Il est possible de configurer l'application de sorte à utiliser votre fournisseur d'authentification. SystemLink Enterprise utilise le protocole OpenID Connect afin d'authentifier les utilisateurs depuis un fournisseur d'authentification externe.

Avant de commencer, enregistrez SystemLink Enterprise en tant que client auprès de votre fournisseur d'authentification. Reportez-vous à la documentation de votre fournisseur d'authentification pour en savoir plus sur le processus d'enregistrement. Utilisez le nom d'hôte de l'IU de l'application pour l'enregistrement.
Une fois l'enregistrement effectué, vous devez disposer d'une valeur client id et client secret pour votre application. Il se peut que vous disposiez également d'un ensemble de clés Web JSON (JWKS) selon votre fournisseur. Vous en aurez besoin, ainsi que de l'URL de votre fournisseur d'authentification, pour configurer SystemLink Enterprise.
  1. Ouvrez systemlink-values.yaml.
  2. Définissez webserver.oidc.issuer sur l'URL de votre fournisseur d’authentification. Utilisez l'URL suivante pour configurer la redirection de connexion de votre fournisseur. [protocole]://[nom d'hôte de l'IU]/oidc/callback
  3. Définissez les paramètres suivants sur les valeurs obtenues pendant l'enregistrement :
    • webserver.secrets.oidc.clientId
    • webserver.secrets.oidc.clientSecret
    • webserver.secrets.oidc.jwks
    Remarque Si vous n'utilisez pas Helm pour gérer les secrets, vous devez configurer manuellement le secret OpenID Connect.
  4. Facultatif : Configurez la valeur webserver.oidc.scope de sorte à sélectionner les portées OpenID Connect que SystemLink Enterprise demandera. Par défaut, SystemLink Enterprise demande les portées openid, email et profile. La portée openid est requise. Les portées du profil et des e-mails sont utilisées pour remplir les détails de l'utilisateur dans l'IU. D'autres portées peuvent être utiles lors de l'attribution de rôles utilisateur dans l'application. Consultez la documentation de votre fournisseur d’authentification pour connaître les portées disponibles.
    Remarque Incluez la portée offline_access pour permettre aux utilisateurs de consulter les revendications enregistrées à l'adresse https://<hôte-systemlink>/oidc/userinfo. Cela permet de vous assurer que la revendication que vous voulez utiliser lors de la configuration d'une représentation de revendication OIDC est bien disponible pour SystemLink.
  5. Vérifiez que le fournisseur d'authentification renvoie les demandes minimales suivantes avec le jeton d'identité de chaque utilisateur.
    • e-mail
    • given_name
    • family_name
  6. Facultatif : Configurez la valeur webserver.oidc.userIDClaim. Cette valeur est la revendication OpenID Connect utilisée par SystemLink Enterprise pour identifier un utilisateur. Par défaut, SystemLink Enterprise utilise l'adresse e-mail de l'utilisateur.
    Remarque Si vous modifiez cette valeur une fois que le produit est en cours d'utilisation, toutes les autorisations utilisateur seront perdues.
  7. Facultatif : Configurez, pour un utilisateur donné, la revendication OpenID Connect qu'utilisera SystemLink Enterprise en tant que nom d'utilisateur. Par défaut, il s'agit de la propriété name. Ce paramètre affecte uniquement l'affichage des utilisateurs dans l'IU.
  8. Facultatif : Le cluster peut nécessiter un serveur proxy pour accéder à votre fournisseur d'authentification OpenID Connect. Dans ce cas, définissez webserver.proxy.authority au nom d'hôte et au port du serveur proxy.
  9. Facultatif : Si le serveur proxy requiert des informations d'identification, supprimez les marques de commentaire pour webserver.proxy.secretname.
  10. Facultatif : Dans systemlink-secrets.yaml, configurez webserver.secrets.proxy.username et webserver.secrets.proxy.password, ou déployez ces secrets manuellement.