Bei der Konfiguration eines SAML-basierten Authentifizierungssystems für SaltStack Config müssen Sie verschiedene Informationsfelder ausfüllen. Zum Einrichten eines SAML-basierten Systems kann auch die API verwendet werden. Dies wird jedoch nicht empfohlen.
SAML-Informationsfelder
Alle Felder für SAML-Authentifizierungsinformationen müssen ausgefüllt werden. Geben Sie die Informationen für Ihre SAML-Authentifizierungskonfiguration wie folgt ein.
Wenn Sie Unterstützung beim Einrichten Ihrer Verbindung benötigen, wenden Sie sich an den Administrator.
Einfach
Feld |
Beschreibung |
---|---|
Name |
Der Name der von SSE verwendeten Authentifizierungsverbindung. Dieser Name wird in der Seitenleiste angezeigt, wenn Sie beim Arbeitsbereich „Authentifizierung“ angemeldet sind. Er sollte eindeutig sein, wenn Sie mehrere Konfigurationen einrichten. Dieser Name kann nach der anfänglichen Erstellung nicht mehr geändert werden. Beispiel: Acme SSO |
Basis-URI |
Die von Ihrer Organisation in SaltStack Config verwendete Basis-URL, die auch als Hostserveradresse bezeichnet wird. Diese wird entweder als FQDN oder als IP-Adresse formatiert, z. B. Beispiel: |
Element-ID |
Eine eindeutige ID für diesen SaltStack Config-Dienstanbieter. In SAML handelt es sich hierbei traditionell um eine URL-artige Zeichenfolge, doch jede Art von Zeichenfolge ist zulässig. Im Vergleich zu anderen von Ihrer Organisation verwendeten SAML-Anwendungen muss sie eindeutig sein. Achten Sie darauf, genau diese ID zu verwenden, wenn Sie SaltStack Config als Anwendung registrieren. Beispiel: |
Informationen zur Organisation
Feld |
Beschreibung |
---|---|
Firmenname |
Der Name Ihrer Organisation. |
Anzeigename |
Der Name, der als Name Ihrer Organisation angezeigt werden soll. |
Website |
Die URL für die Website Ihrer Organisation. Es kann sich um eine beliebige URL handeln; dies hat keinen Einfluss auf die SSO-Funktionalität. |
Privater Schlüssel |
Der von Ihnen generierte private Schlüssel, auch als „cert.pem“ bezeichnet. Dieser Schlüssel sollte im PEM-Format vorliegen. |
Öffentlicher Schlüssel |
Die von Ihnen generierten öffentlichen Schlüssel und Zertifikate, auch als „cert.pub“ bezeichnet. Dieser Schlüssel sollte im PEM-Format vorliegen. |
Kontaktperson im technischen Bereich
Feld |
Beschreibung |
---|---|
Name |
Der Name des Mitarbeiters, der in erster Linie für die Anwendung in Ihrer Organisation verantwortlich ist. Diese Informationen werden vom SAML-Protokoll benötigt und an den SAML-Anbieter weitergeleitet. SaltStack Config verwendet diese Informationen nicht direkt. |
|
Die E-Mail-Adresse der Kontaktperson im technischen Bereich. |
Support-Kontakt
Feld |
Beschreibung |
---|---|
Name |
Der Name eines Mitarbeiters, der kontaktiert werden kann, wenn die primäre Kontaktperson im technischen Bereich für die Anwendung nicht erreichbar ist. Diese Informationen werden vom SAML-Protokoll benötigt und an den SAML-Anbieter weitergeleitet. SaltStack Config verwendet diese Informationen nicht direkt. |
|
Die E-Mail-Adresse des Support-Kontakts. |
Informationen zum Anbieter
Feld |
Beschreibung |
---|---|
Element-ID |
Die Entitäts-ID des Identitätsanbieters (IdP). Beispiel für eine Azure AD-Entitäts-ID: |
Benutzer-ID |
Ein Verweis auf ein zugeordnetes SAML-Attribut, das die permanente Benutzer-ID enthält. |
|
Ein Verweis auf ein zugeordnetes SAML-Attribut, das die E-Mail-Adresse enthält. |
Benutzername |
Ein Verweis auf ein zugeordnetes SAML-Attribut, das den Benutzernamen enthält. |
URL |
Die URL, die für den Zugriff auf die SAML-Endpoints Ihres Identitätsanbieters verwendet wird. |
x509-Zertifikat |
Das Zertifikat im X.509-Format mit einem eingebetteten öffentlichen Schlüssel, generiert durch das System Ihres Identitätsanbieters. Dieser Schlüssel muss im PEM-Format vorliegen. |
Sicherheitsprüfungen
Feld |
Beschreibung |
---|---|
Attributanweisungsprüfung |
Aktivieren Sie dieses Kontrollkästchen, wenn SaltStack Config die SAML-Attributanweisungen auf Benutzerprofile überprüfen soll. |
Konfigurieren von SAML für die Befehlszeile (CLI)
In diesem Handbuch wird dringend empfohlen, SAML über die SaltStack Config-Benutzeroberfläche anstatt über die Befehlszeile zu konfigurieren. Diese Anweisungen sind als Referenz enthalten.
So richten Sie die meisten Konfigurationsstandards über die CLI ein:
- Melden Sie sich als RaaS-Benutzer an:
sudo su raas
- OPTIONAL: Dieser Schritt ist nur erforderlich, wenn Sie SaltStack Config manuell installiert haben. Installieren Sie die OpenSSL.xml-Datei auf dem RaaS-Server. Diese ist in den Dateien des Installationsprogramms enthalten. Verwenden Sie den folgenden Befehl:
yum install xmlsec1-openssl
Hinweis:RedHat hat xmlsec1 nicht ohne weiteres in allen Standardrepositorys verfügbar. Als eine Möglichkeit der Problemumgehung können Sie die RPMs von einem CentOS-Computer herunterladen und sie an RedHat übertragen.
