Antes de crear una nueva configuración de SAML para SaltStack Config, lea estos pasos para asegurarse de estar familiarizado con el proceso de configuración.

Pasos previos a la configuración

Antes de configurar SAML en SaltStack Config:

  • Instale el proveedor de identidad (Identity Provider, IdP) de SAML y asegúrese de que esté en ejecución. Este tema no proporcionará instrucciones para la instalación de ningún IdP. Póngase en contacto con el administrador de IdP para obtener ayuda.
  • Asegúrese de tener acceso a las credenciales y los datos de configuración que proporciona el IdP. Además, consulte la siguiente sección para saber cómo Crear un certificado de proveedor de servicios.

Crear un certificado de proveedor de servicios

Debe generar un certificado para agregar SaltStack Config como un proveedor de servicios aprobado con su IdP. El proveedor de servicios de SaltStack Config necesita un par de claves RSA. Introduzca los valores de clave privada y pública en varios lugares al configurar SAML para SaltStack Config.

Nota: Este par de claves se puede generar en cualquier sistema. No es necesario crearlo en el servidor SSE. Estos comandos se ejecutan en cualquier sistema con utilidades openssl instaladas. Como alternativa, se puede utilizar Salt para generar el certificado autofirmado. Consulte la documentación para Crear certificados autofirmados con el módulo Salt de TLS.

Para crear el certificado:

  1. Genere una clave privada, llamada cert.perm, con el siguiente comando:
    openssl genrsa -out cert.pem 2048
  2. Cree la clave pública asociada a la clave privada que acaba de crear en el paso anterior. El siguiente comando lo guiará a través del proceso:
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. A medida que se ejecute este comando, responda las indicaciones necesarias, por ejemplo:
    • Nombre de país
    • Nombre de estado o provincia
    • Nombre de localidad o ciudad
    • Nombre de organización o empresa
    • Nombre de unidad organizativa
    • Nombre de host de servidor
    • Dirección de correo electrónico

Ya tiene el par de claves pública y privada que se utilizará en la configuración de SAML. Registre los pares de claves pública y privada para acceder a estos fácilmente al resolver el resto del proceso de configuración. Vaya a la siguiente sección para obtener instrucciones sobre cómo Establecer una configuración de SAML.

Establecer una configuración de SAML

Antes de completar los pasos de esta sección, asegúrese de que generó las claves pública y privada para SaltStack Config como su proveedor de servicios. Para obtener más instrucciones, consulte Crear un certificado de proveedor de servicios.

Para configurar el SSO de SAML con el IdP preferido de su organización en SaltStack Config:

  1. Haga clic en Administración > Autenticación en el menú lateral.
  2. Haga clic en Crear.
  3. En el menú Tipo de configuración, seleccione SAML.

    El área de trabajo mostrará los ajustes admitidos para el tipo de configuración SAML.

  4. En la pestaña Configuración, complete los siguientes campos con la información de su instalación de SaltStack Config:
    • Nombre
    • URI base
    • Identificador de entidad
    • Nombre de empresa
    • Nombre para mostrar
    • Sitio web
    Nota: Para obtener descripciones de estos campos, consulte Campos de información de SAML.
  5. En el campo Clave privada, copie la clave privada que generó cuando creó el certificado de proveedor de servicios para SaltStack Config. Para obtener más información, consulte Crear un certificado de proveedor de servicios.
  6. En el campo Clave pública, copie la clave pública que generó cuando creó el certificado de proveedor de servicios para SaltStack Config.
  7. Rellene los campos con la información de contacto relevante de su:
    • Contacto técnico
    • Contacto de soporte
  8. En la sección Información de proveedor, complete los siguientes campos con los metadatos de su proveedor de identidad (IdP):
    • Identificador de entidad
    • Identificador de usuario
    • Correo electrónico
    • Nombre de usuario
    • URL
    • Certificado x509
    Nota: ADFS, Azure AD y SAML de Google son ejemplos de proveedores de identidad comunes. Rellene estos campos con la información que proporciona su IdP. Para obtener más información sobre estos campos, consulte Campos de información de SAML.
  9. OPCIONAL: Active la casilla Comprobación de instrucciones de atributos si desea que SaltStack Config verifique las instrucciones de atributos de SAML para los perfiles de usuario. Esta opción está activada de forma predeterminada.
  10. Haga clic en Guardar.

La configuración de SAML para SaltStack Config se completó. Vaya a la siguiente sección para obtener instrucciones sobre cómo Configurar el IdP con información del proveedor de servicios.

