Migrer vers SAML depuis LDAP
L'authentification sécurisée par authentification unique (SSO) sur le système ExtraHop est facile à configurer. Toutefois, si vous avez configuré votre système ExtraHop pour l'authentification à distance via LDAP, TACACS+ ou RADIUS, le passage à SAML supprime définitivement tous les utilisateurs distants existants et leurs personnalisations, telles que les tableaux de bord enregistrés, les cartes d'activité, les rapports (disponibles sur les consoles uniquement) et les requêtes d'enregistrement (un espace de stockage des enregistrements est requis).
Important : | Les personnalisations doivent être enregistrées là où les utilisateurs distants les ont créées. Par exemple, si un utilisateur distant possède un tableau de bord critique sur une console et une sonde, vous devez effectuer ces procédures à la fois sur la console et sur le capteur pour cet utilisateur distant. |
Aperçu de la procédure
La migration vers une nouvelle méthode d'authentification à distance est un processus complexe. Assurez-vous de bien comprendre toutes les étapes avant de commencer et de planifier une période de maintenance pour éviter de perturber les utilisateurs.
Before you begin
- Activez les fichiers d'exception sur vos capteurs et votre console. Si le système ExtraHop s'arrête ou redémarre de façon inattendue pendant le processus de migration, le fichier d'exception est écrit sur le disque. Le fichier d'exception peut aider le support d'ExtraHop à diagnostiquer le problème à l'origine de l'échec.
- Créez une sauvegarde de vos capteurs et de votre console. Les fichiers de sauvegarde incluent tous les utilisateurs, les personnalisations et les paramètres partagés. Téléchargez et stockez le fichier de sauvegarde hors système sur un ordinateur local.
Parce que la modification de la méthode d'authentification à distance sur un sonde ou console supprime efficacement tous les utilisateurs distants, vous devez d'abord créer un utilisateur local (en miroir) pour chaque utilisateur distant où vous pouvez transférer temporairement les personnalisations et les paramètres de partage. Après avoir transféré ces paramètres une fois, vous devez configurer SAML pour sonde ou console, puis transférez les paramètres une seconde fois des utilisateurs locaux aux utilisateurs SAML. Enfin, vous pouvez supprimer les utilisateurs locaux temporaires de sonde ou console.
- Si vous prévoyez de ne migrer que quelques comptes via les paramètres d' administration, passez en revue les comptes d'utilisateurs distants existants sur identifier les utilisateurs grâce à des personnalisations que vous souhaitez conserver, et identifiez les groupes d'utilisateurs auxquels des autorisations partagées ont été accordées pour les personnalisations.
- Créez un compte utilisateur local temporaire pour chaque utilisateur distant que vous souhaitez préserver.
- (Facultatif pour les utilisateurs de l'espace de stockage des enregistrements) Enregistrez les requêtes d'enregistrement créées par des utilisateurs distants dans le compte utilisateur de configuration.
- Supprimer des utilisateurs distants et transférer leurs personnalisations sur le compte local.
- Configuration de SAML. (Tous les utilisateurs distants et groupes d'utilisateurs restants sont supprimés avec leurs personnalisations.)
- Créez un compte pour l'utilisateur SAML sur l'appliance. Une fois la sonde ou la console configurée pour SAML, vous pouvez créer un compte à distance pour vos utilisateurs avant qu'ils ne se connectent au système ExtraHop pour la première fois.
- Supprimer le compte utilisateur local et transférer les personnalisations encore une fois, cette fois du compte local temporaire vers le compte utilisateur SAML. Lorsque vos utilisateurs SAML se connectent pour la première fois, leurs personnalisations seront disponibles.
Identifiez les utilisateurs distants et les groupes d'utilisateurs critiques
La migration étant un processus fastidieux via les paramètres d'administration, nous vous recommandons de limiter le nombre de comptes utilisateur que vous conservez uniquement à ceux présentant des personnalisations complexes ou critiques pour l'entreprise. En outre, si vous avez importé des groupes d'utilisateurs LDAP, les tableaux de bord ou les cartes d'activité partagés avec ces groupes ne seront plus partagés une fois le protocole SAML configuré. Bien que les groupes d'utilisateurs ne puissent pas être importés depuis SAML, vous pouvez configurer et partager des personnalisations avec un groupe d'utilisateurs local sur le système ExtraHop.
