Antes de criar uma nova configuração SAML para o SaltStack Config, leia estas etapas para garantir que você esteja familiarizado com o processo de configuração.

Etapas pré-configuração

Antes de configurar o SAML no SaltStack Config:

  • Instale o provedor de identidade SAML (IdP) e verifique se ele está sendo executado. Este tópico não fornecerá instruções para a instalação de qualquer IdP. Entre em contato com o administrador do IdP para obter suporte.
  • Assegure-se de que você tenha acesso às credenciais e aos dados de configuração fornecidos pelo IdP. Além disso, consulte a seção a seguir sobre como Criar um certificado de provedor de serviços.

Criando um certificado de provedor de serviços

Você precisa gerar um certificado para adicionar o SaltStack Config como provedor de serviços aprovado com o seu IdP. Seu provedor de serviços do SaltStack Config precisa de um par de chaves RSA. Você insere os valores de chave pública e privada em vários locais ao configurar o SAML para o SaltStack Config.

Observação: Esse par de chaves pode ser gerado em qualquer sistema. Ele não precisa ser criado no servidor SSE. Esses comandos são executados em qualquer sistema com utilitários openssl instalados. Outra alternativa é usar o Salt para gerar o certificado autoassinado. Consulte a documentação para certificados de assinatura automática com o módulo Salt TLS.

Para criar o certificado:

  1. Gere uma chave privada, chamada cert.perm, usando o seguinte comando:
    openssl genrsa -out cert.pem 2048
  2. Crie a chave pública associada à chave privada que você acabou de criar na etapa anterior. O comando a seguir orienta você pelo processo:
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. À medida que esse comando for executado, responda as instruções conforme necessário, como:
    • Nome do país
    • Nome do estado ou da província
    • Nome da localidade ou cidade
    • Nome da organização ou empresa
    • Nome da unidade organizacional
    • Nome do host do servidor
    • Endereço de e-mail

Agora, você tem o par de chaves pública e privada que será usado na sua configuração SAML. Grave esses pares de chaves públicas e privadas para facilitar o acesso ao trabalhar no restante do processo de configuração. Prossiga para a próxima seção para obter instruções sobre Como definir uma configuração SAML.

Definindo uma configuração SAML

Antes de concluir as etapas nesta seção, certifique-se de ter gerado as chaves públicas e privadas para o SaltStack Config como seu provedor de serviços. Para obter mais instruções, consulte Criando um certificado de provedor de serviços.

Para configurar o SSO SAML usando o IdP preferencial da sua organização no SaltStack Config:

  1. Clique em Administração > Autenticação no menu lateral.
  2. Clique em Criar.
  3. No menu Tipo de configuração, selecione SAML.

    O espaço de trabalho exibe as configurações com suporte para o tipo de configuração SAML.

  4. Na guia Configurações, preencha os seguintes campos com as informações sobre a sua instalação do SaltStack Config:
    • Nome
    • URI Base
    • ID da Entidade
    • Nome da Empresa
    • Nome de Exibição
    • Site
    Observação: Para obter descrições desses campos, consulte Campos de informações SAML.
  5. No campo Chave Privada, copie a chave privada que você gerou quando criou o certificado do provedor de serviços para SaltStack Config. Para obter mais informações, consulte Criando um certificado de provedor de serviços.
  6. No campo Chave Pública, copie a chave pública que você gerou quando criou o certificado do provedor de serviços para SaltStack Config.
  7. Preencha os campos com as informações de contato relevantes do seu:
    • Contato técnico
    • Contato de suporte
  8. Na seção Informações do Provedor, preencha os seguintes campos com os metadados sobre o seu provedor de identidade (IdP):
    • ID da Entidade
    • ID do Usuário
    • E-mail
    • Nome de Usuário
    • URL
    • Certificado x509
    Observação: ADFS, Azure AD e Google SAML são exemplos de provedores de identidade comuns. Você preencherá esses campos com informações fornecidas pelo seu IdP. Para obter mais informações sobre esses campos, consulte Campos de informações SAML.
  9. OPCIONAL: marque a caixa Verificação de Instruções de Atributos se quiser que o SaltStack Config verifique as Instruções de Atributos SAML em busca de perfis de usuário. Essa opção está marcada por padrão.
  10. Clique em Salvar.

