====== 1Password SCIM Bridge ====== Pour la synchronisation des utilisateurs dans 1Password, il est nécessaire d'avoir une VM avec un service SCIM. 1Password fourni le logiciel sous la forme d'une image docker : [[https://hub.docker.com/r/1password/scim|docker.io/1password/scim]]. Au moment d'écrire cet article, la dernière version est v2.9.15. La mise en place du bridge SCIM consiste à faire tourner cette image docker et l'exposer via un lien WEB. Il faut donc : * Un accès à la configuration du nom de domaine * Un système en mesure de faire fonctionner un container (Docker / Kubernetes / Cloud). Nous utiliserons une VM Docker dans notre exemple. * Un accès à la configuration admin de 1Password pour créer des tokens. * L'accès à la configuration du pare-feu pour les ouvertures de port. ===== Création de la VM ===== Sur l'infrastructure client, il faut créer la VM, nous utiliserons un Debian dernière version, sans interface graphique et avec le minimum d'outil préinstallé. Nous y ajouterons installerons uniquement [[https://docs.docker.com/engine/install/debian/|Docker Engine]] (voir la documentation de Docker pour l'installation). Prérequis : * CPU : 1 * Mémoire : 2 Go * Stockage : 20 Go * Iso : Debian 13 standard Pré installation de la VM : * Choisir "install" sans installation graphique * Langue : Français * Pays : France * Clavier : Français * Nom de la machine : 1Password * Domaine : * Mettez en place de Mot de passe superutilisateur root * Créez un nouvel utilisateur * Créez le mot de passe pour l'utilisateur * Partitionner les disques : Assisté - utiliser un disque entier * Sélectionnez le disque > tout dans une seule partition (recommandé pour les débutants) * Appliquez les changements sur le disque * Utilisez le miroir deb.debian.org * Désélectionnez tout les utilitaires * Installez le GRUB sur /dev/sda ===== Installation Docker ===== Mettre à jour l'index des paquets du système. sudo apt update Installer les dépendances nécessaires pour télécharger et gérer les certificats. sudo apt install ca-certificates curl Créer le répertoire destiné au stockage des clés GPG si celui-ci n'existe pas encore. sudo install -m 0755 -d /etc/apt/keyrings Télécharger la clé GPG officielle de Docker et l'enregistrer dans le répertoire dédié. sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc Ajuster les permissions afin que la clé soit lisible par tous les utilisateurs. sudo chmod a+r /etc/apt/keyrings/docker.asc Ajouter le dépôt officiel Docker à la liste des sources APT du système. sudo tee /etc/apt/sources.list.d/docker.sources < Mettre à jour l'index des paquets afin de prendre en compte le nouveau dépôt Docker. sudo apt update Installer Docker Engine ainsi que les composants associés. sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin Vérifier que le service Docker est actif. sudo systemctl status docker Si le service n'est pas démarré, le lancer manuellement. sudo systemctl start docker Vérifier le bon fonctionnement de l'installation en exécutant le conteneur de test Hello World. sudo docker run hello-world Cette commande télécharge l'image de test hello-world puis l'exécute dans un conteneur. Un message de confirmation s'affiche lorsque l'installation est correctement réalisée. Docker Engine est maintenant installé et prêt à être utilisé. ===== Configuration 1Password ===== ==== Fichier de l'application ==== Créer un dossier 1password dans le répertoire /etc, rentrez dedans et créez un fichier docker-compose.yaml mkdir /etc/1password cd /etc/1password nano docker-compose.yaml Copier coller le fichier ci-dessous : services: redis: command: --maxmemory 256mb --maxmemory-policy volatile-lru --save "" deploy: resources: reservations: cpus: "0.125" limits: memory: 512M healthcheck: test: redis-cli ping | grep PONG image: docker.io/redis restart: always networks: [op-scim] user: 999:999 scim: depends_on: [redis] restart: always deploy: resources: reservations: cpus: "0.125" limits: memory: 512M environment: OP_REDIS_URL: redis://redis:6379 