de travail en nuage natives, offrant l'évolutivité, la sécurité et la performance à différents niveaux de service. OCI prend également en charge un système robuste de gestion des identités et des accès (IAM) qui comprend des fonctions telles que SAML pour activer l'authentification unique (SSO) pour une sécurité et une commodité améliorées pour les utilisateurs. La fédération d'identités basée sur SAML d'OCI permet aux entreprises de s'intégrer à des fournisseurs d'identités externes, simplifiant l'accès des utilisateurs à différentes ressources OCI.

Rapid7 est l'un des principaux fournisseurs de solutions de cybersécurité, axées sur la détection des menaces, la gestion des vulnérabilités et la réponse aux incidents. Avec des outils tels que InsightIDR et InsightVM, Rapid7 permet aux organisations de détecter et de gérer les vulnérabilités dans leur infrastructure, y compris les environnements en nuage. La fonction d'intégration SAML de Rapid7 simplifie l'authentification en permettant aux organisations de se connecter à des fournisseurs d'identités tels qu'OCI. Cette connexion offre aux utilisateurs des capacités d'authentification unique, ce qui améliore la sécurité en réduisant la dépendance au mot de passe, tout en permettant un accès transparent aux outils et aux données clés de sécurité de Rapid7.

Ce tutoriel décrit les tâches de configuration d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) en tant que source d'authentification unique pour la plate-forme de commande Rapid7 à l'aide du langage SAML (Security Assertion Markup Language) 2.0. Cela vous permet d'utiliser le service IAM pour OCI pour gérer l'authentification d'utilisateur pour la plate-forme de commande Rapid7.

Public cible

Professionnels du service IAM pour OCI et administrateurs Rapid7.

Objectifs

Préalables

Tâche 1 : Configurer les paramètres d'authentification unique dans la plate-forme de commande Rapid7

Dans cette tâche, nous configurerons les paramètres d'authentification unique à l'aide de SAML 2.0 dans la plate-forme de commande Rapid7.

  1. Pour accéder aux paramètres d'authentification unique, procédez comme suit :

    1. Allez à la page d'accueil de la plate-forme de commande Rapid7 et cliquez sur le lien Administration.

    2. Cliquez sur l'icône Settings.

    3. Cliquez sur Paramètres d'authentification et sur Paramètres d'authentification unique.

    Image 2

  2. Sélectionnez Autre dans le menu déroulant Sélectionner votre fournisseur d'identités (IdP).

    Image 3

    Note : Nous chargerons le certificat IdP plus tard après avoir terminé la tâche 2.

  3. Copiez les URL du service de consommateurs d'assertion (ACS), du public (EntityID) et de l'état du relais. Une fois terminé, allez à Tâche 2.

    Image 6

  4. Copiez l'ID entité et l'URL SingleSignOnService à partir des métadonnées téléchargées dans la tâche 2 et utilisez-les dans URL de l'émetteur et URL d'authentification unique respectivement dans la section Plate-forme Insight configurée.

    Image 22

    Image 12

    Note : Le format de l'URL d'authentification unique est https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso.

  5. Chargez le certificat IdP.

    Image 5

  6. Configurez un profil d'accès par défaut auquel les nouveaux utilisateurs doivent être affectés. Une fois que vous avez configuré ce profil d'accès par défaut, il est automatiquement affecté à tous les nouveaux comptes d'utilisateur créés au moyen du service IAM pour OCI. L'accès aux comptes d'utilisateur existants ne sera pas touché.

    Image 13

    Image 14

    Image 28

  7. Activez la synchronisation de groupe d'utilisateurs IdP. La synchronisation des groupes IAM OCI avec la plate-forme de commande Rapid7 permet à votre service IAM OCI de régir l'appartenance aux groupes d'utilisateurs de la plate-forme de commande Rapid7. Les utilisateurs OCI affectés aux groupes IdP sont automatiquement affectés aux groupes d'utilisateurs correspondants dans la plate-forme de commande Rapid7. Les utilisateurs affectés héritent ainsi de toutes les autorisations de produit, de rôle et de données définies tant qu'ils font partie du groupe IdP initial.

    Image 16

    Image 15

  8. Cliquez sur Oui pour activer l'authentification unique au moyen de IdP externe.

    Image 17

  9. Cliquez sur Télécharger pour télécharger les métadonnées du fournisseur de services.

    Image 23

  10. Extrayez X509Certificate de celui-ci pour créer un fichier .pem.

    Image 26

Tâche 2 : Créer une application SAML dans les domaines d'identité IAM OCI

Nous créerons une application SAML dans les domaines d'identité IAM OCI respectifs. Cela est nécessaire pour établir un lien de communication sécurisé entre OCI IAM et la plate-forme de commande Rapid7 à l'aide du protocole SAML 2.0 pour l'authentification unique.

  1. Connectez-vous à la console OCI, allez à Identité et sécurité et cliquez sur Domaines.

    Image 19

  2. Sélectionnez votre domaine, cliquez sur Applications intégrées pour Ajouter une application, sélectionnez Application SAML et cliquez sur Lancer le flux de travail.