A configuração SAML para o SaltStack Config está agora completa. Prossiga para a próxima seção para obter instruções sobre como Configurar o IdP com informações do provedor de serviços.

Configurando o IdP com informações do provedor de serviços

Antes de concluir as etapas nesta seção, verifique se você configurou o SAML no SaltStack Config. Para obter mais informações, consulte as instruções sobre como Definir uma configuração SAML.

Para concluir a configuração SAML, o provedor de identidade precisa de dois dados importantes:

  • A URL AssertionCustomerService
  • O certificado público (x509) (chave pública) que você gerou quando criou o certificado do provedor de serviços para o SaltStack Config. Para obter mais informações, consulte Criando um certificado de provedor de serviços.

A URL AssertionCustomerService é o endereço Web que o seu provedor de serviços utiliza para aceitar mensagens e artefatos SAML ao estabelecer uma declaração de identidade. Neste caso, o SaltStack Config é o provedor de serviços.

Veja a seguir um exemplo do formato típico para a URL AssertionCustomerService: https://<your-sse-hostname>/auth/complete/saml

Depois de fornecer esses dados ao seu IdP, continue na próxima seção para obter instruções sobre como Criar mapeamentos de atributos.

Criar mapeamentos de atributos

O SaltStack Config extrai informações sobre o usuário da declaração SAML de entrada. Por esse motivo, o IdP deve garantir que os valores necessários sejam enviados como atributos adicionais. O processo para mapear esses atributos é específico para cada provedor de identidade SAML. Para obter assistência com a criação de mapeamentos de atributos, consulte a documentação do IdP ou entre em contato com o administrador.

O SaltStack Config precisa definir os seguintes atributos do usuário:

  • ID do Usuário
  • E-mail
  • Nome de Usuário

Muitas organizações mapearão todos esses três valores para um único atributo: o endereço de e-mail do usuário. O endereço de e-mail do usuário é usado com frequência porque geralmente é exclusivo em uma organização.

Configurando o RBAC para SAML

O SaltStack Config oferece suporte à criação de funções e permissões para usuários em várias funções. O RBAC para SAML é gerenciado da mesma maneira que você gerenciaria usuários cujas credenciais estão armazenadas nativamente no SaltStack Config no servidor de API (RaaS). Para obter mais informações sobre o espaço de trabalho Funções, consulte Funções e permissões.

Depois de criar funções, você pode adicionar usuários SAML e atribuir funções a eles. Para obter mais informações, consulte a seção a seguir sobre como Adicionar usuários.

Adicionando usuários

Por padrão, novos usuários são registrados no SaltStack Config somente após o primeiro login bem-sucedido de um usuário com o SAML. Como alternativa, você pode adicionar usuários manualmente para pré-registrá-los no SaltStack Config.

Para adicionar usuários manualmente:

  1. No espaço de trabalho Autenticação, selecione sua configuração SAML na lista de Configurações de Autenticação para abrir suas definições de configuração.
  2. Nas definições de configuração, clique na guia Usuário.
  3. Clique no botão Criar.
  4. No campo Nome de usuário, insira as credenciais do usuário que você deseja adicionar. Esse nome de usuário deve ser idêntico ao nome de usuário SAML atribuído.
    Observação: Certifique-se de que ele seja preciso. Uma vez criado um usuário, seu nome de usuário não pode ser alterado ou renomeado.
  5. No campo Funções, selecione todas as funções às quais você deseja adicionar o usuário. Todos os novos usuários são adicionados à função Usuário por padrão. Para obter mais informações, consulte Configurando o RBAC para SAML.
  6. Clique em Salvar.
    Observação: Depois de criado manualmente, um usuário só pode ser excluído antes do primeiro login. Após o login inicial do usuário, o botão Excluir ainda está disponível nesse espaço de trabalho, mas deixará de funcionar.

Solução de problemas e validação da configuração

Depois de configurar o SSO no SaltStack Config, tente fazer login como um usuário típico para garantir que o processo de login esteja funcionando conforme esperado e que as funções e permissões estejam corretas.

Para solucionar possíveis erros, tente:

  • Usar a ferramenta SAML tracer, disponível para os navegadores Firefox e Chrome.
  • Visualizar as mensagens de log de /var/log/raas/raas.
Observação: Usuários não podem ser excluídos por meio da interface do usuário do SaltStack Config ou usando a API após o provisionamento inicial com uma autenticação SAML bem-sucedida.