- Dressez une liste des utilisateurs distants à l'aide de tableaux de bord critiques, de cartes d'activité, de requêtes d'enregistrement enregistrées (magasins de disques uniquement) et de rapports de tableau de bord (consoles uniquement)
- Afficher les groupes d'utilisateurs LDAP et leurs paramètres partagés, créer un groupe d'utilisateurs local, puis manuellement partager des tableaux de bord et cartes d'activités avec le groupe d'utilisateurs local après la migration vers SAML.
Associations de tableaux de
Vous devez récupérer les informations relatives à la propriété et au partage des tableaux de bord avant de configurer SAML sur votre système ExtraHop.
Dans la mesure où les tableaux de bord ne sont visibles que par les utilisateurs qui les ont créés ou par ceux qui ont des autorisations partagées, nous vous recommandons de suivre cette étape via le API REST.
Si vous devez effectuer cette étape via les paramètres d'administration, chaque utilisateur distant doit manuellement partager leur tableau de bord avec un utilisateur local.
Associations de cartes d'activités
Vous pouvez récupérer des informations sur la propriété et le partage des cartes d'activités avant de configurer SAML sur votre appliance.
- <extrahop-hostname-or-IP-address>Connectez-vous au système ExtraHop via https ://.
- En haut de la page, cliquez sur Actifs.
- Cliquez Activité dans le volet gauche, puis cliquez sur le groupe de clients, de serveurs ou d'appareils correspondant au protocole de votre choix.
- Cliquez Carte des activités, situé dans le coin supérieur droit de la page.
- Cliquez sur le Charger icône dans le coin supérieur droit.
- Notez le nom de chaque propriétaire de carte dactivités.
-
Identifiez les propriétés de la carte d'activités et les options de partage pour chaque
carte d'activités.
- Cliquez sur le nom de la carte dactivités.
- Cliquez sur le menu de commande dans le coin supérieur droit, puis sélectionnez Partagez.
- Notez les utilisateurs ou les groupes avec lesquels la carte dactivités est partagée.
(Consoles uniquement) Associations de rapports de tableau de bord
Vous devez récupérer les informations relatives à la propriété des rapports de tableau de bord planifiés avant de configurer SAML sur votre système ExtraHop.
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address> avec un compte utilisateur doté de privilèges illimités.
- Cliquez sur l'icône des paramètres système , puis cliquez sur Rapports du tableau de bord.
- Identifiez les rapports de tableau de bord que vous souhaitez conserver et notez l'utilisateur répertorié dans le Propriétaires colonne.
Enregistrer les requêtes d'enregistrement
Dans les étapes suivantes, vous allez apprendre à conserver les requêtes d'enregistrement enregistrées par un utilisateur distant.
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address> avec le setup compte utilisateur.
- Cliquez sur l'icône Paramètres système, puis sélectionnez Bundles.
- Sur la page Bundles, sélectionnez Nouveau.
- Entrez un nom pour identifier le bundle.
- Cliquez sur la flèche à côté de Requêtes dans le tableau des matières et cochez les cases à côté des requêtes enregistrées que vous souhaitez exporter.
- Cliquez OK.. Le bundle apparaît dans le tableau de la page Bundles.
- Sélectionnez le bundle et cliquez sur Télécharger. Les requêtes sont enregistrées dans un fichier JSON.
Que faire ensuite
Après la migration, télécharger le bundle pour restaurer les requêtes d'enregistrement enregistrées.Créez un compte local temporaire
Dans les étapes suivantes, vous allez apprendre à créer un compte utilisateur local en tant que miroir d'un compte utilisateur distant.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres d'accès section, cliquez Utilisateurs.
- Cliquez Ajouter un utilisateur.
-
Dans le Informations personnelles section, saisissez les
informations suivantes :
- ID de connexion : nom d'utilisateur temporaire de l'utilisateur, qui ne peut contenir aucun espace.
- Nom complet : nom d'affichage de l'utilisateur, qui peut contenir des espaces.
- Mot de passe : mot de passe de ce compte.
- Confirmer le mot de passe : saisissez à nouveau le mot de passe dans le champ Mot de passe.
