FME Flow:2025.1

Configuration SAML

SélectionnerGestion des utilisateurs >Services d'authentification. Sur la page Services d’authentification, sélectionnez l’optionConfiguration SAML languette.

Lorsque cette option est activée, vous pouvez intégrer les utilisateurs de l'identité SAML (Security Assertion Markup Language) de votre organisation.fournisseurpour l'authentification avecFME Flow.

NoteAuthentification avecFME Flow via SAML n'est pas pris en charge dans les cas suivantsFME Form transformateurs : FMEFlowJobSubmitter, FMEFlowNotifier, FMEFlowResourceConnector, FMEFlowJobWaiter, FMEFlowLogFileRetriever.

Comment ça marche

With SAML configuration, users who are logged in to their SAML identity provider can log in automatically to FME Flow. An alternative configuration redirects the log in attempt to the identity provider for authentication. Une fois authentifié, le fournisseur d'identité renvoie une assertion SAML àFME Flow.

When an identity provider user first logs in to FME Flow after SAML configuration is complete, FME Flow requests attributes in the form of a SAML assertion from the identity provider to create a new user account. Cette création de compte juste à temps garantit que seuls les utilisateurs qui ont besoin d'accéder àFME Flow avoir des comptes. L'importation manuelle d'utilisateurs et de groupes à partir d'un fournisseur d'identité SAML n'est actuellement pas prise en charge.

L'assertion SAML inclut des attributs de fournisseur d'identité qui correspondent aux attributs correspondants.Utilisateur attributs dansFME Flow, tels que le nom d'utilisateur et l'e-mail. Si ces attributs ne sont pas spécifiés explicitement dans la configuration, des valeurs par défaut sont attribuées. Par exemple, si le fournisseur d’identité est Azure Active Directory, le nom d’utilisateur est mappé au nom Azure AD.

LeFME FlowRôle auquel un utilisateur est affecté peut également être mappé à un attribut correspondant sur le fournisseur d'identité. Si un mappage n'est pas défini ou ne peut pas être déterminé, un rôle par défaut est attribué comme spécifié explicitement dans la configuration. Les valeurs du rôle mappé sur le fournisseur d'identité doivent correspondre aux rôles existants dansFME Flow.

Dépannage des échecs de connexion avec les informations d'identification du fournisseur d'identité SAML

Commencer

Pour s'authentifier surFME Flow avec un fournisseur d'identité SAML, vous devez configurer les paramètres à deux endroits :

  • Sur votre fournisseur d’identité SAML.
  • SurFME Flow.
NoteSi votreFME Flow l'architecture comprend un proxy inverse ou un équilibreur de charge, une configuration supplémentaire est requise :
  • Ajoutez le nom d'hôte complet de votre proxy inverse aufmeserver.saml.custom.baseurl= ligne dans le fichier application.properties SAML. Si votreFME Flow utilise un serveur d'application Web Apache Tomcat fourni avec l'installation, ce fichier se trouve dans <FMEFlowDir>\Utilitaires\tomcat\webapps\fmesaml\WEB-INF\classes\. Une fois terminé,RedémarrageFME Flow.

Configurez les paramètres suivants sur votre fournisseur d’identité SAML. Une fois terminé, passez àFME FlowParamètres (ci-dessous).

NoteLes noms des paramètres varient selon le fournisseur. Pour plus d'informations sur la configuration des paramètres sur des fournisseurs spécifiques, consultezceFME Community article.
  • Provisionnement juste à temps (adhésion automatique): Assurez-vous que ce paramètre est activé.
  • ID d'entité (URI d'audience): Réglé sur<FMEFlowWebURL>/fmesaml/saml2/service-provider-metadata/fmeserver

    • <FMEFlowWebURL> est le nom d'hôte complet de votreFME Flow, y compris le nom d'hôte et le domaine (par exemple,https://fmeflow.domain.com).

  • URL d'authentification unique (URL de rappel d'application, URL du service client d'assertion): Réglé sur<FMEFlowWebURL>/fmesaml/login/saml2/sso/fmeserver

    • <FMEFlowWebURL> est le nom d'hôte complet de votreFME Flow, y compris le nom d'hôte et le domaine (par exemple,https://fmeflow.domain.com).

Sur la page Services d’authentification, sélectionnez l’optionConfiguration SAML onglet, déplacez leActivéFaites glisser le curseur vers la droite et fournissez les métadonnées et autres paramètres nécessaires, comme suit.

  • Télécharger le fichier de métadonnées: Si coché, vous permet de télécharger votre fichier de métadonnées de fournisseur SAML dans leFichier de métadonnées du fournisseur d'identité champ. Vous pouvez faire glisser et déposer le fichier applicable dans la zone désignée. Vous pouvez également cliquer à l’intérieur de la zone désignée pour rechercher le fichier.
    • ConseilCe fichier a généralement une extension .xml.

