Referência de configuração SAML

Ao configurar um sistema de autenticação baseado em SAML para o SaltStack Config, você precisa preencher vários campos de informações. Também é possível usar a API para configurar um sistema baseado em SAML, embora isso não seja recomendado.

Campos de informação SAML

Todos os campos de informações de autenticação SAML são necessários. Insira as informações da sua configuração de autenticação SAML da seguinte maneira.

Observação:

Se precisar de ajuda para configurar sua conexão, entre em contato com o administrador.

Básica


Campo	Descrição
Nome	O nome da conexão de autenticação usada pelo SSE. Esse nome aparecerá na barra lateral quando você estiver conectado ao espaço de trabalho Autenticação e deverá ser exclusivo se você estiver definindo várias configurações. Esse nome não pode ser alterado após a criação inicial. Exemplo: Acme SSO
URI Base	A URL base usada pela sua organização no SaltStack Config, também conhecida como endereço do servidor host. Essa URL é formatada como um FQDN ou endereço IP, como `https://example.com`. Ela não deve terminar com uma barra. Exemplo: `https://sse.example.com`
ID da Entidade	Um ID exclusivo para esse provedor de serviços do SaltStack Config. Embora a tradição SAML seja uma string semelhante a uma URL, qualquer tipo de string é permitido. Ele deve ser exclusivo em comparação com os outros aplicativos SAML usados pela sua organização. Certifique-se de usar esse mesmo ID ao registrar SaltStack Config como um aplicativo. Exemplo: `https://sse.example.com/saml`

Informações da Organização


Campo	Descrição
Nome da Empresa	O nome da sua organização.
Nome de Exibição	O nome a ser exibido como o nome da sua organização.
Site	A URL do site da sua organização. Essa URL pode ser qualquer coisa e não tem qualquer influência sobre a funcionalidade do SSO.
Chave Privada	A chave privada que você gerou, também conhecida como cert.pem. Essa chave deve estar no formato PEM. Para obter mais informações, consulte Criando um certificado de provedor de serviços.
Chave Pública	As chaves públicas e certificados que você gerou, também conhecidos como cert.pub. Essa chave deve estar no formato PEM. Para obter mais informações, consulte Criando um certificado de provedor de serviços.

Contacto Técnico


Campo	Descrição
Nome	O nome do funcionário que é o principal responsável pelo aplicativo na sua organização. Essas informações são exigidas pelo protocolo SAML e serão transmitidas ao provedor SAML. O SaltStack Config não usa essas informações diretamente.
E-mail	O endereço de e-mail do contato técnico.

Contato de Suporte


Campo	Descrição
Nome	O nome de um funcionário que poderá ser contatado se o contato técnico principal do aplicativo não estiver disponível. Essas informações são exigidas pelo protocolo SAML e serão transmitidas ao provedor SAML. O SaltStack Config não usa essas informações diretamente.
E-mail	O endereço de e-mail do contato de suporte.

Informações do Provedor


Campo	Descrição
ID da Entidade	O ID da Entidade do provedor de identidade (IdP). Exemplo de um ID de Entidade AD do Azure: `https://sts.windows.net/2f09bc14-a1f0-48ce-8280-0a09e775e40d/`
ID do Usuário	Uma referência a um atributo SAML mapeado que conterá o ID de usuário permanente.
E-mail	Uma referência a um atributo SAML mapeado que conterá o endereço de e-mail.
Nome de Usuário	Uma referência a um atributo SAML mapeado que conterá o nome de usuário.
URL	A URL usada para acessar os endpoints SAML do provedor de identidade.
Certificado x509	O certificado formatado em X.509 com uma chave pública incorporada gerada por meio do sistema do seu provedor de identidade. Essa chave deve estar no formato PEM.

Verificações de Segurança


Campo	Descrição
Verificação de Instruções de Atributos	Marque essa caixa se quiser que o SaltStack Config verifique as Instruções de Atributos SAML em busca de perfis de usuário.

Configurando o SAML a partir da Linha de Comando (CLI)

Este guia recomenda a configuração do SAML usando a interface do usuário do SaltStack Config em vez da linha de comando. Essas instruções estão incluídas para referência.

