Es posible utilizar el área de trabajo Autenticación para configurar el inicio de sesión único (Single Sign-On, SSO) en SaltStack Config de modo que funcione con un sistema de autenticación compatible con el protocolo SAML.
Acerca de SSO para SAML
El inicio de sesión único de SAML es una funcionalidad que muchas organizaciones configuran durante la implementación de SaltStack Config. SSO ofrece muchas ventajas, incluidas las siguientes:
- Se reduce el tiempo que los usuarios dedican a iniciar sesión en los servicios con la misma identidad. Una vez que los usuarios inician sesión en uno de los servicios de una institución, se autentican automáticamente en cualquier otro servicio que utilice SSO.
- Se reduce el agotamiento de contraseñas. El usuario solo debe recordar un conjunto de credenciales en lugar de varios.
Muchos servicios proporcionan implementaciones del protocolo SSO de SAML, incluidos ADFS, OneLogin, Okta, Shibboleth, SimpleSAMLPHP, Google Suite y más.
Funcionamiento de SSO para SAML con SaltStack Config
Cuando SaltStack Config recibe una aserción de identidad correcta de alguna de sus integraciones de autenticación admitidas, busca un inicio de sesión de usuario que coincida con el valor de la identidad afirmada. Si encuentra un inicio de sesión que coincide, inicia sesión en la cuenta de usuario asociada.
Por ejemplo, si SaltStack Config recibe una aserción de ADFS para un usuario y el valor del atributo de identidad configurado es “fred”, SSE buscará un inicio de sesión con un nombre de usuario “fred”. Si se encuentra uno, el usuario asociado inicia sesión. De lo contrario, se produce un error en el inicio de sesión.
Terminología de autenticación de SAML
| Acrónimo | Definición |
|---|---|
| SAML | Lenguaje de marcado de aserción de seguridad (SAML, SAM-el) SAML es un protocolo abierto (también conocido como estándar) para intercambiar datos de autenticación y autorización entre partes. En particular, se utiliza para intercambiar datos entre un proveedor de identidades y un proveedor de servicios. SAML es un inicio de sesión único (Single Sign-On, SSO) basado en navegador. Todas las comunicaciones se realizan a través del agente de usuario (el navegador). No existe comunicación entre un proveedor de servicios (como SaltStack Config) y un proveedor de identidad (como Azure AD). Esta separación permite que la autenticación se realice en dominios de seguridad en los que un proveedor de servicios puede estar en un dominio (posiblemente público) y el proveedor de identidad en un segmento de red protegido separado. |
| IdP | Proveedor de identidad El trabajo del IdP es identificar los usuarios en función de las credenciales. Un proveedor de identidad es un software mediante el cual se proporciona un servicio que cumple con la parte de proveedor de identidad de la especificación SAML. El IdP generalmente proporciona la interfaz de pantalla de inicio de sesión y presenta información sobre el usuario autenticado a los proveedores de servicios después de la autenticación correcta. Proveedores de identidad de muestra:
|
| SP | Proveedor de servicios o usuario de confianza Generalmente, un proveedor de servicios (Service Provider, SP) es un sitio web que proporciona información, herramientas, informes, etc. al usuario final. Un proveedor de servicios es un software mediante el cual se proporciona un servicio que cumple con la parte de proveedor de servicios de la especificación SAML de SaltStack Config. Los productos de Microsoft (como Azure AD y ADFS) llaman usuario de confianza al SP. En este escenario, SaltStack Config es el proveedor de servicios. SaltStack Config acepta las aserciones de autenticación del IdP y permite que los usuarios inicien sesión. Un SP no puede autenticarse con un IdP a menos que se incluya en la lista de servicios aprobados. La configuración de un SP con una lista de IdP aprobados es parte del proceso de configuración. |
| SSO | Inicio de sesión único El inicio de sesión único es un sistema de autenticación en el que no es necesario que un usuario inicie sesión en un segundo servicio, ya que la información del usuario autenticado se transmite al servicio. |
| SLO | Cierre de sesión único Cuando un usuario cierra sesión en un servicio, algunos IdP pueden cerrar posteriormente la sesión de usuario en todos los demás servicios en los que se autenticó el usuario. Actualmente, SaltStack Config no es compatible con SLO. |
| RBAC | Control de acceso basado en funciones El control de acceso basado en funciones, también conocido como seguridad basada en funciones, es una medida de control de acceso avanzado que restringe el acceso a la red según la función de una persona dentro de una organización. Las funciones en RBAC hacen referencia a los niveles de acceso que los empleados tienen a la red. Solo se permite que los empleados accedan a los recursos de red o realicen las tareas necesarias para ejecutar de forma efectiva sus deberes laborales. Por ejemplo, los empleados de menor nivel generalmente no tienen acceso a datos confidenciales ni recursos de red si no los necesitan para cumplir con sus responsabilidades. SaltStack Config admite la configuración de RBAC con SAML mediante el área de trabajo Funciones. Sin embargo, el usuario primero debe iniciar sesión en SaltStack Config para ser agregado como usuario a la base de datos de usuarios local y ser administrado mediante el área de trabajo Funciones. Para obtener más información, consulte Configurar RBAC para SAML. |
