OneLogin SCIM/SSO application configuration

Notre gestion automatisée des utilisateurs vous permet d'importer et de configurer vos utilisateurs et groupes New Relic depuis votre fournisseur d'identité via SCIM. Ce guide fournit des détails spécifiques à OneLogin sur la façon de configurer l'application SCIM/SSO New Relic Login.

Exigences

Avant d'utiliser ce guide, lisez les exigences de gestion automatisée des utilisateurs.

Notez que ces instructions nécessitent des allers-retours entre votre fournisseur d'identité et New Relic.

Étape 1. Créer un domaine d'authentification et activer SCIM

Pour savoir comment accéder à l'UI du domaine d'authentification de New Relic, voir UI du domaine d'authentification.

Si vous n'en avez pas déjà un, créez un nouveau domaine d'authentification pour votre utilisateur provisionné par SCIM en cliquant sur + Add new.

Pour ce domaine d’authentification, sous Source of users, sélectionnez SCIM. Copiez et enregistrez le jeton API pour une utilisation ultérieure. Veuillez noter que cela ne sera affiché qu'une seule fois.

Étape 2. Configurer l'application New Relic de OneLogin

Ensuite, vous allez configurer l’application SAML/SCIM OneLogin's New Relic. Pour configurer ceci :

1. Accédez au site Web OneLogin et connectez-vous avec un compte disposant d’autorisations d’administrateur.
2. Depuis la page d’accueil OneLogin , cliquez sur Administration.
3. Depuis la page d’administration OneLogin , choisissez le menu Applications.
4. Depuis la page d’application OneLogin , cliquez sur Add App.
5. Dans le champ de recherche de la page OneLogin Rechercher une application, saisissez « New Relic par organisation » (et non « New Relic par compte »), puis cliquez sur l'application lorsqu'elle apparaît dans les résultats de la recherche.
6. Depuis la page Add New Relic by Organization , cliquez sur Save.

Étape 3. Configurer l'application SCIM/SSO

La configuration de l'application New Relic SCIM/SSO est divisée en plusieurs formulaires. Cette section décrit les différents formulaires qui doivent être configurés.

Depuis la page application New Relic by organization, remplissez les formulaires suivants :

Remplissez le formulaire de configuration

Dans le volet de gauche, sélectionnez Configuration et complétez les éléments suivants :

1. Obtenez le authentication domain ID (en haut de l'UI du domaine d'authentification de New Relic et SCIM bearer token (dans l'UI du domaine d'authentification en tant que « point de terminaison SAML 2.0)) et saisissez-les dans les champs appropriés de OneLogin l'application .
2. Laissez le API Connection désactivé jusqu'à ce que toute la configuration décrite dans les sections suivantes soit terminée. Après avoir terminé toute la configuration, activez la connexion.

Remplissez le formulaire de règles

Configurez les groupes d'utilisateurs à envoyer à New Relic à l'aide de règles. OneLogin fournit cette documentation qui décrit comment utiliser des règles pour provisionner des groupes pour les utilisateurs.

Décidez quel type de groupes envoyer avec votre utilisateur à New Relic. Si votre organisation utilise Active Directory ou LDAP, vous pouvez choisir d'utiliser des groupes de sécurité pour définir vos autorisations d'utilisateur sur New Relic. Un autre choix de groupe raisonnable est le rôle OneLogin.

Côté New Relic , les groupes de vos utilisateurs définissent leurs permissions. Les groupes envoyés avec l'utilisateur seront mappés aux groupes New Relic.

Notez qu’à l’heure actuelle, il n’existe aucun moyen de supprimer un groupe du côté OneLogin. Il s'agit d'une limitation connue de OneLogin. La suppression ou la modification des règles ne supprime pas les groupes déjà envoyés à New Relic. Si vous ne souhaitez plus utiliser un groupe, supprimer tous les utilisateurs du groupe l'empêchera d'être utilisé sur New Relic.

Une règle qui n'utilise que des actions

Voici un exemple de configuration de règle qui n'utilise aucune condition. Les conditions sont laissées vides pour éviter d'appliquer une logique de filtrage à l'utilisateur. Tous les utilisateurs seront envoyés dans cet exemple. Si vous souhaitez envoyer uniquement un sous-ensemble d'utilisateurs, vous devez spécifier des conditions pour sélectionner le sous-ensemble.

Les actions décrivent où récupérer la valeur du nom du groupe et comment analyser la valeur. Dans cet exemple, nous récupérons le nom du groupe à partir du champ de rôle OneLogin.

