Você pode usar o espaço de trabalho Autenticação para configurar o SSO no SaltStack Config para funcionar com um sistema de autenticação compatível com o protocolo SAML.

Observação: Você pode usar mais de um sistema ao mesmo tempo para autenticar usuários no SaltStack Config se necessário. Por exemplo, você pode usar um IdP baseado em SAML ou um IdP baseado em LDAP ao mesmo tempo em que armazena algumas credenciais de usuário nativamente no servidor RaaS. No entanto, o SaltStack Config não permite configurar mais dois provedores SAML ou dois provedores LDAP ao mesmo tempo.

Sobre o SSO SAML

O Single Sign-on (SSO) SAML é uma funcionalidade que muitas organizações configuram durante a implementação do SaltStack Config. O SSO oferece muitos benefícios, entre eles:

  • Redução do tempo que os usuários gastam entrando em serviços para obter a mesma identidade. Depois que os usuários entrarem em um dos serviços de uma instituição, eles serão automaticamente autenticados em qualquer outro serviço que use o SSO.
  • Redução da fadiga de senhas. O usuário só precisa se lembrar de um conjunto de credenciais, em vez de várias.

Muitos serviços fornecem implementações do protocolo SSO SAML, incluindo ADFS, OneLogin, Okta, Shibboleth, SimpleSAMLPHP, Google Suite e muito mais.

Como o SSO SAML funciona com o SaltStack Config

Quando o SaltStack Config recebe uma declaração de identidade bem-sucedida de qualquer uma de suas integrações de autenticação com suporte, ele procura um login de usuário que corresponda ao valor da identidade afirmada. Se ele encontrar um login correspondente, ele fará login na conta de usuário associada.

Por exemplo, se o SaltStack Config receber uma declaração do ADFS para um usuário, e o valor do atributo de identidade configurado for “fred”, o SSE procurará um login com um nome de usuário “fred”. Se encontrado, o usuário associado será conectado. Caso contrário, o login não será bem-sucedido.

Terminologia de autenticação SAML

Acrônimo Definição
SAML

Security Assertion Markup Language (SAML, pronunciado SAM-el)

O SAML é um protocolo aberto (às vezes também chamado de padrão) para o intercâmbio de dados de autenticação e autorização entre as partes. Em particular, ele é usado para o intercâmbio de dados entre um provedor de identidade e um provedor de serviços.

O SAML é um single sign-on (SSO) baseado em navegador. Todas as comunicações acontecem através do agente do usuário (o navegador). Não há comunicação entre um provedor de serviços (como o SaltStack Config) e um provedor de identidade (como o Azure AD). Essa separação permite que a autenticação ocorra entre domínios de segurança, nos quais um provedor de serviços pode estar em um único domínio (possivelmente público) e o provedor de identidade pode estar em um segmento de rede separado e seguro.
IdP

Provedor de identidade

O trabalho do IdP é identificar usuários com base em credenciais. Um provedor de identidade é um software que fornece um serviço que está em conformidade com a parte do provedor de identidade da Especificação SAML. Em geral, o IdP fornece a interface da tela de login e apresenta informações sobre o usuário autenticado aos provedores de serviços após uma autenticação bem-sucedida.

Exemplos de provedores de identidade:

  • ADFS
  • Azure AD
  • Google SAML
  • Shibboleth
  • Okta
  • OneLogin
  • PingFederated
  • SimpleSAMLPHP
SP

Provedor de serviços ou terceira parte confiável

Um SP (provedor de serviços) é geralmente um site que fornece informações, ferramentas, relatórios, etc. ao usuário final. Um provedor de serviços é um software que fornece um serviço que está em conformidade com a parte do provedor de serviços da Especificação SAML do SaltStack Config. Os produtos da Microsoft (como o Azure AD e o ADFS) chamam o SP de terceira parte confiável.

Neste cenário, o SaltStack Config é o provedor de serviços. O SaltStack Config aceita declarações de autenticação do IdP e permite que os usuários façam login.

Um SP não pode se autenticar em um IdP a menos que esteja incluído na lista de serviços aprovados. Configurar um SP de armazenamento com uma lista de IdPs aprovados faz parte do processo de configuração.
SSO

Single sign-on

O Single sign-on é um sistema de autenticação no qual um usuário não é obrigado a fazer login em um segundo serviço, pois as informações sobre o usuário autenticado são transmitidas a esse serviço.
SLO

Single logout

Quando um usuário faz logout de um serviço, alguns IdPs podem subsequentemente fazer com que ele se desconecte de todos os outros serviços nos quais se autenticou.

No momento, o SaltStack Config não oferece suporte para SLO.
RBAC

Controle de acesso baseado em função

O controle de acesso baseado em função, também conhecido como segurança baseada em funções, é uma medida avançada de controle de acesso que restringe o acesso à rede com base na função de uma pessoa dentro de uma organização. As funções no RBAC referem-se aos níveis de acesso que os funcionários têm à rede.

Os funcionários só podem acessar os recursos da rede ou realizar tarefas necessárias para o desempenho efetivo de suas funções de trabalho. Por exemplo, funcionários de nível inferior geralmente não têm acesso a dados confidenciais ou recursos de rede quando não precisam desses dados para cumprir suas responsabilidades.

O SaltStack Config pode oferecer suporte ao RBAC com configurações SAML usando o espaço de trabalho Funções. No entanto, o usuário precisará primeiro fazer login no SaltStack Config para ser adicionado como usuário no banco de dados de usuários local e gerenciado pelo espaço de trabalho Funções. Para obter mais informações, consulte Configurando o RBAC para SAML.