Bei der Konfiguration eines SAML-basierten Authentifizierungssystems für SaltStack Config müssen Sie verschiedene Informationsfelder ausfüllen. Zum Einrichten eines SAML-basierten Systems kann auch die API verwendet werden. Dies wird jedoch nicht empfohlen.

SAML-Informationsfelder

Alle Felder für SAML-Authentifizierungsinformationen müssen ausgefüllt werden. Geben Sie die Informationen für Ihre SAML-Authentifizierungskonfiguration wie folgt ein.

Hinweis:

Wenn Sie Unterstützung beim Einrichten Ihrer Verbindung benötigen, wenden Sie sich an den Administrator.

Einfach

Feld

Beschreibung

Name

Der Name der von SSE verwendeten Authentifizierungsverbindung. Dieser Name wird in der Seitenleiste angezeigt, wenn Sie beim Arbeitsbereich „Authentifizierung“ angemeldet sind. Er sollte eindeutig sein, wenn Sie mehrere Konfigurationen einrichten. Dieser Name kann nach der anfänglichen Erstellung nicht mehr geändert werden.

Beispiel: Acme SSO

Basis-URI

Die von Ihrer Organisation in SaltStack Config verwendete Basis-URL, die auch als Hostserveradresse bezeichnet wird. Diese wird entweder als FQDN oder als IP-Adresse formatiert, z. B. https://example.com. Sie darf nicht mit einem Schrägstrich enden.

Beispiel: https://sse.example.com

Element-ID

Eine eindeutige ID für diesen SaltStack Config-Dienstanbieter. In SAML handelt es sich hierbei traditionell um eine URL-artige Zeichenfolge, doch jede Art von Zeichenfolge ist zulässig. Im Vergleich zu anderen von Ihrer Organisation verwendeten SAML-Anwendungen muss sie eindeutig sein. Achten Sie darauf, genau diese ID zu verwenden, wenn Sie SaltStack Config als Anwendung registrieren.

Beispiel: https://sse.example.com/saml

Informationen zur Organisation

Feld

Beschreibung

Firmenname

Der Name Ihrer Organisation.

Anzeigename

Der Name, der als Name Ihrer Organisation angezeigt werden soll.

Website

Die URL für die Website Ihrer Organisation. Es kann sich um eine beliebige URL handeln; dies hat keinen Einfluss auf die SSO-Funktionalität.

Privater Schlüssel

Der von Ihnen generierte private Schlüssel, auch als „cert.pem“ bezeichnet. Dieser Schlüssel muss im PEM-Format vorliegen. Weitere Informationen finden Sie unter Erstellen eines Dienstanbieterzertifikats.

Öffentlicher Schlüssel

Die von Ihnen generierten öffentlichen Schlüssel und Zertifikate, auch als „cert.pub“ bezeichnet. Dieser Schlüssel muss im PEM-Format vorliegen. Weitere Informationen finden Sie unter Erstellen eines Dienstanbieterzertifikats.

Kontaktperson im technischen Bereich

Feld

Beschreibung

Name

Der Name des Mitarbeiters, der in erster Linie für die Anwendung in Ihrer Organisation verantwortlich ist. Diese Informationen werden vom SAML-Protokoll benötigt und an den SAML-Anbieter weitergeleitet. SaltStack Config verwendet diese Informationen nicht direkt.

E-Mail

Die E-Mail-Adresse der Kontaktperson im technischen Bereich.

Support-Kontakt

Feld

Beschreibung

Name

Der Name eines Mitarbeiters, der kontaktiert werden kann, wenn die primäre Kontaktperson im technischen Bereich für die Anwendung nicht erreichbar ist. Diese Informationen werden vom SAML-Protokoll benötigt und an den SAML-Anbieter weitergeleitet. SaltStack Config verwendet diese Informationen nicht direkt.

E-Mail

Die E-Mail-Adresse des Support-Kontakts.

Informationen zum Anbieter

Feld

Beschreibung

Element-ID

Die Entitäts-ID des Identitätsanbieters (IdP).

Beispiel für eine Azure AD-Entitäts-ID: https://sts.windows.net/2f09bc14-a1f0-48ce-8280-0a09e775e40d/

Benutzer-ID

Ein Verweis auf ein zugeordnetes SAML-Attribut, das die permanente Benutzer-ID enthält.

E-Mail

Ein Verweis auf ein zugeordnetes SAML-Attribut, das die E-Mail-Adresse enthält.

Benutzername

Ein Verweis auf ein zugeordnetes SAML-Attribut, das den Benutzernamen enthält.

URL

Die URL, die für den Zugriff auf die SAML-Endpoints Ihres Identitätsanbieters verwendet wird.

x509-Zertifikat

Das Zertifikat im X.509-Format mit einem eingebetteten öffentlichen Schlüssel, generiert durch das System Ihres Identitätsanbieters. Dieser Schlüssel muss im PEM-Format vorliegen.

Sicherheitsprüfungen

Feld

Beschreibung

Attributanweisungsprüfung

Aktivieren Sie dieses Kontrollkästchen, wenn SaltStack Config die SAML-Attributanweisungen auf Benutzerprofile überprüfen soll.

Konfigurieren von SAML für die Befehlszeile (CLI)

In diesem Handbuch wird dringend empfohlen, SAML über die SaltStack Config-Benutzeroberfläche anstatt über die Befehlszeile zu konfigurieren. Diese Anweisungen sind als Referenz enthalten.

