Domaine d'authentification : Comment vos utilisateurs log et sont gérés

Pour gérer leurs utilisateurs, les organisations New Relic peuvent configurer un ou plusieurs domaines d'authentification, qui contrôlent la manière dont les utilisateurs sont ajoutés à un compte New Relic , comment ils sont authentifiés, etc.

Domaine d'authentification expliqué

Un authentication domain est un regroupement d'utilisateurs New Relic régis par les mêmes paramètres de gestion d'utilisateurs, comme la façon dont ils sont provisionnés (ajoutés et mis à jour) et la façon dont ils sont authentifiés (connexion).

Lorsque vous créez une organisation New Relic, les paramètres d'authentification par défaut sont :

• Source de l'utilisateur : vos utilisateurs sont ajoutés à New Relic en utilisant uniquement nos outils de gestion d'utilisateurs (pas d'outils tiers)
• Authentification : l'utilisateur log à l'aide de son email et de son mot de passe

Ces paramètres par défaut seraient sous un seul domaine d’authentification. Si vous avez ajouté un autre domaine d’authentification, vous pouvez le configurer comme ceci :

• Source de l'utilisateur : les utilisateurs sont ajoutés et gérés à partir d'un fournisseur d'identité tiers via le provisionnement SCIM
• Authentification : les utilisateurs se connectent à l'aide de l'authentification unique SAML (SSO) d'un fournisseur d'identité

Lorsque vous ajoutez un utilisateur à New Relic, il est toujours ajouté à un domaine d'authentification spécifique. En règle générale, les organisations disposent d'un ou deux domaines d'authentification : un avec les méthodes manuelles et un pour les méthodes associées à un fournisseur d'identité. Apprenez-en plus dans cette courte vidéo (4:26 minutes) :

Exigences

Pour gérer le domaine d’authentification :

• Votre organisation doit être soit Pro soit édition Enterprise pour avoir un domaine d'authentification modifiable.

• Pour visualiser ou modifier le domaine d'authentification, un utilisateur doit :

  • Avoir un type d'utilisateur d'utilisateur principal ou d'utilisateur de plateforme complète.
  • Soyez dans un groupe avec le paramètre d'administrationAuthentication domain .

• Le provisionnement SCIM, également connu sous le nom de gestion automatisée des utilisateurs, nécessite Pro ou l'édition Enterprise. En savoir plus sur les exigences.

• SAML SSO nécessite une édition payante. Notre support SAML SSO comprend :

  • Active Directory Federation Services (ADFS)

  • Auth0

  • Azure AD (Microsoft Azure Active Directory)

  • Google

  • Okta

  • OneLogin

  • Ping Identity

  • Salesforce

  • Prise en charge générique pour les systèmes SSO utilisant SAML 2.0

Créer et configurer un domaine d'authentification

Si vous remplissez les conditions, vous pouvez ajouter et gérer un domaine d'authentification.

Pour visualiser et configurer le domaine d'authentification : depuis le menu utilisateur, allez à Administration > Authentication domains.

Si vous avez un domaine existant, ils seront dans le tableau. Notez que la plupart des organisations auront, au maximum, deux ou trois domaines : un avec les paramètres manuels par défaut et un ou deux pour les paramètres associés au fournisseur d'identité.

Pour créer un nouveau domaine à partir de la page UI du domaine d’authentification, cliquez sur Create authentication domain. Pour gérer ou supprimer un domaine d’authentification, sélectionnez l’élément de menu pour chaque domaine d’authentification.

Passer à un autre domaine

Si vous avez des enregistrements d'utilisateur dans plusieurs domaines d'authentification, vous pouvez basculer entre les domaines.

Source de l'utilisateur : comment vos utilisateurs sont ajoutés et gérés

Depuis l' UI du domaine d'authentification, vous pouvez définir l'une des deux options pour la source de votre utilisateur :

• Manual (par défaut) : cela signifie que vos utilisateurs sont ajoutés manuellement à New Relic à partir de l'UIUser management .
• SCIM: Notre fonctionnalité de gestion automatisée des utilisateurs vous permet d'utiliser le provisionnement SCIM pour importer et gérer les utilisateurs de votre fournisseur d'identité.

Remarques sur ces paramètres :

• Vous ne pouvez pas basculer Source of users. Cela signifie que si vous souhaitez modifier cela pour un domaine d'authentification déjà configuré, vous devrez en créer un nouveau.
• Lorsque vous activez SCIM pour la première fois, le jeton du porteur est généré et affiché une seule fois. Si vous devez visualiser un jeton porteur ultérieurement, la seule façon de le faire est d'en générer un nouveau, ce qui invalidera l'ancien et toute intégration utilisant l'ancien jeton.

Pour savoir comment configurer SCIM, voir Gestion automatisée des utilisateurs.

