Sie können den Arbeitsbereich „Authentifizierung“ verwenden, um SSO in SaltStack Config für die Zusammenarbeit mit einem Authentifizierungssystem zu konfigurieren, das mit dem SAML-Protokoll kompatibel ist.
Informationen zu SAML-SSO
SAML-SSO (Single Sign-On) ist eine Funktion, die von vielen Organisationen während der Implementierung von SaltStack Config konfiguriert wird. Zu den zahlreichen Vorteilen von SSO gehören:
- Benutzer benötigen weniger Zeit zur Anmeldung bei Diensten mit derselben Identität. Benutzer werden nach der Anmeldung bei einem der Dienste in einer Einrichtung automatisch bei jedem weiteren Dienst authentifiziert, der SSO verwendet.
- Weniger verschiedene Kennwörter. Der Benutzer muss sich nur einen Anmeldedatensatz anstelle mehrerer Datensätze merken.
Viele Dienste stellen Implementierungen des SAML-SSO-Protokolls zur Verfügung, einschließlich ADFS, OneLogin, Okta, Shibboleth, SimpleSAMLPHP, Google Suite usw.
Zusammenarbeit zwischen SAML-SSO und SaltStack Config
Wenn SaltStack Config eine erfolgreiche Identitäts-Assertion von einer der unterstützten Authentifizierungsintegrationen empfängt, wird nach einer Benutzeranmeldung gesucht, die dem Wert der bestätigten Identität entspricht. Wenn eine passende Anmeldung gefunden wird, erfolgt die Anmeldung beim verknüpften Benutzerkonto.
Beispiel: Wenn SaltStack Config beispielsweise eine ADFS-Assertion für einen Benutzer empfängt und der Wert für das konfigurierte Identitätsattribut „fred“ lautet, sucht SSE nach einer Anmeldung mit dem Benutzernamen „fred“. Nach Auffinden einer Anmeldung wird der verknüpfte Benutzer angemeldet. Ansonsten schlägt die Anmeldung fehl.
Terminologie der SAML-Authentifizierung
| Akronym | Definition |
|---|---|
| SAML | Security Assertion Markup Language (SAML, ausgesprochen SAM-el) SAML ist ein offenes Protokoll (gelegentlich auch als Standard bezeichnet) für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Beteiligten. Insbesondere wird dieses Protokoll für den Austausch von Daten zwischen einem Identitäts- und Dienstanbieter verwendet. Bei SAML handelt es sich um browserbasiertes Single Sign-On (SSO). Die gesamte Kommunikationen erfolgt über den Benutzeragenten (den Browser). Zwischen einem Dienstanbieter (z. B. SaltStack Config) und einem Identitätsanbieter (z. B. Azure AD) findet keine Kommunikation statt. Diese Trennung ermöglicht Authentifizierung zwischen Sicherheitsdomänen, in denen sich ein Dienstanbieter in einer (möglicherweise öffentlichen) Domäne und der Identitätsanbieter in einem separaten, gesicherten Netzwerksegment befinden kann. |
| IdP | Identitätsanbieter Der Auftrag des IdP besteht darin, Benutzer auf Basis von Anmeldedaten anzugeben. Bei einem Identitätsanbieter handelt es sich um Software zur Bereitstellung eines Diensts, der dem Identitätsanbieteranteil der SAML-Spezifikation entspricht. Der Identitätsanbieter stellt in der Regel den Anmeldebildschirm bereit und zeigt Dienstanbietern nach erfolgreicher Authentifizierung Informationen über den authentifizierten Benutzer an. Beispielidentitätsanbieter:
|
| SP | Dienstanbieter oder vertrauende Seite Bei einem Dienstanbieter (SP, Service Provider) handelt es sich in der Regel um eine Website, auf der dem Endbenutzer Informationen, Tools, Berichte usw. bereitgestellt werden. Bei einem Dienstanbieter handelt es sich um Software zur Bereitstellung eines Diensts, der dem Dienstanbieteranteil der SAML-Spezifikation SaltStack Config entspricht. Microsoft-Produkte (wie z. B. Azure AD und ADFS) bezeichnen den Dienstanbieter als vertrauende Seite. In diesem Szenario fungiert SaltStack Config als Dienstanbieter. SaltStack Config akzeptiert Authentifizierungs-Assertionen vom Identitätsanbieter und ermöglicht Benutzern die Anmeldung. Ein Dienstanbieter kann sich nicht mit einem Identitätsanbieter authentifizieren, es sei denn, er ist in der Liste der genehmigten Dienste enthalten. Das Konfigurieren eines Dienstanbieters mit einer Liste genehmigter Identitätsanbieter ist Teil des Konfigurationsvorgangs. |
| SSO | Single Sign-On Single Sign-On ist ein Authentifizierungssystem, bei dem sich ein Benutzer nicht bei einem zweiten Dienst anmelden muss, da Informationen über den authentifizierten Benutzer an den Dienst übergeben werden. |
| SLO | Einmaliges Abmelden Wenn sich ein Benutzer von einem Dienst abmeldet, können bestimmte Identitätsanbieter den Benutzer anschließend von allen anderen Diensten abmelden, bei denen sich der Benutzer authentifiziert hat. SaltStack Config bietet aktuell keine Unterstützung für einmaliges Abmelden (Single Logout, SLO). |
| RBAC | Rollenbasierte Zugriffssteuerung Rollenbasierte Zugriffssteuerung, die auch als rollenbasierte Sicherheit bezeichnet wird, ist eine erweiterte Maßnahme der Zugriffssteuerung zum Einschränken des Netzwerkzugriffs basierend auf der Rolle einer Person innerhalb einer Organisation. Die Rollen in der rollenbasierten Zugriffssteuerung beziehen sich auf die Zugriffsebenen der Mitarbeiter im Netzwerk. Mitarbeiter dürfen nur auf die Netzwerkressourcen zugreifen oder Aufgaben ausführen, die für eine effektive Ausführung ihrer betrieblichen Aufgaben erforderlich sind. Beispielsweise haben Mitarbeiter der unteren Ebenen in der Regel keinen Zugriff auf vertrauliche Daten oder Netzwerkressourcen, wenn sie diese nicht zur Erfüllung ihrer Aufgaben benötigen. SaltStack Config kann RBAC mit SAML-Konfigurationen unter Verwendung des Arbeitsbereichs „Rollen“ unterstützen. Der Benutzer muss sich jedoch zuerst bei SaltStack Config anmelden, um als Benutzer zur lokalen Benutzerdatenbank hinzugefügt und vom Arbeitsbereich „Rollen“ verwaltet werden zu können. Weitere Informationen finden Sie unter Konfigurieren von RBAC für SAML. |
