PDF

Voir la table des matières

Exigences relatives aux produits

Systèmes Reveal(x) Enterprise et ExtraHop Performance

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

Configurer l'authentification unique SAML avec Google

Vous pouvez configurer votre système ExtraHop pour permettre aux utilisateurs de se connecter au système via le service de gestion des identités de Google.

Before you begin

Vous devez être familiarisé avec l'administration de Google Admin.
Vous devez être familiarisé avec l'administration des systèmes ExtraHop.

Ces procédures nécessitent de copier et de coller des informations entre le système ExtraHop et la console Google Admin, il est donc utile d'avoir les deux systèmes ouverts côte à côte.

Activer SAML sur le système ExtraHop

Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
Dans la section Paramètres d'accès, cliquez sur Authentification à distance.
Dans la liste déroulante Méthode d'authentification à distance, sélectionnez SAML.
Cliquez sur Continuer.
Cliquez sur View SP Metadata (Afficher les métadonnées SP).
Copiez l'URL ACS et l'ID de l'entité dans un fichier texte. Vous collerez ces informations dans la configuration Google lors d'une procédure ultérieure.

Ajouter des attributs personnalisés à l'utilisateur

Connectez-vous à la console d'administration de Google.
Cliquez sur Utilisateurs.
Cliquez sur l'icône Gérer les attributs personnalisés .
Cliquez sur Ajouter un attribut personnalisé.
Dans le champ Catégorie, tapez ExtraHop.
Facultatif : Saisissez une description dans le champ Description.
Dans la section Champs personnalisés, entrez les informations suivantes.
1. Dans le champ Nom, tapez writelevel.
2. Dans la liste déroulante Info Type, sélectionnez Text.
3. Dans la liste déroulante Visibilité, sélectionnez Visible pour le domaine.
4. Dans la liste déroulante Nombre de valeurs, sélectionnez Valeur unique.
Activer l'accès au module NDR
1. Dans le champ Nom, tapez ndrlevel.
2. Dans la liste déroulante Type d'information, sélectionnez Texte.
3. Dans la liste déroulante Visibilité, sélectionnez Visible pour le domaine.
4. Dans la liste déroulante No. of values, sélectionnez Single Value.
Activer l'accès au module NPM
1. Dans le champ Nom, tapez npmlevel.
2. Dans la liste déroulante Info Type, sélectionnez Text.
3. Dans la liste déroulante Visibilité, sélectionnez Visible pour le domaine.
4. Dans la liste déroulante Nombre de valeurs, sélectionnez Valeur unique.
Facultatif : Si vous avez connecté des magasins de paquets, activez l'accès aux paquets en configurant un champ personnalisé avec les informations suivantes.
1. Dans le champ Nom, tapez packetslevel.
2. Dans la liste déroulante Type d'information, sélectionnez Texte.
3. Dans la liste déroulante Visibilité, sélectionnez Visible pour le domaine.
4. Dans la liste déroulante Nombre de valeurs, sélectionnez Valeur unique.
Cliquez sur Ajouter.

