Lesen Sie sich vor dem Erstellen einer neuen SAML-Konfiguration für SaltStack Config die folgenden Schritte durch, um sicherzustellen, dass Sie mit dem Konfigurationsvorgang vertraut sind.

Schritte vor der Konfiguration

Führen Sie vor dem Konfigurieren von SAML in SaltStack Config folgende Aufgaben durch:

  • Installieren Sie den SAML-Identitätsanbieter (IdP) und stellen Sie sicher, dass er ausgeführt wird. In diesem Thema erhalten Sie keine Anweisungen für die Installation eines Identitätsanbieters. Wenden Sie sich an Ihren IdP-Administrator.
  • Stellen Sie sicher, dass Sie Zugriff auf die vom Identitätsanbieter bereitgestellten Anmelde- und Konfigurationsdaten haben. Weitere Informationen finden Sie im folgenden Abschnitt Erstellen eines Dienstanbieterzertifikats.

Erstellen eines Dienstanbieterzertifikats

Sie müssen ein Zertifikat erzeugen, um SaltStack Config als genehmigten Dienstanbieter zu Ihrem Identitätsanbieter hinzuzufügen. Ihr SaltStack Config-Dienstanbieter benötigt ein RSA-Schlüsselpaar. Sie geben die Werte für den privaten und öffentlichen Schlüssel an mehreren Stellen ein, wenn Sie SAML für SaltStack Config konfigurieren.

Hinweis: Dieses Schlüsselpaar kann auf jedem System erzeugt werden. Es muss nicht auf dem SSE-Server erstellt werden. Diese Befehle werden auf jedem System ausgeführt, auf dem openssl-Dienstprogramme installiert sind. Alternativ können Sie Salt verwenden, um das selbstsignierte Zertifikat zu generieren. Weitere Informationen finden Sie in der Dokumentation zum Selbstsignieren von Zertifikaten mit dem TLS Salt-Modul.

So erstellen Sie das Zertifikat:

  1. Generieren Sie mithilfe des folgenden Befehls einen privaten Schlüssel mit der Bezeichnung „cert.perm“:
    openssl genrsa -out cert.pem 2048
  2. Erstellen Sie den öffentlichen Schlüssel, der mit dem privaten Schlüssel verknüpft ist, den Sie soeben im vorherigen Schritt erstellt haben. Der folgende Befehl führt Sie durch den Vorgang:
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. Reagieren Sie während der Ausführung dieses Befehls gegebenenfalls auf die Eingabeaufforderungen, wie z. B.:
    • Ländername
    • Name des Bundeslands/Kantons
    • Name des Ortes oder der Stadt
    • Name der Organisation oder des Unternehmens
    • Name der Organisationseinheit
    • Hostname des Servers
    • E-Mail-Adresse

Sie verfügen nun über das öffentlich-private Schlüsselpaar, das in Ihrer SAML-Konfiguration verwendet wird. Zeichnen Sie diese öffentliche-privaten Schlüsselpaare auf, um bei der weiteren Konfiguration schnell darauf zugreifen zu können. Fahren Sie mit dem nächsten Abschnitt fort, in dem Sie Anweisungen zum Einrichten einer SAML-Konfiguration erhalten.

Einrichten einer SAML-Konfiguration

Stellen Sie vor dem Ausführen der Schritte in diesem Abschnitt sicher, dass Sie die öffentlichen und privaten Schlüssel für SaltStack Config als Ihren Dienstanbieter erzeugt haben. Weitere Anweisungen finden Sie unter Erstellen eines Dienstanbieterzertifikats.

So richten Sie SAML-SSO unter Verwendung des bevorzugten Identitätsanbieters Ihrer Organisation in SaltStack Config ein:

  1. Klicken Sie im seitlichen Menü auf Verwaltung > Authentifizierung.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie im Menü Konfigurationstyp die Option SAML aus.

    Im Arbeitsbereich werden die unterstützten Einstellungen für den SAML-Konfigurationstyp angezeigt.