    Si cette case n'est pas cochée, vous devez saisir manuellement les champs suivants :

    • URL SSO du fournisseur d'identité
    • Fournisseur d'identité Émetteur
    • Certificat X.509 du fournisseur d'identité
  • Rôle par défaut du nouvel utilisateur: SiRôlen'est pas spécifié dans les mappages de champs d'attributs (ci-dessous) ou ne peut pas être déterminé, leFME Flowrôle à attribuer à de nouveaux utilisateurs. Ce rôle doit déjà exister dansFME Flow.
    • AvertissementSifmesuperuserest spécifié, toutes les autorisations sont accordées dansFME Flow aux nouveaux utilisateurs.

    Mappages de champs d'attributs (facultatif):FME Flow les attributs utilisateur sont attribués aux nouveaux utilisateurs selon un mappage spécifié. Si non spécifié, un mappage par défaut est configuré. Par exemple, si le fournisseur d’identité est Azure Active Directory, le nom d’utilisateur correspond au nom Azure AD.

    Saisissez les noms d'attributs de votre fournisseur d'identité pour les mapper aux éléments suivantsFME Flow attributs utilisateur :

    ConseilPour obtenir des informations et des exemples sur la configuration des attributs sur votre fournisseur d'identité SAML et le mappage versFME Flow:
    • Prénom: Cet attribut est concaténé avecNom de famille pour cartographier leNom et prénom d'unFME Flow compte utilisateur.
    • Nom de famille: Cet attribut est concaténé avecPrénom pour cartographier le Nom et prénom d'unFME Flow compte utilisateur.
    • Nom d'utilisateur: L'attribut à mapper à l'utilisateurNomd'unFME Flow compte.
    • E-mail: L'attribut à mapper vers leE-maild'unFME Flow compte utilisateur.
    • Rôle: L'attribut à mapper vers lerôle d'unFME Flow compte utilisateur. Si votre fournisseur d'identité est configuré avec des attributs « uniques » ou « personnalisés » référencés dans le nom distinctif (DN) d'une chaîne LDAP valide, vous devez spécifier ces attributs. Ce champ remplace toute valeur spécifiée pourRôle par défaut du nouvel utilisateur, au-dessus de. Les valeurs des éléments spécifiésRôlesur le fournisseur d'identité doit correspondre aux rôles existants dansFME Flow.
  • Demandes de signature (facultatif) : Si cette case est cochée, complétez les éléments suivants pour garantir que les demandes entreFME Flow et le fournisseur d'identité sont signés :
    Note Cette configuration peut ne pas être prise en charge par votre fournisseur d’identité SAML.
    1. Fournir unCertificat de fournisseur de services et Clé du fournisseur de services. Vous pouvez créer un certificat et une clé avec une application tierce telle qu'OpenSSL, ou demander à votre service informatique de les générer. Le format du certificat doit être codé DER ou PEM X.509. Le format de clé doit être codé en PEM PKCS#8.

    2. Téléchargez ou référencez le certificat dans votre fournisseur d’identité SAML.

Paramètres avancés (facultatif) : les paramètres suivants nécessitent la modification du fichier texte application.properties. Si votreFME Flow utilise un serveur d'application Web Apache Tomcat fourni avec l'installation, ce fichier se trouve dans <FMEFlowDir>\Utilitaires\tomcat\webapps\fmesaml\WEB-INF\classes\. Une fois terminé,RedémarrageleFMEFlowAppServer service système.

  • fmeserver.saml.authentication.force: If true, forces user credential prompting when SAML login is initiated. If false (default), depending on the browser-cached state of SAML login, allows the user to log in automatically.
  • fmeserver.saml.clockskew.enable: SiFAUX (par défaut), permet la connexion en cas d'échec d'une assertion de date/heure. L'assertion SAML peut échouer lorsque le fournisseur d'identité et le fournisseur de services ont des horloges système qui ne sont pas synchronisées. Sivrai,FME Flow La configuration SAML respecte lefmeserver.saml.clockskew.minutes réglage (ci-dessous).
  • fmeserver.saml.clockskew.minutes: Sifmeserver.saml.clockskew.enable=true, spécifie le décalage d'horloge autorisé en minutes.

Affichage des journaux SAML

Les fichiers journaux fmesaml.log et restV4.log se trouvent dansJournaux de services.

Enregistrements fmesaml.log :

  • Lorsqu'un compte utilisateur est créé lors de la connexion initiale àFME Flow à traversConnectez-vous avec SAML.
  • Connexions ultérieures àFME Flow à traversConnectez-vous avec SAML.

restV4.log enregistre tous les problèmes rencontrés lors de la configuration SAML.

Pour plus d'informations, voir À propos des fichiers journaux dansFME Flow .