È possibile utilizzare l'area di lavoro Autenticazione per configurare SSO in SaltStack Config affinché funzioni con un sistema di autenticazione compatibile con il protocollo SAML.

Nota: Se necessario, è possibile utilizzare più sistemi alla volta per eseguire l'autenticazione degli utenti in SaltStack Config. Ad esempio, è possibile utilizzare sia un provider di identità basato su SAML sia un provider di identità basato su LDAP archiviando contemporaneamente alcune credenziali utente in modo nativo nel server RaaS. Tuttavia, SaltStack Config non consente di configurare più di due provider SAML o due provider LDAP contemporaneamente.

Informazioni su SSO SAML

Single Sign-On (SSO) SAML è una funzionalità che viene configurata da molte organizzazioni durante l'implementazione di SaltStack Config. SSO offre molti vantaggi, tra cui:

  • Ridurre il tempo impiegato dagli utenti per accedere ai servizi con la stessa identità. Dopo aver effettuato l'accesso a uno dei servizi di un'organizzazione, gli utenti vengono autenticati automaticamente in qualsiasi altro servizio che utilizza SSO.
  • Riduzione del numero di password. L'utente deve ricordare un solo set di credenziali.

Molti servizi forniscono implementazioni del protocollo SSO SAML, tra cui ADFS, OneLogin, Okta, SimpleSAMLPHP, Google Suite e molti altri.

Funzionamento di SSO SAML con SaltStack Config

Quando SaltStack Config riceve un'asserzione di identità corretta da una delle integrazioni di autenticazione supportate, cerca un accesso utente che corrisponda al valore dell'identità con asserzione. Se trova un accesso corrispondente, consente all'account utente associato di accedere.

Ad esempio, se SaltStack Config riceve un'asserzione ADFS per un utente e il valore dell'attributo di identità configurato è "fred", SSE cerca un accesso con il nome utente "fred". Se ne trova uno, consente all'utente associato di accedere. In caso contrario, l'accesso non riesce.

Terminologia dell'autenticazione SAML

Acronimo Definizione
SAML

Security Assertion Markup Language (SAML, si pronuncia SAM-el)

SAML è un protocollo aperto (noto anche come standard) per lo scambio di dati di autenticazione e autorizzazione tra le parti. In particolare, viene utilizzato per scambiare dati tra un provider di identità e un provider di servizi.

SAML è il Single Sign-On (SSO) basato sul browser. Tutte le comunicazioni avvengono tramite l'agente utente (il browser). Non esiste alcuna comunicazione tra un provider di servizi (ad esempio SaltStack Config) e un provider di identità (ad esempio Azure AD). Questa separazione consente l'autenticazione nei domini di sicurezza in cui il provider di servizi è in un dominio (probabilmente pubblico) e il provider di identità in un segmento di rete protetto distinto.

IdP

Provider di identità

L'obiettivo del provider di identità è identificare gli utenti in base alle credenziali. Un provider di identità è un software che fornisce un servizio conforme alla parte del provider di identità della specifica SAML. Il provider di identità fornisce in genere l'interfaccia della schermata di accesso e presenta ai provider di servizi informazioni sull'utente autenticato dopo che l'autenticazione è avvenuta correttamente.

Provider di identità di esempio:

  • ADFS
  • Azure AD
  • Google SAML
  • Shibboleth
  • Okta
  • OneLogin
  • PingFederated
  • SimpleSAMLPHP
SP

Provider di servizi o relying party

Un provider di servizi (SP, Service Provider) è in genere un sito Web che fornisce informazioni, strumenti, report e così via all'utente finale. Un provider di servizi è un software che fornisce un servizio conforme alla parte del provider di servizi della specifica SAML di SaltStack Config. Nei prodotti Microsoft (come Azure AD e ADFS), il provider di servizi è definito relying party.

In questo scenario, SaltStack Config è il provider di servizi. SaltStack Config accetta le asserzioni di autenticazione dal provider di identità e consente agli utenti di accedere.

Un provider di servizi non può eseguire l'autenticazione con un provider di identità a meno che non sia incluso nell'elenco dei servizi approvati. La configurazione di un provider di servizi con un elenco di provider di identità approvati fa parte del processo di configurazione.

SSO

Single Sign-On

Single Sign-On (SSO) è un sistema di autenticazione in cui l'utente non deve accedere a un secondo servizio perché le informazioni sull'utente autenticato vengono passate al servizio.

SLO

Single LogOut

Quando un utente si disconnette da un servizio, alcuni provider di identità possono di conseguenza disconnettere l'utente da tutti gli altri servizi in cui l'utente ha eseguito l'autenticazione.

SaltStack Config al momento non supporta SLO.

RBAC

Controllo degli accessi basato sui ruoli

Il controllo degli accessi basato sui ruoli, noto anche come "sicurezza basata sui ruoli", è una misura di controllo degli accessi avanzata che limita l'accesso alla rete in base al ruolo di una persona all'interno di un'organizzazione. I ruoli in RBAC si riferiscono ai livelli di accesso alla rete dei dipendenti.

I dipendenti possono solo accedere alle risorse di rete o eseguire le attività necessarie per adempiere efficacemente alle proprie mansioni. Ad esempio, i dipendenti di livello inferiore non hanno in genere accesso ai dati sensibili o alle risorse di rete se non ne hanno bisogno per eseguire le proprie attività.

SaltStack Config può supportare RBAC con le configurazioni SAML utilizzando l'area di lavoro Ruoli. Tuttavia, l'utente dovrà innanzitutto accedere a SaltStack Config per poter essere aggiunto come utente nel database degli utenti locali e gestito dall'area di lavoro Ruoli. Per ulteriori informazioni, vedere Configurazione del controllo degli accessi basato sui ruoli per SAML.