Ao configurar um sistema de autenticação baseado em SAML para o SaltStack Config, você precisa preencher vários campos de informações. Também é possível usar a API para configurar um sistema baseado em SAML, embora isso não seja recomendado.
Campos de informação SAML
Todos os campos de informações de autenticação SAML são necessários. Insira as informações da sua configuração de autenticação SAML da seguinte maneira.
Se precisar de ajuda para configurar sua conexão, entre em contato com o administrador.
Básica
Campo |
Descrição |
---|---|
Nome |
O nome da conexão de autenticação usada pelo SSE. Esse nome aparecerá na barra lateral quando você estiver conectado ao espaço de trabalho Autenticação e deverá ser exclusivo se você estiver definindo várias configurações. Esse nome não pode ser alterado após a criação inicial. Exemplo: Acme SSO |
URI Base |
A URL base usada pela sua organização no SaltStack Config, também conhecida como endereço do servidor host. Essa URL é formatada como um FQDN ou endereço IP, como Exemplo: |
ID da Entidade |
Um ID exclusivo para esse provedor de serviços do SaltStack Config. Embora a tradição SAML seja uma string semelhante a uma URL, qualquer tipo de string é permitido. Ele deve ser exclusivo em comparação com os outros aplicativos SAML usados pela sua organização. Certifique-se de usar esse mesmo ID ao registrar SaltStack Config como um aplicativo. Exemplo: |
Informações da Organização
Campo |
Descrição |
---|---|
Nome da Empresa |
O nome da sua organização. |
Nome de Exibição |
O nome a ser exibido como o nome da sua organização. |
Site |
A URL do site da sua organização. Essa URL pode ser qualquer coisa e não tem qualquer influência sobre a funcionalidade do SSO. |
Chave Privada |
A chave privada que você gerou, também conhecida como cert.pem. Essa chave deve estar no formato PEM. |
Chave Pública |
As chaves públicas e certificados que você gerou, também conhecidos como cert.pub. Essa chave deve estar no formato PEM. |
Contacto Técnico
Campo |
Descrição |
---|---|
Nome |
O nome do funcionário que é o principal responsável pelo aplicativo na sua organização. Essas informações são exigidas pelo protocolo SAML e serão transmitidas ao provedor SAML. O SaltStack Config não usa essas informações diretamente. |
|
O endereço de e-mail do contato técnico. |
Contato de Suporte
Campo |
Descrição |
---|---|
Nome |
O nome de um funcionário que poderá ser contatado se o contato técnico principal do aplicativo não estiver disponível. Essas informações são exigidas pelo protocolo SAML e serão transmitidas ao provedor SAML. O SaltStack Config não usa essas informações diretamente. |
|
O endereço de e-mail do contato de suporte. |
Informações do Provedor
Campo |
Descrição |
---|---|
ID da Entidade |
O ID da Entidade do provedor de identidade (IdP). Exemplo de um ID de Entidade AD do Azure: |
ID do Usuário |
Uma referência a um atributo SAML mapeado que conterá o ID de usuário permanente. |
|
Uma referência a um atributo SAML mapeado que conterá o endereço de e-mail. |
Nome de Usuário |
Uma referência a um atributo SAML mapeado que conterá o nome de usuário. |
URL |
A URL usada para acessar os endpoints SAML do provedor de identidade. |
Certificado x509 |
O certificado formatado em X.509 com uma chave pública incorporada gerada por meio do sistema do seu provedor de identidade. Essa chave deve estar no formato PEM. |
Verificações de Segurança
Campo |
Descrição |
---|---|
Verificação de Instruções de Atributos |
Marque essa caixa se quiser que o SaltStack Config verifique as Instruções de Atributos SAML em busca de perfis de usuário. |
Configurando o SAML a partir da Linha de Comando (CLI)
Este guia recomenda a configuração do SAML usando a interface do usuário do SaltStack Config em vez da linha de comando. Essas instruções estão incluídas para referência.
Para configurar a maioria dos padrões de configuração usando a CLI:
- Faça login como usuário de RaaS:
sudo su raas
- OPCIONAL: essa etapa apenas será necessária se você tiver instalado manualmente o SaltStack Config. No servidor RaaS, instale o arquivo.xml OpenSSL incluído nos arquivos do instalador. Use o seguinte comando:
yum install xmlsec1-openssl
Observação:O RedHat não tem xmlsec1 prontamente disponível em nenhum repositório padrão. Uma possível solução alternativa é baixar os RPMs de uma máquina CentOS e transferi-los ao RedHat.