So richten Sie die meisten Konfigurationsstandards über die CLI ein:

  1. Melden Sie sich als RaaS-Benutzer an:
    sudo su raas
  2. OPTIONAL: Dieser Schritt ist nur erforderlich, wenn Sie SaltStack Config manuell installiert haben. Installieren Sie die OpenSSL.xml-Datei auf dem RaaS-Server. Diese ist in den Dateien des Installationsprogramms enthalten. Verwenden Sie den folgenden Befehl:
    yum install xmlsec1-openssl
    Hinweis:

    RedHat hat xmlsec1 nicht ohne weiteres in allen Standardrepositorys verfügbar. Als eine Möglichkeit der Problemumgehung können Sie die RPMs von einem CentOS-Computer herunterladen und sie an RedHat übertragen.

  3. Navigieren Sie zu dem Verzeichnis, in dem Sie die Konfigurationsdatei speichern möchten. Jeder Verzeichnispfad ist akzeptabel.
  4. Erstellen Sie eine YAML-Datei mit den für Ihren Identitätsdienstanbieter erforderlichen Konfigurationsinformationen. Beispiele zum Formatieren dieser Konfigurationsdateien finden Sie in den Beispiel-Konfigurationsdateien.
    Hinweis:

    Beschreibungen der verschiedenen Felder finden Sie unter SAML-Informationsfelder.

  5. Führen Sie die Konfigurationsdatei mit den folgenden Befehlen aus:
    raas save_sso_config <filepath>

Beispielkonfigurationsdateien

SAML-Beispielkonfigurationsdatei für Google

Ersetzen Sie den Platzhaltertext im folgenden Beispiel durch die Informationen, die von Ihrem Identitätsdienstanbieter bereitgestellt wurden:

name: Google
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: raas
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
  saml_technical_contact:
    givenName: Name of Your Technical Contact
    emailAddress: email@my_technical_contact.com
  saml_support_contact:
    givenName: Name of Your Support Contact
    emailAddress: email@my_support_contact.com
  saml_enabled_idps:
    saml:
      entity_id: https://accounts.google.com/o/your_organization_id
      attr_user_permanent_id: Your organization's permanent ID
      attr_email: email@my_email_with_identity_provider.com
      attr_username: Your organization's username for the IdP
      url: https://accounts.google.com/o/saml2/your_organization_id
      x509cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----
      saml_sp_private_key: |
        -----BEGIN PRIVATE KEY-----
        Insert private key block of text here
        -----END PRIVATE KEY-----
      saml_sp_public_cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----

SAML-Beispielkonfigurationsdatei für Okta

Ersetzen Sie den Platzhaltertext im folgenden Beispiel durch die Informationen, die von Ihrem Identitätsdienstanbieter bereitgestellt wurden:

name: Okta
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: https://example.com/auth/complete/saml
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
 saml_technical_contact:
   givenName: Name of Your Technical Contact
   emailAddress: email@my_technical_contact.com
saml_support_contact:
  givenName: Name of Your Support Contact
  emailAddress: email@my_support_contact.com
saml_security_config:
  wantAttributeStatement: False
saml_enabled_idps:
  okta:
    entity_id: https://www.okta.com/your_organization_id
    attr_user_permanent_id: Your organization's permanent ID
    attr_email: email@my_email_with_identity_provider.com
    attr_username: Your organization's username for the IdP
    url: https://example.okta.com/app/your_organization_id
    x509cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----
    saml_sp_private_key: |
      -----BEGIN PRIVATE KEY-----
      Insert private key block of text here
      -----END PRIVATE KEY-----
    saml_sp_public_cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----

OIDC-Beispielkonfigurationsdatei für Google

Ersetzen Sie den Platzhaltertext im folgenden Beispiel durch die Informationen, die von Ihrem Identitätsdienstanbieter bereitgestellt wurden:

name: Name of Your Organization
backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect
settings:
  base_uri: example.com
  google_openidconnect_key: your_id.apps.googleusercontent.com
  google_openidconnect_secret: your_secret

Aktualisieren einer SSO-Konfiguration über die Befehlszeile (CLI)

So aktualisieren Sie einen Konfigurationsstandard über die CLI:

  1. Melden Sie sich als RaaS-Benutzer an:
    sudo su raas
  2. Navigieren Sie zu dem Verzeichnis, in dem Sie die Konfigurationsdatei gespeichert haben. Aktualisieren Sie die Konfigurationsdatei nach Bedarf.
  3. Speichern Sie die Konfigurationsdatei mit dem folgenden Befehl:
    raas save_sso_config <filepath>

Löschen einer SSO-Konfiguration über die Befehlszeile (CLI)

Wenn der Zugriff auf die Benutzeroberfläche von SaltStack Config verfügbar ist, empfiehlt es sich, eine SSO-Konfiguration über die Benutzeroberfläche zu löschen. Bei Bedarf können Sie eine SSO-Konfiguration jedoch auch über die API (RaaS) löschen.

Zum Löschen einer SSO-Konfiguration müssen Sie den Platzhalter finden, der der Konfiguration zugewiesen ist, welche Sie löschen möchten. Der Platzhalter ist ein Stellvertreter für den Namen der Konfiguration, getrennt durch einen Bindestrich (-) und vollständig in Kleinbuchstaben geschrieben. Beispiel: name-of-your-organization. Für SAML mit Google lautet der Platzhalter google.

  1. Generieren Sie in der API (RaaS) mithilfe des folgenden Befehls eine Liste Ihrer SSO-Backends:
    client.api.settings.get_sso_backends()
  2. Suchen Sie in der Liste der SSO-Backends den Platzhalter für die Konfiguration, die Sie löschen möchten. Geben Sie dann den folgenden Befehl ein, indem Sie den Platzhaltertext durch den Platzhalter für Ihre Konfiguration ersetzen:
    client.api.settings.delete_sso_config('slug-for-your-configuration')