- Dans le Type d'authentification section, sélectionnez Local.
- Dans le Type d'utilisateur section, sélectionnez le type de privilèges pour l'utilisateur.
- Cliquez Enregistrer.
Supprimer des utilisateurs distants et transférer les personnalisations
Dans les paramètres d'administration, cette étape nécessite une procédure de suppression d'utilisateur spécifique, qui inclut la possibilité de transférer la propriété d'un seul compte utilisateur. Cette option est préférable si vous ne devez conserver que quelques personnalisations utilisateur. Notez que dans l' API REST, vous devez d'abord transférer chaque personnalisation, puis supprimer l'utilisateur séparément. Si vous supprimez tous les utilisateurs en passant de la méthode d'authentification à distance à SAML, la propriété ne peut pas être transférée.)
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres d'accès section, cliquez Utilisateurs.
-
Faites défiler la page jusqu'à l'utilisateur distant que vous souhaitez supprimer, puis cliquez sur
X à l'extrême droite.
- Une option apparaît pour transférer les tableaux de bord, les collections et les cartes d'activité. (Sur un console, vous pouvez également transférer des rapports planifiés à cette étape.)
- Sélectionnez Transférez les tableaux de bord, les collections, les cartes d'activité et les rapports planifiés appartenant à un utilisateur à l'utilisateur suivant <remote user> puis sélectionnez le compte utilisateur local temporaire que vous avez créé. Par exemple, lors de la suppression d'un utilisateur distant john_smith vous pouvez transférer les personnalisations à l'utilisateur local john_smith_local.
- Répétez l'opération pour chaque utilisateur dont vous souhaitez conserver les personnalisations.
Configurer SAML sur le système ExtraHop
En fonction de votre environnement, configurer SAML. Des guides sont disponibles pour les deux Okta et Google. Après avoir configuré SAML sur votre système ExtraHop, vous pouvez créer des comptes pour vos utilisateurs distants et transférer leurs personnalisations avant qu'ils ne se connectent pour la première fois.
Créez des comptes SAML sur le système ExtraHop
Dans les étapes suivantes, vous apprendrez comment créer un utilisateur SAML sur votre système ExtraHop .
Remarque : | Vérifiez le format requis pour les noms d'utilisateur saisis dans ID de connexion champ avec l'administrateur de votre fournisseur d'identité. Si les noms d'utilisateur ne correspondent pas, l'utilisateur distant ne sera pas mis en correspondance avec l'utilisateur créé sur le système. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres d'accès section, cliquez Utilisateurs.
- Cliquez Ajouter un utilisateur.
- Dans le ID de connexion dans ce champ, saisissez le nom d'utilisateur SAML. (Les noms d'utilisateur SAML distinguent les majuscules et minuscules.)
- Dans le Nom complet dans ce champ, saisissez le prénom et le nom de famille de l'utilisateur.
- Dans le Type d'authentification section, sélectionnez télécommande.
- Cliquez Enregistrer.
- Répétez l'opération pour chaque utilisateur dont vous souhaitez conserver les personnalisations.
Supprimer des utilisateurs locaux et transférer les personnalisations
Dans les étapes suivantes, vous allez apprendre à supprimer les comptes d'utilisateurs locaux temporaires qui stockent les personnalisations des utilisateurs distants et à transférer les personnalisations vers les comptes utilisateur SAML finaux.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres d'accès section, cliquez Utilisateurs.
-
Faites défiler la page jusqu'à l'utilisateur local que vous souhaitez supprimer, puis cliquez sur
X à l'extrême droite.
- Une option apparaît pour transférer les tableaux de bord, les collections et les cartes d'activité. (Sur un console, vous pouvez également transférer des rapports planifiés à cette étape.)
- Sélectionnez Transférez les tableaux de bord, les collections, les cartes d'activité et les rapports de tableau de bord appartenant à a à l'utilisateur suivant <local user> puis sélectionnez le compte utilisateur SAML que vous avez créé. Par exemple, lors de la suppression d'un utilisateur local john_smith_local vous pouvez transférer les personnalisations à l'utilisateur SAML johnsmith.
- Répétez l'opération pour chaque utilisateur dont vous souhaitez conserver les personnalisations.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?