- Navegue até o diretório no qual você pretende salvar o arquivo de configuração. Qualquer caminho de diretório é aceitável.
- Crie um arquivo YAML com as informações de configuração necessárias exigidas pelo provedor de serviços de identidade. Para obter exemplos de como formatar esses arquivos de configuração, consulte Arquivos de configuração de exemplo.
Observação:
Para obter descrições dos vários campos, consulte Campos de informações SAML.
- Execute o arquivo de configuração usando os seguintes comandos:
raas save_sso_config <filepath>
Arquivos de configuração de exemplo
Arquivo de configuração SAML de exemplo para Google
Substitua o texto do espaço reservado no exemplo a seguir pelas informações fornecidas pelo IdP:
name: Google backend: social_core.backends.saml.SAMLAuth settings: base_uri: https://example.com saml_sp_entity_id: raas saml_org_info: en-US: name: Name of Your Organization displayname: Display Name for Your Organization url: https://example.com saml_technical_contact: givenName: Name of Your Technical Contact emailAddress: email@my_technical_contact.com saml_support_contact: givenName: Name of Your Support Contact emailAddress: email@my_support_contact.com saml_enabled_idps: saml: entity_id: https://accounts.google.com/o/your_organization_id attr_user_permanent_id: Your organization's permanent ID attr_email: email@my_email_with_identity_provider.com attr_username: Your organization's username for the IdP url: https://accounts.google.com/o/saml2/your_organization_id x509cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE----- saml_sp_private_key: | -----BEGIN PRIVATE KEY----- Insert private key block of text here -----END PRIVATE KEY----- saml_sp_public_cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE-----
Arquivo de configuração SAML de exemplo para Okta
Substitua o texto do espaço reservado no exemplo a seguir pelas informações fornecidas pelo IdP:
name: Okta backend: social_core.backends.saml.SAMLAuth settings: base_uri: https://example.com saml_sp_entity_id: https://example.com/auth/complete/saml saml_org_info: en-US: name: Name of Your Organization displayname: Display Name for Your Organization url: https://example.com saml_technical_contact: givenName: Name of Your Technical Contact emailAddress: email@my_technical_contact.com saml_support_contact: givenName: Name of Your Support Contact emailAddress: email@my_support_contact.com saml_security_config: wantAttributeStatement: False saml_enabled_idps: okta: entity_id: https://www.okta.com/your_organization_id attr_user_permanent_id: Your organization's permanent ID attr_email: email@my_email_with_identity_provider.com attr_username: Your organization's username for the IdP url: https://example.okta.com/app/your_organization_id x509cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE----- saml_sp_private_key: | -----BEGIN PRIVATE KEY----- Insert private key block of text here -----END PRIVATE KEY----- saml_sp_public_cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE-----
Arquivo de configuração OIDC de exemplo para Google
Substitua o texto do espaço reservado no exemplo a seguir pelas informações fornecidas pelo IdP:
name: Name of Your Organization backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect settings: base_uri: example.com google_openidconnect_key: your_id.apps.googleusercontent.com google_openidconnect_secret: your_secret
Atualizando uma configuração de SSO a partir da linha de comando (CLI)
Para atualizar um padrão de configuração a partir da CLI:
- Faça login como usuário de RaaS:
sudo su raas
- Navegue até o diretório no qual você armazenou o arquivo de configuração. Atualize o arquivo de configuração conforme necessário.
- Salve o arquivo de configuração usando o seguinte comando:
raas save_sso_config <filepath>
Excluindo uma configuração de SSO da linha de comando (CLI)
Se o acesso à interface do usuário do SaltStack Config estiver disponível, recomendaremos que você exclua uma configuração de SSO usando a interface do usuário. No entanto, é possível excluir uma configuração de SSO usando a API (RaaS), se necessário.
Para excluir uma configuração de SSO, você precisa de localizar o slug atribuído à configuração que deseja excluir. O slug é uma representação do nome da configuração separado por uma marca de traço -
com todas as letras minúsculas. Por exemplo, o slug pode ser nome-da-sua-organização. Para o SAML com Google, o slug é google
.
- Na API (RaaS), gere uma lista de back-ends SSO usando o seguinte comando:
client.api.settings.get_sso_backends()
- Na lista de back-ends SSO, localize o slug para a configuração que você deseja excluir. Em seguida, digite o comando abaixo, substituindo o texto de espaço reservado pelo seu slug de configuração:
client.api.settings.delete_sso_config('slug-for-your-configuration')