Avec la sortie de la version Stable 2022.10, SAS Viya introduit une modification majeure dans la manière dont les informations d'identification des utilisateurs et des groupes (UID et GID) sont gérées par le microservice des identités. Cette mise à jour clarifie et simplifie la configuration en instaurant un nouveau modèle décisif : désormais, ce sera « l'un ou l'autre ».
En tant qu'administrateur SAS, vous avez maintenant deux options claires :
- Apporter vos propres identifiants : Vous fournissez vous-même les valeurs UID et GID, que ce soit depuis un annuaire LDAP ou en les chargeant manuellement.
- Laisser le microservice des identités les générer : Vous déléguez la création des UID et GID directement à SAS Viya.
Cet article explore ce nouveau modèle, ses implications et comment vous pouvez l'adapter à vos besoins.
Pourquoi les UID et GID sont-ils si importants ?
Dans un environnement SAS Viya, le Launcher Service et SAS Cloud Analytic Services (CAS) peuvent lancer des processus au nom de vos utilisateurs finaux. Pour ce faire, ils récupèrent les attributs de l'utilisateur, y compris les UID et GID, auprès du microservice des identités.
Par conséquent, si vos utilisateurs interagissent avec le système de fichiers (via le SAS Compute Server ou les sessions CAS), les UID et GID utilisés deviennent cruciaux pour la mise en œuvre des permissions sur les fichiers. Une mauvaise configuration peut entraîner des problèmes d'accès aux données.
Le nouveau modèle « l'un ou l'autre » en détail
Trois nouveaux paramètres de configuration pour le microservice des identités font leur apparition pour gérer ce choix:
sas.identities.identifier.generateUidssas.identities.identifier.generateGidssas.identities.identifier.disableGids
Le comportement par défaut de SAS Viya 2022.10 et versions ultérieures est le suivant :
- Les UID sont générés automatiquement par le microservice, même si un attribut POSIX UID valide existe dans votre LDAP.
- Vous devez fournir vos propres GID. Le microservice vous permet de charger des valeurs GID (depuis LDAP ou manuellement), mais il n'en générera pas par défaut.
- Si aucun GID n'est fourni, aucune valeur n'est renvoyée.
En résumé, la configuration par défaut est un mode hybride : UID générés et GID personnalisés.
Quel mode choisir ? Quelques scénarios pratiques
Voici des recommandations pour vous aider à choisir la configuration adaptée à votre environnement.
| Scénario | generateUids | generateGids | disableGids | Explication |
|---|---|---|---|---|
| Pas d'accès au système de fichiers (ex: environnement SCIM) | true | false | true | Vous n'avez pas besoin de vous soucier des GID secondaires. La génération des UID et du GID primaire est suffisante. |
| Attributs POSIX dans LDAP et partage de fichiers | false | false | false | Vous souhaitez que SAS Viya utilise votre LDAP comme unique source de vérité pour les identifiants. |
| Système de fichiers existant basé sur les groupes | true | false | false | La valeur des GID est essentielle et doit correspondre à votre modèle de sécurité existant. Vous les fournissez , mais la génération des UID ne pose pas de problème. |
| Nouveau système de fichiers basé sur les groupes pour Viya | true | true | false | C'est un nouveau modèle de sécurité propre à Viya. Vous pouvez laisser Viya générer tous les identifiants et construire vos permissions autour de ces valeurs. |
Conclusion
Le passage au modèle « l'un ou l'autre » avec SAS Viya 2022.10 représente un changement significatif. Il vise à éliminer les configurations ambiguës du passé et offre un cadre plus clair et robuste pour la gestion des attributs utilisateurs. Bien qu'une phase d'adaptation soit nécessaire, nous espérons que les informations présentées ici vous aideront à naviguer cette transition en toute confiance pour assurer la continuité et la sécurité de votre plateforme SAS Viya
