Go to the Centreon Community website

La solution Centreon ne fait pas exception en matière d’authentification, pour accéder à son environnement, les utilisateurs doivent fournir des identifiants. C’est ce qui va vous permettre d’assurer la sécurité et l'intégrité de votre système. 

Mais l'authentification peut aussi rapidement devenir un processus fastidieux. Il faut réussir à trouver le bon équilibre entre sécurité et simplicité. Dans le cas d’une solution de supervision informatique, il y a quelques éléments à prendre en compte, allant du choix des éléments requis de la part des utilisateurs pour y accéder, à la gestion des comptes d'utilisateurs, localement ou centralement, en passant par la gestion de ce que chaque utilisateur peut faire et voir exactement dans la plateforme. Cet article de blog passe en revue les principes de base de l'authentification et présente différentes options pour simplifier les accès tout en garantissant une connexion sécurisée. Vous y trouverez également des indications sur la meilleure façon d'intégrer votre solution de supervision informatique à une solution de fournisseur d'identité pour activer l'authentification unique (SSO).

L'authentification utilisateur : les bases

Vous gérez probablement déjà l'accès des utilisateurs à votre solution de supervision informatique. Comme pour tout autre logiciel, cela implique que les utilisateurs saisissent un nom d'utilisateur et un mot de passe valides. Mais les nouvelles exigences en matière de sécurité (et de simplicité !) impliquent que l'authentification des utilisateurs intègre désormais d'autres fonctionnalités, telles que la gestion des empreintes digitales ou tout autre type de reconnaissance biométrique. Ainsi, souvent, l'authentification nécessitera de coupler plusieurs informations d'identification. On parle alors d’authentification multifacteur ou MFA.

Ensuite, les droits d'accès correspondants doivent être appliqués pour l'utilisateur qui vient de s'authentifier. Cela nécessite que l'application associe la personne en question à un profil d'utilisateur. Cette partie du processus appelée autorisation permet d’appliquer les droits d'accès appropriés ou ACL (Access Control List) à un utilisateur donné. L'ACL définit les actions autorisées pour chaque utilisateur, les menus disponibles dans l'application, etc. 

Passons à l’étape suivante : comment appliquer cela à votre solution de supervision informatique et à ses divers scénarios d'utilisation ?

Choisir entre gestion locale ou centralisée des utilisateurs 

Dans un environnement de test, la définition locale de comptes d'utilisateurs a du sens, car il est plus facile de créer et de gérer des profils d'utilisateurs. Mais quand votre solution est en production, la pratique à privilégier est de centraliser ces profils dans un annuaire. Cela facilite grandement les modifications telles que l'ajout et la suppression d'utilisateurs au rythme des arrivées et des départs et la modification des droits des utilisateurs en fonction de l’évolution des besoins.

Centraliser des autorisations d'accès et utiliser la délégation d’identification 

A présent les environnements de travail sont riches en applications. Aussi, il est tout à fait logique de centraliser les autorisations d'accès aux applications, afin de simplifier le processus pour l'administrateur. Pour cela, on met en place un fournisseur d'identité (IdP). C’est une solution qui stocke les profils des utilisateurs et les différentes applications auxquelles ils peuvent avoir accès et  qui va agir  un peu comme un agent de sécurité dans un hall d'immeuble. Sauf qu’au lieu de laisser les utilisateurs accéder à des étages, il les laisse accéder aux applications en fonction de leurs autorisations d’accès. C’est ce que l’on appelle la délégation d'authentification. 

Parmi des exemples connus de IdP, citons les annuaires LDAP, tels que Microsoft Active Directory ou leurs homologues open source avec OpenLDAP ou LemonLDAP, etc. L’IdP se combine souvent avec l'authentification unique (SSO), que de nombreuses organisations ont également mis en place pour simplifier la vie des utilisateurs. Microsoft Azure AD ou Okta fournissent, entre autres, ce type d'authentification.

Gérer l’authentification unique (SSO) et son interaction avec les IdP

Le SSO permet aux utilisateurs de s'authentifier une seule fois et de naviguer d'une application à l'autre sans avoir à se ré-authentifier. Lorsqu'un utilisateur veut accéder à une nouvelle application, l'application contacte le fournisseur d'identité pour récupérer les paramètres de l'utilisateur (nom, prénom, adresse e-mail, etc.). L’utilisateur étant déjà authentifié, le fournisseur d'identité transmet l'identifiant à la prochaine application. Tout est transparent pour l'utilisateur qui n'a pas à saisir d'informations supplémentaires.

Aujourd'hui, deux protocoles majeurs sont utilisés pour réaliser la délégation d'identité et le SSO : SAMLv2 et OpenID Connect (OIDC). A partir de ces deux protocoles, des variantes ont été développées pour répondre à des besoins spécifiques. Un exemple bien connu de tous est le bouton "Se connecter avec Apple" ou "Se connecter avec Google" que vous voyez souvent lorsque vous souhaitez vous connecter à une application.

Intégrer votre plate-forme de supervision informatique Centreon aux fournisseurs IdP et SSO

Centreon supporte le protocole LDAP pour l'authentification et l'autorisation des utilisateurs. Centreon prend également en charge le SSO soit via le SSO basé sur le Web, soit via une intégration directe avec OIDC. 

Pour l'authentification unique basée sur le Web, l'authentification se fait entre le serveur Web (Apache) et le fournisseur d'identité. Dans ce cas, vous pouvez utiliser SAMLv2 ou OIDC avec les modules complémentaires Apache. Dans une configuration d'intégration directe dans Centreon, le protocole OIDC est utilisé pour les utilisateurs déjà enregistrés. Nous avons validé l'authentification avec Okta, Microsoft Azure ou encore Keycloak. Pour notre prochaine version, nous travaillons à l'intégration des autorisations via le protocole OIDC au sein de Centreon afin de simplifier encore la gestion des accès utilisateurs pour les administrateurs. Cela permettra d'importer automatiquement de nouveaux utilisateurs et d'appliquer des profils Centreon (ACL).

Octroyer des droits d'accès spécifiques à Centreon via IdP et SSO

En conclusion, il est important de rappeler que les IdP permettent d'ajouter des informations au profil de l'utilisateur avec l'application qui en fait la demande. Par exemple, vous pouvez créer des groupes auxquels vous pouvez abonner des utilisateurs. C'est grâce à de tels outils que l'application peut associer un profil d'utilisateur donné à ses droits d'accès, ce qui vous permet de modifier facilement les accès de chacun aux applications.

Des questions sur ce sujet ? Suivez-nous sur The Watch pour plus de discussions comme celle-ci ou contactez-nous avec votre question.

Pour en savoir plus, regardez cette courte vidéo avec Laurent Pinsivy, Product Manager.