OP_TLS_DOMAIN: ${SCIM_TLS_DOMAIN:-} OP_LETSENCRYPT_EMAIL: ${SCIM_TLS_EMAIL:-admin@wcentric.com} OP_DEBUG: ${SCIM_DEBUG:-0} OP_CONFIRMATION_INTERVAL: ${SCIM_CONFIRMATION_INTERVAL:-300} OP_JSON_LOGS: ${SCIM_JSON_LOGS:-0} OP_PRETTY_LOGS: ${SCIM_PRETTY_LOGS:-0} OP_TRACE: ${SCIM_TRACE:-0} OP_PING_SERVER: ${SCIM_PING_SERVER:-0} image: docker.io/1password/scim:v2.9.15 networks: [op-scim] ports: - "${SCIM_PORT:-443}:8443" secrets: - source: credentials target: /home/opuser/.op/scimsession uid: "999" gid: "999" mode: 0440 user: 999:999 networks: op-scim: name: op-scim secrets: credentials: file: ./scimsession name: credentials Sur 1password portail admin, accéder a votre entreprise gérée puis dans intégration> approvisionnement automatique> sélectionnez Entra Azure AD> télécharger le fichier scimsession et enregistrez votre bearer token. ==== Configuration de l'application ==== Dans le dossier 1password de la machine créer le fichier scimsession et y copier le contenu du fichier scimsession récupéré sur le centre admin 1password. nano scimsession Il faut ensuite créer les paramètres de configuration. Les paramètres de configuration sont à mettre dans un fichier ''.env''. Le format est le nom du paramètre ''='' valeur, sans espace entre le nom du paramètre, le signe ''='' et la valeur. Il peut y avoir des lignes vides et des commentaires commençant par ''#''. nano .env Exemple de fichier ''.env'' : # URL d'accès extérieur à la VM SCIM_TLS_DOMAIN=mysync.scim.exemple.com # Adresse email déclaré pour la création du certificat SCIM_TLS_EMAIL=admin@exemple.com # Port qui sera utilisé pour recevoir les requêtes SCIM_PORT=443 ===== Redirection de port ===== La VM doit être accessible de l'extérieur. Elle doit pouvoir être contacté par le service qui va faire la synchronisation (Entra / Okta / etc..). Cet accès doit obligatoirement être sur le port 443/tcp (port HTTPS). Sur le routeur avec une IP publique, redirigez le port TCP 443 de l'IP publique en TCP vers le port 443 de l'IP sur le réseau interne de la VM. Voir la documentation du pare-feu utilisé pour réaliser cette opération. Le but final est d'héberger une "api web". Il faut donc aussi configurer un nom de domaine (celui de la variable ''SCIM_TLS_DOMAIN'' configuré précédemment) qui pointe vers l'adresse IP publique du routeur. Exemple, nous avons une IP publique ''203.0.113.12'' et nom de domaine ''mysync.scim.exemple.com''. mysync.scim.exemple.com. A 203.0.113.12 ===== Contrôle de l'application ===== Une fois le contenu du fichier ajouter vous pouvez lancer le docker compose. docker compose up -d Alternativement, vous pouvez utiliser la commande ''docker compose up'' sans le ''-d'' pour voir les logs en temps réel sur le lancement de l'application. Il est possible d'afficher directement les logs lorsque docker compose est en cours. docker compose logs Pour arrêter et supprimer totalement les dockers en cours. docker compose down Pour afficher les docker en cours d'utilisation. docker ps Pour vérifier les paramètres du container. docker inspect dockerid ===== Vérification du fonctionnement ===== Pour vérifier le bon fonctionnement de la VM, vous devez avoir : * Le nom de domaine externe * Une machine hors réseau pour lancer le test * Le Bearer Token donné lors de la configuration de la synchronisation SCIM sur 1Password. Pour des fins d'exemple, nous aurons en domaine ''mysync.scim.exemple.com'' et en token ''API_EXEMPLE_TOKEN''. Commande de test avec curl sous Linux : curl --silent --show-error --request GET --header "Accept: application/json" --header "Authorization: Bearer API_EXEMPLE_TOKEN" https://mysync.scim.exemple.com/health Commande de test avec Invoke-WebRequest sous Windows PowerShell : Invoke-WebRequest -Headers @{'Accept'='application/json'; 'Authorization'='Bearer API_EXEMPLE_TOKEN'} -Method GET -UseBasicParsing -Uri 'https://mysync.scim.exemple.com/health' Si tout fonctionne, vous pouvez activer la synchronisation aussi bien sur 1Password que sur votre fournisseur SCIM.