    Image 20

  3. Entrez le nom, l'état du relais de votre application et cliquez sur Suivant.

    Image 11

  4. Dans la section Configurer l'authentification unique, entrez ID entité, URL du consommateur d'assertion, sélectionnez Format d'ID nom comme Non spécifié, Valeur d'ID nom comme Nom d'utilisateur et chargez le certificat de signature téléchargé à partir de la console Rapid7.

    Image 8

    Note : Une fois l'authentification unique configurée dans la plate-forme de commande Rapid7, le certificat peut être extrait des métadonnées téléchargées.

  5. Dans la section Configurations supplémentaires, sélectionnez Inclure le certificat de signature dans la signature et désélectionnez Activer la déconnexion unique. Conservez l'autre paramètre par défaut.

    Image 9

    Note : Sélectionnez ou désélectionnez la fonction Activer la déconnexion unique en fonction de vos besoins. L'activation de la fonction nécessitera l'ajout des URL SLO dans le champ correspondant.

  6. Utilisez la configuration suivante dans la section Configuration d'attributs.

    Image 10

    Note : Les énoncés d'attribut suivants dans l'image sont obligatoires pour l'authentification auprès de la plate-forme de commande Rapid7.

  7. Cliquez sur Terminer et sur Activer pour terminer la configuration.

  8. Téléchargez le certificat de signature et les métadonnées du fournisseur d'identités. Une fois terminé, revenez à la tâche 1.4 et continuez.

    Image 21

Tâche 3 : Synchronisation de groupe

La synchronisation de groupe vous permet de contrôler l'affectation de groupes d'utilisateurs à partir du service IAM pour OCI.

Cette capacité est rendue possible par l'inclusion d'un attribut dans la réponse SAML étiqueté rbacGroups qui contient les noms des groupes de plate-forme de commande Rapid7 pour chaque utilisateur. Les utilisateurs seront automatiquement affectés aux groupes correspondants dans la plate-forme de commande Rapid7 et hériteront de l'accès au produit, au rôle et aux ressources associés à ces groupes.

Note : Lorsque nous avons activé la synchronisation de groupe, les utilisateurs IdP sont supprimés de tous les groupes de plate-forme de commande Rapid7 non inclus dans leur assertion SAML. Les utilisateurs IdP conservent tous les rôles ou autorisations qui leur sont affectés directement, y compris ceux d'un profil d'accès par défaut.

Pour créer des groupes d'utilisateurs dans la plate-forme de commande Rapid7, naviguez jusqu'à Administration, Gestion des utilisateurs et cliquez sur Groupes d'utilisateurs.

Tâche 4 : Configurer les groupes d'utilisateurs

Comme la synchronisation de groupe nécessite l'utilisation de groupes d'utilisateurs de la plate-forme de commande Rapid7, il est important que vous ayez configuré des groupes avant l'activation.

  1. Ajoutez l'attribut de groupe. Dans le service IAM pour OCI, nous devons nous assurer que les utilisateurs sont affectés à des groupes portant le même nom que le groupe d'utilisateurs de la plate-forme de commande Rapid7 correspondant. Si vous n'avez pas déjà créé ces groupes, procédez comme suit :

    1. Dans la console des domaines d'identité OCI, naviguez jusqu'à Groupes.

    2. Cliquez sur Créer un groupe.

    3. Entrez le même nom que le groupe d'utilisateurs Rapid7 Command Platform correspondant.

    4. Dans la section Utilisateurs, sélectionnez les utilisateurs à affecter à ce groupe.

    5. Cliquez sur Créer.

    Une fois vos groupes configurés, vous devez ajouter un attribut à l'assertion SAML contenant les noms des groupes auxquels chaque utilisateur est affecté.

  2. Ajoutez l'attribut à votre assertion SAML dans les domaines d'identité IAM OCI.

    1. Dans la console des domaines d'identité OCI, naviguez jusqu'à Applications intégrées et sélectionnez votre application Rapid7.

    2. Cliquez sur Modifier la configuration d'authentification unique dans la section Paramètres SAML.

    3. Ajoutez l'énoncé d'attribut suivant et cliquez sur Enregistrer.

    Image 27

    Toutes les informations dont nous avons besoin de votre service IAM pour OCI pour synchroniser les utilisateurs avec les groupes d'utilisateurs de la plate-forme de commande Rapid7 sont maintenant incluses lorsque les utilisateurs s'authentifient à l'aide de l'authentification unique.

Tâche 5 : Tester l'authentification unique

  1. Allez à l'URL de données clés Rapid7 (https://insight.rapid7.com) et cliquez sur Connexion avec authentification unique.

    Image 24

  2. Entrez les données d'identification.

    Image 18

    Vous êtes maintenant connecté à la plate-forme de commande Rapid7.

    Image 25

    De plus, l'utilisateur est ajouté automatiquement aux groupes d'utilisateurs en fonction de l'appartenance au groupe dans le service IAM OCI.

Confirmation

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.