Méthode de gestion du type d'utilisateur

Dans le Authentication Domain UI, si vous avez sélectionné SCIM comme méthode de provisionnement de l'utilisateur, vous avez deux options pour la gestion du type d'utilisateur de votre utilisateur :

• Manage user type in New Relic:Il s'agit de l'option par défaut. Il vous permet de gérer le type d'utilisateur de votre utilisateur depuis New Relic.
• Manage user type with SCIM: L'activation de cette option signifie que vous ne pouvez plus gérer le type d'utilisateur depuis New Relic. Vous ne pourrez le modifier et le gérer qu'à partir de votre fournisseur d'identité.

En savoir plus sur ces deux options :

Authentification : comment votre utilisateur log

La méthode d'authentification est la manière dont l'utilisateur New Relic log à New Relic. Tous les utilisateurs d'un domaine d'authentification ont une seule méthode d'authentification. Il existe deux options d'authentification :

• Nom d'utilisateur/mot de passe (par défaut) : Votre identifiant d'utilisateur log via email et mot de passe.
• SAML SSO: Votre utilisateur log connecte via SAML single sign-on (SSO) en utilisant votre fournisseur d'identité. Pour savoir comment configurer cela, continuez à lire.

Configurer l'authentification SSO SAML

Avant d'activer SAML SSO à l'aide des instructions ci-dessous, voici quelques éléments à comprendre et à prendre en compte :

• Pensez à lire une introduction à New Relic SSO et SCIM.
• Pensez à revoir les exigences SSO SAML.
• Pensez à regarder une vidéo expliquant comment configurer SAML SSO.
• Notez que votre utilisateur compatible SSOne recevra pas de notification de vérification par e-mail de New Relic car les informations de connexion et de mot de passe sont gérées par votre fournisseur d'identité.
• Consultez la documentation de votre fournisseur d'identité, car elle peut contenir des instructions spécifiques à New Relic.

1. Si vous configurez le provisionnement SCIM :

   • Si vous utilisez Azure, Okta ou OneLogin, suivez d’abord ces procédures : Azure | OneLogin | Okta.
   • Si vous utilisez un autre fournisseur d’identité, suivez les procédures SAML ci-dessous et utilisez notre API SCIM pour activer SCIM.

2. Si only souhaitez activer SAML SSO et non SCIM, et si vous utilisez Azure, Okta ou OneLogin, suivez ces instructions pour configurer l'application concernée :

   Application Azure

   Azure AD fournit une galerie application , qui comprend diverses intégrations pour Azure AD, y compris celles proposées par New Relic . Ajoutez l’ New Relic SCIM/SSO application à votre liste d’applications.

   1. Accédez au centre d’administration Azure Active Directory et connectez-vous si nécessaire. aad.portal.azure.com/
   2. Cliquez sur All services dans le menu de gauche.
   3. Dans le volet principal, cliquez sur Enterprise applications.
   4. Cliquez sur +New application.
   5. Retrouvez notre SCIM/SSO application en saisissant New Relic dans le nom champ de recherche, et cliquez sur l'application New Relic by organization (et New Relic by account non).
   6. Cliquez sur Add.

   Application Okta

   Ajoutez l’ New Relic SCIM/SSO application à votre application Okta.

   1. Accédez à okta.com/ et connectez-vous avec un compte disposant des autorisations d’administrateur.
   2. Depuis la page d’accueil d’Okta, cliquez sur Admin.
   3. Depuis l'administrateur Okta Dashboard, choisissez la page Applications .
   4. Cliquez sur Browse app catalog, puis recherchez et sélectionnez « New Relic par organisation ».
   5. Depuis la page New Relic par organisation, cliquez sur Add.
   6. Depuis la page Ajouter New Relic par organisation, cochez les deux cases Application visibility "Do not display..." et cliquez sur Done. Nous rendrons l'application visible plus tard, une fois la configuration terminée et le provisionnement commencé.
   7. Ouvrez l’application nouvellement créée dans Okta et accédez à l’onglet Assignments . C'est ici que vous pouvez ajouter des utilisateurs et des groupes pour l'authentification.
   8. De là, accédez à l’onglet Sign On . Sous Advanced Sign-on Settings, vous verrez Authentication Domain ID, dont vous aurez besoin pour modifier ce champ à l'étape 9 des instructions générales ci-dessous. À droite, cliquez sur View SAML setup instructions. Sous Step 7 de ces instructions, vous pouvez trouver les URL requises pour les étapes 6 et 7 dans les instructions générales ci-dessous.

   Application OneLogin

   Ajoutez l’ New Relic SCIM/SSO application à votre OneLogin application .

   1. Accédez au site Web OneLogin et connectez-vous avec un compte disposant d’autorisations d’administrateur.
   2. Depuis la page d’accueil de OneLogin, cliquez sur Administration.
   3. Depuis la page d’administration OneLogin, choisissez le menu Applications .
   4. Depuis la page de l’application OneLogin , cliquez sur Add app.
   5. Dans le champ de recherche de la page de recherche d'application OneLogin , saisissez « New Relic par organisation » (et non « New Relic par compte »), puis cliquez sur l'application lorsqu'elle apparaît dans les résultats de la recherche.
   6. Depuis la page Add New Relic by organization , cliquez sur Save.
   • Si vous implémentez SAML à l’aide d’un autre fournisseur d’identité non mentionné ci-dessus, vous devrez tenter de l’intégrer à l’aide des instructions SAML ci-dessous. Notez que votre fournisseur d’identité doit utiliser le protocole SAML 2.0 et doit exiger des assertions SAML signées.