Le champ de rôle OneLogin n'a qu'une seule valeur, mais parfois la source du nom du groupe contient d'autres champs en plus du nom du groupe. En d’autres termes, certaines sources vous donnent une liste de champs et de valeurs et un seul de ces champs a la valeur que vous souhaitez utiliser. Dans ce cas, vous pouvez insérer une expression régulière dans le champ with value that matches pour rechercher et extraire la valeur du nom du groupe.

Cet exemple utilise la valeur entière du champ For each pour le nom du groupe.

Remplissez le formulaire de provisionnement

Dans le volet de gauche, sélectionnez Provisioning et complétez les éléments suivants :

1. Vérifiez le provisionnement Enable.

2. Sous Require admin approval before this action is performed, décochez ces options :

   • Create user

   • Delete user

   • Update user

   Conseil

   Si vous ne décochez pas ces options, requests de provisionnement SCIM ne seront pas envoyées tant qu'un administrateur ne les aura pas approuvées.

3. Réglez When users are deleted in OneLogin, or the user's app access is removed, perform the below action sur Delete.

4. Réglez When user accounts are suspended in OneLogin, perform the following action sur Suspend.

Remplissez le formulaire de paramétrage

Dans le volet de gauche, sélectionnez Parameters et complétez les éléments suivants :

1. Cliquez sur le champ Groups.

   

2. Vérifiez Include in User Provisioning.

   

3. Cliquez sur Save.

Enregistrez vos modifications

Après avoir rempli les formulaires ci-dessus, cliquez sur Save. Ensuite, revenez au formulaire Configuration et activez la connexion API.

Étape 4. Affecter un utilisateur

Une fois New Relic SCIM/SSO application configuration terminée et New Relic côté configuration terminée, vous pouvez commencer à assigner des utilisateurs à l'application.

Affecter l'application New Relic SCIM/SSO à un utilisateur :

1. Accédez au site Web OneLogin et connectez-vous avec un compte disposant d’autorisations d’administrateur.
2. Depuis la page d’accueil de OneLogin, cliquez sur Administration.
3. Depuis la page d’administration OneLogin , choisissez l’élément de menu utilisateur Users.
4. Depuis la page utilisateur OneLogin , cliquez sur l’utilisateur auquel vous souhaitez attribuer l’ application .
5. Depuis la page de l'utilisateur, cliquez sur Applications.
6. Depuis la page de l'utilisateur,application cliquez sur le signe plus et sélectionnez New Relic l'application « par organisation ».
7. Important : la mise à jour des fuseaux horaires de l'utilisateur est importante car de nombreuses fonctionnalités New Relic utilisent ce paramètre. Le format par défaut est UMT. À partir de la page Edit New Relic by Organization login for user , entrez le fuseau horaire de l'utilisateur au format de base de données de fuseaux horaires IANA (également connu sous le nom de format de base de données de fuseaux horaires Olson) et cliquez sur Save. Votre utilisateur a également la possibilité de définir son propre fuseau horaire.
8. Si vous utilisez Roles pour définir vos groupes New Relic, à partir de la page d'application de l'utilisateur, cliquez sur le(s) rôle(s) approprié(s) pour l'utilisateur, puis cliquez sur Save User.

Étape 5. Définissez le type d'utilisateur de votre utilisateur

Lorsque vos utilisateurs sont provisionnés dans New Relic, vous pouvez les voir dans l'UIUser management .

Si vous ajoutez un utilisateur à New Relic via SCIM mais que vous ne gérez pas son type d'utilisateur via SCIM, ils commencent comme utilisateur de base. Pour mettre à niveau utilisateur, vous avez deux options :

• Utilisez l’ UI de gestion des utilisateurs pour modifier l’utilisateur.
• Configurez l'application OneLogin pour gérer le type d'utilisateur.

Étape 6. Attribuer l'accès au groupe

Une fois ces étapes terminées, vous devriez pouvoir voir votre utilisateur dans New Relic en allant dans l'UI de gestion des utilisateurs. Maintenant que vos utilisateurs sont présents dans New Relic, vous devez leur accorder l'accès à des rôles spécifiques sur des comptes spécifiques. Si cela n'est pas fait, votre utilisateur n'a pas encore accès à New Relic. Pour savoir comment procéder, consultez :

• Comment fonctionne l'accès utilisateur
• Le tutoriel de gestion des utilisateurs

Étape 7. Configurer SAML SSO

Pour activer SAML SSO pour votre utilisateur, consultez les instructions SAML.