Configurar el IdP con información del proveedor de servicios

Antes de completar los pasos de esta sección, asegúrese de haber configurado SAML en SaltStack Config primero. Para obtener más información, consulte las instrucciones sobre cómo Establecer una configuración de SAML.

Para completar la configuración de SAML, el proveedor de identidad necesita dos datos importantes:

  • La URL de AssertionCustomerService
  • El certificado público x509 (clave pública) que generó al crear el certificado de proveedor de servicios para SaltStack Config. Para obtener más información, consulte Crear un certificado de proveedor de servicios.

La URL de AssertionCustomerService es la dirección web que el proveedor de servicios utiliza para aceptar artefactos y mensajes de SAML al establecer una aserción de identidad. En este caso, SaltStack Config es el proveedor de servicios.

A continuación, se muestra un ejemplo del formato típico para la URL de AssertionCustomerService: https://<your-sse-hostname>/auth/complete/saml

Después de proporcionar estos datos al IdP, vaya a la siguiente sección para obtener instrucciones sobre cómo Crear asignaciones de atributos.

Crear asignaciones de atributos

SaltStack Config extrae información sobre el usuario de la aserción de SAML entrante. Por ese motivo, el IdP debe asegurarse de que los valores requeridos se envíen como atributos adicionales. El proceso para asignar estos atributos es específico de cada proveedor de identidad SAML. Para obtener ayuda con la creación de asignaciones de atributos, consulte la documentación del IdP o póngase en contacto con el administrador.

SaltStack Config necesita definir los siguientes atributos del usuario:

  • Identificador de usuario
  • Correo electrónico
  • Nombre de usuario

Muchas organizaciones asignarán los tres valores a un solo atributo: la dirección de correo electrónico del usuario. Generalmente, se utiliza la dirección de correo electrónico del usuario debido a que suele ser única en una organización.

Configurar RBAC para SAML

SaltStack Config admite la creación de funciones y permisos para los usuarios con varias funciones. RBAC para SAML se administra de la misma manera que se administran los usuarios cuyas credenciales se almacenan de forma nativa en SaltStack Config en el servidor de API (RaaS). Para obtener más información sobre el área de trabajo Funciones, consulte Funciones y permisos.

Después de crear las funciones, puede agregar usuarios de SAML y asignarlos a funciones. Para obtener más información, consulte la siguiente sección sobre cómo Agregar usuarios.

Agregar usuarios

De forma predeterminada, los usuarios nuevos se registran en SaltStack Config únicamente después de que un usuario inicia sesión correctamente por primera vez con SAML. Como alternativa, puede agregar usuarios manualmente para registrar de forma previa estos usuarios en SaltStack Config.

Para agregar usuarios manualmente:

  1. En el área de trabajo Autenticación, seleccione la configuración de SAML en la lista de Configuraciones de autenticación para abrir las opciones de configuración.
  2. En las opciones de configuración, haga clic en la pestaña Usuario.
  3. Haga clic en el botón Crear.
  4. En el campo Nombre de usuario, introduzca las credenciales del usuario que desea agregar. Este nombre de usuario debe ser idéntico al nombre de usuario de SAML asignado.
    Nota: Asegúrese de que este nombre de usuario sea preciso. Una vez creado el usuario, no se puede cambiar ni modificar su nombre de usuario.
  5. En el campo Funciones, seleccione las funciones a las que desea agregar el usuario. Todos los usuarios nuevos se agregan a la función Usuario de forma predeterminada. Para obtener más información, consulte Configurar RBAC para SAML.
  6. Haga clic en Guardar.
    Nota: Una vez que se crea manualmente un usuario, solo se podrá eliminar antes de su primer inicio de sesión. Después de que el usuario inicia sesión por primera vez, el botón Eliminar sigue disponible en esta área de trabajo, pero ya no funciona.

Solucionar problemas y validar la configuración

Después de configurar SSO en SaltStack Config, intente iniciar sesión como un usuario típico para asegurarse de que el proceso de inicio de sesión funcione según lo esperado, y que las funciones y los permisos sean correctos.

Para solucionar posibles errores, intente lo siguiente:

  • Utilice la herramienta de seguimiento de SAML, que está disponible para los navegadores web Firefox y Chrome.
  • Consulte los mensajes de registro de /var/log/raas/raas.
Nota: No se pueden eliminar usuarios mediante la interfaz de usuario de SaltStack Config ni la API después del aprovisionamiento inicial con una autenticación SAML correcta.