  4. Geben Sie auf der Registerkarte Einstellungen in den folgenden Feldern Informationen zu Ihrer SaltStack Config-Installation ein:
    • Name
    • Basis-URI
    • Element-ID
    • Firmenname
    • Anzeigename
    • Website
    Hinweis: Beschreibungen dieser Felder finden Sie unter SAML-Informationsfelder.
  5. Kopieren Sie im Feld Privater Schlüssel den privaten Schlüssel, den Sie beim Erstellen des Dienstanbieterzertifikats für SaltStack Config erzeugt haben. Weitere Informationen finden Sie unter Erstellen eines Dienstanbieterzertifikats.
  6. Kopieren Sie im Feld Öffentlicher Schlüssel den öffentlichen Schlüssel, den Sie beim Erstellen des Dienstanbieterzertifikats für SaltStack Config erzeugt haben.
  7. Vervollständigen Sie die Felder mit den relevanten Kontaktinformationen für:
    • Kontaktperson im technischen Bereich
    • Support-Kontakt
  8. Geben Sie in den folgenden Feldern im Abschnitt Anbieterinformationen die Metadaten Ihres Identitätsanbieters (IdP) ein:
    • Element-ID
    • Benutzer-ID
    • E-Mail
    • Benutzername
    • URL
    • x509-Zertifikat
    Hinweis: ADFS, Azure AD und Google SAML sind Beispiele gängiger Identitätsanbieter. Sie geben in diesen Feldern Informationen ein, die von Ihrem Identitätsanbieter bereitgestellt werden. Weitere Informationen zu diesen Feldern finden Sie in den SAML-Informationsfeldern.
  9. OPTIONAL: Aktivieren Sie das Kontrollkästchen Attributanweisung, wenn SaltStack Config die SAML-Attributanweisungen für Benutzerprofile überprüfen soll. Diese Option ist standardmäßig aktiviert.
  10. Klicken Sie auf Speichern.

Die SAML-Konfiguration für SaltStack Config ist jetzt abgeschlossen. Fahren Sie mit dem nächsten Abschnitt fort, um Anweisungen zum Konfigurieren des Identitätsanbieters mit Dienstanbieterinformationen zu erhalten.

Konfigurieren des Identitätsanbieters mit Dienstanbieterinformationen

Stellen Sie vor dem Durchführen der Schritte in diesem Abschnitt sicher, dass Sie SAML zuerst in SaltStack Config konfiguriert haben. Weitere Informationen finden Sie in den Anweisungen zum Einrichten einer SAML-Konfiguration.

Zum Abschließen Ihrer SAML-Konfiguration benötigt der Identitätsanbieter folgende wichtige Daten:

  • Die AssertionCustomerService-URL
  • Das öffentliche (x509) Zertifikat (öffentlicher Schlüssel), das Sie beim Erstellen des Dienstanbieterzertifikats für SaltStack Config erzeugt haben. Weitere Informationen finden Sie unter Erstellen eines Dienstanbieterzertifikats.

Bei der AssertionCustomerService-URL handelt es sich um die Webadresse, die vom Dienstanbieter zum Akzeptieren von SAML-Nachrichten und -Artefakten verwendet wird, wenn Sie eine Identitäts-Assertion einrichten. In diesem Fall fungiert SaltStack Config als Dienstanbieter.

Im Folgenden finden Sie ein Beispiel für das typische Format der AssertionCustomerService-URL: https://<your-sse-hostname>/auth/complete/saml

Nachdem Sie Ihrem Identitätsdienst diese Daten bereitgestellt haben, fahren Sie mit dem nächsten Abschnitt fort, um Anweisungen zum Erstellen von Attributzuordnungen zu erhalten.

Erstellen von Attributzuordnungen

SaltStack Config ruft Informationen über den Benutzer aus der eingehenden SAML-Assertion ab. Aus diesem Grund muss der Identitätsdienstanbieter sicherstellen, dass die erforderlichen Werte als zusätzliche Attribute gesendet werden. Der Vorgang zum Zuordnen dieser Attribute ist für jeden SAML-Identitätsanbieter spezifisch. Wenn Sie Unterstützung beim Erstellen von Attributzuordnungen benötigen, lesen Sie die Dokumentation Ihres Identitätsdienstanbieters oder wenden Sie sich an den Administrator.