Para configurar a maioria dos padrões de configuração usando a CLI:

Faça login como usuário de RaaS:
```
sudo su raas
```
OPCIONAL: essa etapa apenas será necessária se você tiver instalado manualmente o SaltStack Config. No servidor RaaS, instale o arquivo.xml OpenSSL incluído nos arquivos do instalador. Use o seguinte comando:
```
yum install xmlsec1-openssl
```
Observação:
O RedHat não tem xmlsec1 prontamente disponível em nenhum repositório padrão. Uma possível solução alternativa é baixar os RPMs de uma máquina CentOS e transferi-los ao RedHat.
Navegue até o diretório no qual você pretende salvar o arquivo de configuração. Qualquer caminho de diretório é aceitável.
Crie um arquivo YAML com as informações de configuração necessárias exigidas pelo provedor de serviços de identidade. Para obter exemplos de como formatar esses arquivos de configuração, consulte Arquivos de configuração de exemplo.
Observação:
Para obter descrições dos vários campos, consulte Campos de informações SAML.
Execute o arquivo de configuração usando os seguintes comandos:
```
raas save_sso_config <filepath>
```

Arquivos de configuração de exemplo

Arquivo de configuração SAML de exemplo para Google

Substitua o texto do espaço reservado no exemplo a seguir pelas informações fornecidas pelo IdP:

name: Google
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: raas
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
  saml_technical_contact:
    givenName: Name of Your Technical Contact
    emailAddress: email@my_technical_contact.com
  saml_support_contact:
    givenName: Name of Your Support Contact
    emailAddress: email@my_support_contact.com
  saml_enabled_idps:
    saml:
      entity_id: https://accounts.google.com/o/your_organization_id
      attr_user_permanent_id: Your organization's permanent ID
      attr_email: email@my_email_with_identity_provider.com
      attr_username: Your organization's username for the IdP
      url: https://accounts.google.com/o/saml2/your_organization_id
      x509cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----
      saml_sp_private_key: |
        -----BEGIN PRIVATE KEY-----
        Insert private key block of text here
        -----END PRIVATE KEY-----
      saml_sp_public_cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----

Arquivo de configuração SAML de exemplo para Okta

Substitua o texto do espaço reservado no exemplo a seguir pelas informações fornecidas pelo IdP:

name: Okta
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: https://example.com/auth/complete/saml
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
 saml_technical_contact:
   givenName: Name of Your Technical Contact
   emailAddress: email@my_technical_contact.com
saml_support_contact:
  givenName: Name of Your Support Contact
  emailAddress: email@my_support_contact.com
saml_security_config:
  wantAttributeStatement: False
saml_enabled_idps:
  okta:
    entity_id: https://www.okta.com/your_organization_id
    attr_user_permanent_id: Your organization's permanent ID
    attr_email: email@my_email_with_identity_provider.com
    attr_username: Your organization's username for the IdP
    url: https://example.okta.com/app/your_organization_id
    x509cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----
    saml_sp_private_key: |
      -----BEGIN PRIVATE KEY-----
      Insert private key block of text here
      -----END PRIVATE KEY-----
    saml_sp_public_cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----

Arquivo de configuração OIDC de exemplo para Google

Substitua o texto do espaço reservado no exemplo a seguir pelas informações fornecidas pelo IdP:

name: Name of Your Organization
backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect
settings:
  base_uri: example.com
  google_openidconnect_key: your_id.apps.googleusercontent.com
  google_openidconnect_secret: your_secret

Atualizando uma configuração de SSO a partir da linha de comando (CLI)

Para atualizar um padrão de configuração a partir da CLI:

Faça login como usuário de RaaS:
```
sudo su raas
```
Navegue até o diretório no qual você armazenou o arquivo de configuração. Atualize o arquivo de configuração conforme necessário.
Salve o arquivo de configuração usando o seguinte comando:
```
raas save_sso_config <filepath>
```

Excluindo uma configuração de SSO da linha de comando (CLI)

Se o acesso à interface do usuário do SaltStack Config estiver disponível, recomendaremos que você exclua uma configuração de SSO usando a interface do usuário. No entanto, é possível excluir uma configuração de SSO usando a API (RaaS), se necessário.

Para excluir uma configuração de SSO, você precisa de localizar o slug atribuído à configuração que deseja excluir. O slug é uma representação do nome da configuração separado por uma marca de traço - com todas as letras minúsculas. Por exemplo, o slug pode ser nome-da-sua-organização. Para o SAML com Google, o slug é google.

Na API (RaaS), gere uma lista de back-ends SSO usando o seguinte comando:
```
client.api.settings.get_sso_backends()
```
Na lista de back-ends SSO, localize o slug para a configuração que você deseja excluir. Em seguida, digite o comando abaixo, substituindo o texto de espaço reservado pelo seu slug de configuração:
```
client.api.settings.delete_sso_config('slug-for-your-configuration')
```