Ajouter les informations du fournisseur d'identité de Google au système ExtraHop

Dans la console d'administration Google, cliquez sur l'icône du menu principal et sélectionnez Applications > Applications SAML.
Cliquez sur l'icône Activer le SSO pour une application SAML .
Cliquez sur SETUP MY OWN CUSTOM APP.
Sur l'écran Google IdP Information, cliquez sur le bouton Download pour télécharger le certificat(GoogleIDPCertificate.pem).
Retournez aux paramètres d'administration du système ExtraHop.
Cliquez sur Ajouter un fournisseur d'identité.
Saisissez un nom unique dans le champ Nom du fournisseur. Ce nom apparaît sur la page de connexion du système ExtraHop.
Dans l'écran Google IdP Information, copiez l'URL SSO et collez-la dans le champ SSO URL de l'appareil ExtraHop.
Dans l'écran Google IdP Information, copiez l'Entity ID et collez-le dans le champ Entity ID du système ExtraHop.
Ouvrez le certificat GoogleIDPC dans un éditeur de texte, copiez-en le contenu et collez-le dans le champ Certificat public du système ExtraHop.
Choisissez l'une des options suivantes pour provisionner les utilisateurs.
- Sélectionnez Auto-provision users pour créer un nouveau compte utilisateur SAML distant sur le système ExtraHop lorsque l'utilisateur se connecte pour la première fois.
- Décochez la case Approvisionnement automatique des utilisateurs et configurez manuellement de nouveaux utilisateurs distants via les paramètres d'administration d'ExtraHop ou l'API REST. Les niveaux d'accès et de privilèges sont déterminés par la configuration de l'utilisateur dans Google.
L'option Activer ce fournisseur d'identité est sélectionnée par défaut et permet aux utilisateurs de se connecter au système ExtraHop. Pour empêcher les utilisateurs de se connecter, décochez la case.

Configurez les attributs des privilèges des utilisateurs. Vous devez configurer l'ensemble des attributs utilisateur suivants avant que les utilisateurs puissent se connecter au système ExtraHop par l'intermédiaire d'un fournisseur d'identité. Les valeurs sont définies par l'utilisateur, mais elles doivent correspondre aux noms d'attributs inclus dans la réponse SAML de votre fournisseur d'identité. Les valeurs ne sont pas sensibles à la casse et peuvent inclure des espaces. Pour plus d'informations sur les niveaux de privilèges, voir Utilisateurs et groupes d'utilisateurs.

Important :

Vous devez spécifier le nom de l'attribut et configurer au moins une valeur d'attribut autre que Pas d'accès pour permettre aux utilisateurs de se connecter.

Dans l'exemple ci-dessous, le champ Nom de l'attrib ut est l'attribut de l'application et la Valeur de l'attribut est le nom du champ utilisateur configuré lors de la création de l'application ExtraHop sur le fournisseur d'identité.

Nom du champ	Exemple de valeur d'attribut
Nom de l'attribut	`urn:extrahop:saml:2.0:writelevel`
Administration du système et des accès	`illimité`
Privilèges d'écriture complets	`full_write`
Privilèges d'écriture limités	`limited_write`
Privilèges d'écriture personnels	`personal_write`
Privilèges de lecture seule complète	`lecture_complète`
Privilèges restreints en lecture seule	`lecture_restreinte`
Pas d'accès	`aucun`

Configure l'accès au module NDR.

Champ	Exemple Valeur de l'attribut
Nom de l'attribut	`urn:extrahop:saml:2.0:ndrlevel`
Accès complet	`complet`
Pas d'accès	`aucun`

Configure l'accès au module NPM.

Champ	Exemple Valeur de l'attribut
Nom de l'attribut	`urn:extrahop:saml:2.0:npmlevel`
Accès complet	`complet`
Aucun accès	`aucun`

Facultatif : Configurer les paquets et l'accès aux clés de session. La configuration des paquets et des attributs de clé de session est facultative et n'est requise que lorsque vous disposez d'un packetstore connecté.

Nom du champ	Exemple de valeur d'attribut
Nom de l'attribut	`urn:extrahop:saml:2.0:packetslevel`
Paquets et clés de session	`full_with_keys`
Paquets uniquement	`complet`
Paquets tranches seulement	`tranches`
Pas d'accès	`aucun`

Cliquez sur Save.
Sauvegarder la configuration en cours d'exécution.

Ajouter les informations du fournisseur de services ExtraHop à Google

Retournez à la console d'administration Google et cliquez sur Suivant sur la page Informations Google Idp pour passer à l'étape 3 de 5.
Saisissez un nom unique dans le champ Nom de l'application pour identifier le système ExtraHop. Chaque système ExtraHop pour lequel vous créez une application SAML doit avoir un nom unique.
Facultatif : Saisissez une description pour cette application ou téléchargez un logo personnalisé.
Cliquez sur Suivant.