SaltStack Config muss die folgenden Attribute des Benutzers definieren:

  • Benutzer-ID
  • E-Mail
  • Benutzername

Viele Organisationen ordnen alle drei Werte einem einzigen Attribut zu: der E-Mail-Adresse des Benutzers. Die E-Mail-Adresse des Benutzers wird häufig verwendet, da sie in der Regel organisationsübergreifend eindeutig ist.

Konfigurieren von RBAC für SAML

SaltStack Config bietet Unterstützung für das Erstellen von Rollen und Berechtigungen für Benutzer in verschiedenen Rollen. RBAC für SAML wird auf dieselbe Weise verwaltet wie Benutzer, deren Anmeldedaten nativ in SaltStack Config auf dem API-Server (RaaS) gespeichert werden. Weitere Informationen zum Arbeitsbereich „Rollen“ finden Sie unter Rollen und Berechtigungen.

Nach dem Erstellen von Rollen können Sie SAML-Benutzer hinzufügen und diesen Rollen zuweisen. Weitere Informationen finden Sie im folgenden Abschnitt Hinzufügen von Benutzern.

Hinzufügen von Benutzern

Standardmäßig werden neue Benutzer erst nach der ersten erfolgreichen Anmeldung mit SAML in SaltStack Config registriert. Alternativ können Sie Benutzer manuell hinzufügen, um diese Benutzer vorab in SaltStack Config zu registrieren.

So fügen Sie Benutzer manuell hinzu:

  1. Wählen Sie im Arbeitsbereich „Authentifizierung“ Ihre SAML-Konfiguration in der Liste der Authentifizierungskonfigurationen aus, um die Konfigurationseinstellungen zu öffnen.
  2. Klicken Sie in den Konfigurationseinstellungen auf die Registerkarte Benutzer.
  3. Klicken Sie auf die Schaltfläche Erstellen.
  4. Geben Sie Feld Benutzername die Anmeldedaten für den hinzuzufügenden Benutzer ein. Dieser Benutzername muss mit dem zugewiesenen SAML-Benutzernamen identisch sein.
    Hinweis: Stellen Sie sicher, dass dieser Benutzername korrekt ist. Sobald ein Benutzer erstellt wurde, kann der Benutzername nicht mehr geändert oder umbenannt werden.
  5. Wählen Sie im Feld Rollen alle Rollen aus, die dem Benutzer hinzugefügt werden sollen. Die Rolle „Benutzer“ wird allen neuen Benutzern standardmäßig hinzugefügt. Weitere Informationen finden Sie unter Konfigurieren von RBAC für SAML.
  6. Klicken Sie auf Speichern.
    Hinweis: Nachdem ein Benutzer manuell erstellt wurde, kann er lediglich vor der ersten Anmeldung gelöscht werden. Nachdem sich der Benutzer erstmalig angemeldet hat, steht die Schaltfläche „Löschen“ in diesem Arbeitsbereich weiterhin zur Verfügung, funktioniert aber nicht mehr.

Fehlerbehebung und Validierung der Konfiguration

Melden Sie sich nach der Konfiguration von SSO in SaltStack Config als typischer Benutzer an, um sicherzustellen, dass der Anmeldevorgang erwartungsgemäß funktioniert und die Rollen und Berechtigungen korrekt sind.

Zur Behebung potenzieller Fehler, gehen Sie folgendermaßen vor:

  • Verwenden des SAML-Tracer-Tools, das für Firefox- und Chrome-Webbrowser verfügbar ist.
  • Anzeigen der /var/log/raas/raas-Protokollmeldungen.
Hinweis: Benutzer können nach der Erstbereitstellung mit erfolgreicher SAML-Authentifizierung weder über die SaltStack Config-Benutzeroberfläche noch mithilfe der API gelöscht werden.