- Navigieren Sie zu dem Verzeichnis, in dem Sie die Konfigurationsdatei speichern möchten. Jeder Verzeichnispfad ist akzeptabel.
- Erstellen Sie eine YAML-Datei mit den für Ihren Identitätsdienstanbieter erforderlichen Konfigurationsinformationen. Beispiele zum Formatieren dieser Konfigurationsdateien finden Sie in den Beispiel-Konfigurationsdateien.
Hinweis:
Beschreibungen der verschiedenen Felder finden Sie unter SAML-Informationsfelder.
- Führen Sie die Konfigurationsdatei mit den folgenden Befehlen aus:
raas save_sso_config <filepath>
Beispielkonfigurationsdateien
SAML-Beispielkonfigurationsdatei für Google
Ersetzen Sie den Platzhaltertext im folgenden Beispiel durch die Informationen, die von Ihrem Identitätsdienstanbieter bereitgestellt wurden:
name: Google backend: social_core.backends.saml.SAMLAuth settings: base_uri: https://example.com saml_sp_entity_id: raas saml_org_info: en-US: name: Name of Your Organization displayname: Display Name for Your Organization url: https://example.com saml_technical_contact: givenName: Name of Your Technical Contact emailAddress: email@my_technical_contact.com saml_support_contact: givenName: Name of Your Support Contact emailAddress: email@my_support_contact.com saml_enabled_idps: saml: entity_id: https://accounts.google.com/o/your_organization_id attr_user_permanent_id: Your organization's permanent ID attr_email: email@my_email_with_identity_provider.com attr_username: Your organization's username for the IdP url: https://accounts.google.com/o/saml2/your_organization_id x509cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE----- saml_sp_private_key: | -----BEGIN PRIVATE KEY----- Insert private key block of text here -----END PRIVATE KEY----- saml_sp_public_cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE-----
SAML-Beispielkonfigurationsdatei für Okta
Ersetzen Sie den Platzhaltertext im folgenden Beispiel durch die Informationen, die von Ihrem Identitätsdienstanbieter bereitgestellt wurden:
name: Okta backend: social_core.backends.saml.SAMLAuth settings: base_uri: https://example.com saml_sp_entity_id: https://example.com/auth/complete/saml saml_org_info: en-US: name: Name of Your Organization displayname: Display Name for Your Organization url: https://example.com saml_technical_contact: givenName: Name of Your Technical Contact emailAddress: email@my_technical_contact.com saml_support_contact: givenName: Name of Your Support Contact emailAddress: email@my_support_contact.com saml_security_config: wantAttributeStatement: False saml_enabled_idps: okta: entity_id: https://www.okta.com/your_organization_id attr_user_permanent_id: Your organization's permanent ID attr_email: email@my_email_with_identity_provider.com attr_username: Your organization's username for the IdP url: https://example.okta.com/app/your_organization_id x509cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE----- saml_sp_private_key: | -----BEGIN PRIVATE KEY----- Insert private key block of text here -----END PRIVATE KEY----- saml_sp_public_cert: | -----BEGIN CERTIFICATE----- Insert certificate block of text here -----END CERTIFICATE-----
OIDC-Beispielkonfigurationsdatei für Google
Ersetzen Sie den Platzhaltertext im folgenden Beispiel durch die Informationen, die von Ihrem Identitätsdienstanbieter bereitgestellt wurden:
name: Name of Your Organization backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect settings: base_uri: example.com google_openidconnect_key: your_id.apps.googleusercontent.com google_openidconnect_secret: your_secret
Aktualisieren einer SSO-Konfiguration über die Befehlszeile (CLI)
So aktualisieren Sie einen Konfigurationsstandard über die CLI:
- Melden Sie sich als RaaS-Benutzer an:
sudo su raas
- Navigieren Sie zu dem Verzeichnis, in dem Sie die Konfigurationsdatei gespeichert haben. Aktualisieren Sie die Konfigurationsdatei nach Bedarf.
- Speichern Sie die Konfigurationsdatei mit dem folgenden Befehl:
raas save_sso_config <filepath>
Löschen einer SSO-Konfiguration über die Befehlszeile (CLI)
Wenn der Zugriff auf die Benutzeroberfläche von SaltStack Config verfügbar ist, empfiehlt es sich, eine SSO-Konfiguration über die Benutzeroberfläche zu löschen. Bei Bedarf können Sie eine SSO-Konfiguration jedoch auch über die API (RaaS) löschen.
Zum Löschen einer SSO-Konfiguration müssen Sie den Platzhalter finden, der der Konfiguration zugewiesen ist, welche Sie löschen möchten. Der Platzhalter ist ein Stellvertreter für den Namen der Konfiguration, getrennt durch einen Bindestrich (-
) und vollständig in Kleinbuchstaben geschrieben. Beispiel: name-of-your-organization. Für SAML mit Google lautet der Platzhalter google
.
- Generieren Sie in der API (RaaS) mithilfe des folgenden Befehls eine Liste Ihrer SSO-Backends:
client.api.settings.get_sso_backends()
- Suchen Sie in der Liste der SSO-Backends den Platzhalter für die Konfiguration, die Sie löschen möchten. Geben Sie dann den folgenden Befehl ein, indem Sie den Platzhaltertext durch den Platzhalter für Ihre Konfiguration ersetzen:
client.api.settings.delete_sso_config('slug-for-your-configuration')