Copiez l'URL de l'Assertion Consumer Service (ACS ) du système ExtraHop et collez-la dans le champ ACS URL de Google Admin.

Remarque :

Vous devrez peut-être modifier manuellement l'URL ACS si elle contient un nom d'hôte inaccessible, tel que le nom d'hôte par défaut du système extrahop. Nous vous recommandons de spécifier le nom de domaine complet du système ExtraHop dans l'URL.

Copiez l'ID de l'entité SP du système ExtraHop et collez-le dans le champ ID de l'entité dans Google Admin.
Cochez la case Réponse signée.
Dans la section Name ID, ne modifiez pas les paramètres par défaut Basic Information et Primary Email.
Dans la liste déroulante Format de l'ID de nom, sélectionnez PERSISTANT.
Cliquez sur Suivant.
Sur l'écran Attribute Mapping, cliquez sur ADD NEW MAPPING.

Ajoutez les attributs suivants exactement comme indiqué. Les quatre premiers attributs sont obligatoires. L'attribut packetslevel est facultatif et n'est requis que si vous avez un packetstore connecté. Si vous avez un packetstore et que vous ne configurez pas l'attribut packetslevel, les utilisateurs ne pourront pas afficher ou télécharger les captures de paquets dans le système ExtraHop.

Attribut d'application	Catégorie	Champ utilisateur
`urn:oid:0.9.2342.19200300.100.1.3`	Informations de base	Courriel principal
`urn:oid:2.5.4.4`	Informations de base	Nom de famille
`urn:oid:2.5.4.42`	Informations de base	Prénom
`urn:extrahop:saml:2.0:writelevel`	ExtraHop	niveau d'écriture
`urn:extrahop:saml:2.0:ndrlevel`	ExtraHop	ndrlevel
`urn:extrahop:saml:2.0:npmlevel`	ExtraHop	npmlevel
`urn:extrahop:saml:2.0:packetslevel`	ExtraHop	packetslevel

Cliquez sur Finish (Terminer ), puis sur OK.
Cliquez sur Edit Service.
Sélectionnez Activé pour tout le monde, puis cliquez sur Enregistrer.

Attribuer des privilèges aux utilisateurs

Cliquez sur Utilisateurs pour revenir au tableau de tous les utilisateurs de vos unités organisationnelles.
Cliquez sur le nom de l'utilisateur que vous souhaitez autoriser à se connecter au système ExtraHop.
Dans la section Informations sur l'utilisateur, cliquez sur Détails de l'utilisateur.
Dans la section ExtraHop, cliquez sur Niveau d'écriture et saisissez l'un des niveaux de privilèges suivants.
- illimité
- écriture_complète
- écriture_limitée
- écriture_personnelle
- lecture_complète
- lecture_limitée
- aucun
Pour plus d'informations sur les privilèges des utilisateurs, voir Utilisateurs et groupes d'utilisateurs.
Facultatif : Si vous avez ajouté l'attribut packetslevel ci-dessus, cliquez sur packetslevel et saisissez l'un des privilèges suivants.
- complet
- complet_avec_écriture
- aucun
Facultatif : Si vous avez ajouté l'attribut detectionslevel ci-dessus, cliquez sur detectionslevel et tapez l'un des privilèges suivants.
- complet
- aucun
Cliquez sur Enregistrer.

Connectez-vous au système ExtraHop

Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
Cliquez sur Se connecter avec <nom du fournisseur>.
Connectez-vous à votre fournisseur à l'aide de votre adresse électronique et de votre mot de passe. Vous êtes automatiquement dirigé vers la page de présentation d'ExtraHop.

Last modified 2023-11-07

Documentation

Products

Differentiation

Solutions

Security Operations

Cloud-Native Security

Application Analytics

Network Performance

Customers

Community

Partners

Support

Training

Resources

More Resources

Company

Events and Information