3. Ensuite, vous accéderez à notre UI de domaine d’authentification. Dans le menu utilisateur, cliquez sur Administration, puis sur Authentication domains. Si vous n'en avez pas déjà un, créez un nouveau domaine à utiliser pour votre utilisateur d'authentification SAML.

4. Sous Authentication, cliquez sur Configure. Sous Method of authenticating users, sélectionnez SAML SSO.

5. Si vous utilisez l’application Okta, OneLogin ou Azure AD, vous pouvez ignorer cette étape. Sous Provided by New Relic, nous avons quelques informations spécifiques à New Relic. Vous devrez les placer dans les champs appropriés de votre service de fournisseur d'identité. Si vous n'êtes pas sûr de leur destination, consultez la documentation de votre fournisseur d'identité.

6. Sous Provided by you, saisissez le Source of SAML metadata. Cette URL est fournie par votre fournisseur d’identité et peut être appelée autrement. Il doit être conforme aux normes de métadonnées SAML V2.0. Si votre fournisseur d'identité doesn't prend en charge la configuration dynamique, vous pouvez le faire en utilisant Upload a certificate. Il doit s'agir d'un certificat x509 codé PEM.

7. Sous Provided by you, définissez le SSO target URL fourni par votre fournisseur d’identité. Vous pouvez le trouver en allant dans Source of SAML metadata et en trouvant l'URL de liaison POST. Cela ressemble à : https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml.

8. Si votre fournisseur d'identité dispose d'une URL de redirection pour la déconnexion, saisissez-la dans le champ Logout redirect URL; sinon, laissez-la vide.

9. Si vous utilisez une application de fournisseur d’identité, vous devrez saisir l’ID de domaine d’authentification dans l’application. Cet identifiant se trouve en haut de la page UI du domaine d'authentification de New Relic.

10. Facultatif : dans l'UI du domaine d'authentification de New Relic, vous pouvez ajuster d'autres paramètres, comme la durée de la session du navigateur et la méthode de mise à niveau de l'utilisateur. Vous pouvez ajuster ces paramètres à tout moment.

11. Si vous activez uniquement SAML, vous devrez créer des groupes. (Si vous avez activé SCIM, vous avez déjà terminé cette étape.) Les groupes sont ce qui donne à votre utilisateur l'accès aux comptes New Relic . Sans être affectés à des groupes, vos utilisateurs sont provisionnés dans New Relic mais n'ont pas accès aux comptes ou aux rôles. Pour apprendre à faire cela :

• Découvrez comment fonctionne l'accès au groupe d'utilisateurs
• Lire le tutoriel de gestion utilisateur.

12. Okta uniquement : revenez à l'application New Relic d'Okta et, à partir de la page Add New Relic by organization , décochez les deux cases Application visibility "Do not display..." et cliquez sur Done.

Pour vérifier que la configuration a été correctement effectuée, vérifiez si votre utilisateur peut log connecter à New Relic via votre fournisseur d'identité et assurez-vous qu'il a accès à ses comptes.

Autres paramètres liés à l'utilisateur

Pour gérer les paramètres liés à la session et savoir si l’utilisateur peut effectuer lui-même la mise à niveau ou non :

1. Depuis l’ UIUser management , sélectionnez un domaine d’authentification à partir du commutateur.
2. Cliquez sur l'icône d'engrenage .
3. Modifiez les paramètres, qui sont décrits plus en détail ci-dessous.

Paramètres liés à la session

Les paramètres liés à la session incluent :

• Durée pendant laquelle l'utilisateur peut rester connecté
• Durée d'inactivité avant l'expiration de la session d'un utilisateur (en savoir plus sur les limites de session)

Paramètres de mise à niveau de l'utilisateur

Les paramètres liés à la manière dont l'utilisateur est mis à niveau vers un type d'utilisateur supérieur incluent :

• Automatic approval:Cela permet à l'utilisateur de pouvoir immédiatement passer à un type d'utilisateur supérieur par lui-même, sans approbation. Cela permet à ces utilisateurs de pouvoir répondre plus rapidement aux problèmes.
• Require review:Avec cette option, l'administrateur de l'utilisateur avec le paramètre d'administrationAuthentication domain reçoit un e-mail lorsqu'un utilisateur requests une mise à niveau et peut approuver ou refuser ces requests dans l'UIUser management .
  • Un utilisateur est limité à 6 requests de mise à niveau sur une fenêtre glissante de 24 heures. Par exemple, si vous effectuez vos 6 requests de mise à niveau entre 8h et 10h, vous devrez attendre jusqu'à 8h le lendemain avant d'effectuer une autre demande de mise à niveau.