Prima di creare una nuova configurazione SAML per SaltStack Config, leggere i seguenti passaggi per assicurarsi di conoscere il processo di configurazione.

Passaggi di preconfigurazione

Prima di configurare SAML in SaltStack Config:

  • Installare il provider di identità SAML e assicurarsi che sia in esecuzione. In questo argomento non verranno fornite istruzioni per l'installazione di alcun provider di identità. Contattare l'amministratore del provider di identità per ricevere assistenza.
  • Assicurarsi di poter accedere alle credenziali e ai dati di configurazione forniti dal provider di identità. Vedere inoltre la sezione seguente: Creazione di un certificato del provider di servizi.

Creazione di un certificato del provider di servizi

È necessario generare un certificato per aggiungere SaltStack Config come provider di servizi approvato con il provider di identità. Il provider di servizi SaltStack Config deve disporre di una coppia di chiavi RSA. I valori delle chiavi privata e pubblica vengono immessi in diverse posizioni quando si configura SAML per SaltStack Config.

Nota: Questa coppia di chiavi può essere generata in qualsiasi sistema. Non è necessario crearla nel server SSE. Questi comandi vengono eseguiti su qualsiasi sistema in cui sono installate le utilità openssl. In alternativa, è possibile usare Salt per generare il certificato autofirmato. Vedere la documentazione relativa ai certificati autofirmati con il modulo Salt TLS.

Per creare il certificato:

  1. Generare una chiave privata, denominata cert.pem, utilizzando il comando:
    openssl genrsa -out cert.pem 2048
  2. Creare la chiave pubblica associata alla chiave privata appena creata nel passaggio precedente. Il comando seguente consente di eseguire il processo:
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. Durante l'esecuzione del comando, rispondere ai prompt come richiesto, ad esempio:
    • Nome del paese
    • Nome dello stato o della provincia
    • Nome della città o della località
    • Nome dell'organizzazione o dell'azienda
    • Nome dell'unità organizzativa
    • Nome host del server
    • Indirizzo email

Si dispone ora della coppia di chiavi pubblica e privata che verrà utilizzata nella configurazione SAML. Registrare tali coppie di chiavi per semplificare l'accesso negli altri passaggi del processo di configurazione. Procedere alla sezione successiva: Impostazione di una configurazione SAML.

Impostazione di una configurazione SAML

Prima di completare i passaggi di questa sezione, assicurarsi di aver generato la chiave pubblica e quella privata per SaltStack Config come provider di servizi. Per ulteriori istruzioni, vedere Creazione di un certificato del provider di servizi.

Per configurare SSO SAML utilizzando il provider di identità preferito dell'organizzazione in SaltStack Config:

  1. Fare clic su Amministrazione > Autenticazione nel menu laterale.
  2. Fare clic su Crea.
  3. Nel menu Tipo di configurazione, selezionare SAML.

    Nell'area di lavoro sono visualizzate le impostazioni supportate per il tipo di configurazione SAML.

  4. Nella scheda Impostazioni, compilare i seguenti campi con le informazioni sull'installazione di SaltStack Config:
    • Nome
    • URI di base
    • ID entità
    • Nome società
    • Nome visualizzato
    • Sito Web
    Nota: Per le descrizioni di questi campi, vedere Campi delle informazioni SAML.
  5. Nel campo Chiave privata, copiare la chiave privata generata quando è stato creato il certificato del provider di servizi per SaltStack Config. Per ulteriori informazioni, vedere Creazione di un certificato del provider di servizi.
  6. Nel campo Chiave pubblica, copiare la chiave pubblica generata quando è stato creato il certificato del provider di servizi per SaltStack Config.
  7. Compilare i campi con i dati di contatto pertinenti per:
    • Contatto tecnico
    • Contatto assistenza
  8. Nella sezione Informazioni sul provider, compilare i campi seguenti con i metadati relativi al provider di identità:
    • ID entità
    • ID utente
    • Email
    • Nome utente
    • URL
    • Certificato x509
    Nota: ADFS, Azure AD e Google SAML sono esempi di provider di identità comuni. Compilare questi campi con le informazioni fornite dal provider di identità. Per ulteriori informazioni su questi campi, vedere Campi delle informazioni SAML.
  9. FACOLTATIVO: selezionare la casella Controllo istruzioni attributo se si desidera che SaltStack Config controlli le istruzioni dell'attributo SAML per i profili utente. Questa opzione è selezionata per impostazione predefinita.
  10. Fare clic su Salva.

A questo punto, la configurazione SAML per SaltStack Config risulta completata. Procedere alla sezione successiva: Configurazione del provider di identità con le informazioni del provider di servizi.

Configurazione del provider di identità con le informazioni del provider di servizi

Prima di completare i passaggi descritti in questa sezione, assicurarsi di aver configurato SAML in SaltStack Config. Per ulteriori informazioni, vedere la sezione Impostazione di una configurazione SAML.

Per completare la configurazione di SAML, il provider di identità richiede due elementi di dati importanti:

  • L'URL AssertionCustomerService
  • Il certificato pubblico (x509) (chiave pubblica) generato quando è stato creato il certificato del provider di servizi per SaltStack Config. Per ulteriori informazioni, vedere Creazione di un certificato del provider di servizi.

L'URL AssertionCustomerService è l'indirizzo Web utilizzato dal provider di servizi per accettare gli artefatti e i messaggi SAML durante la definizione di un'asserzione di identità. In questo caso, SaltStack Config è il provider di servizi.

Il seguente è un esempio del formato tipico dell'URL AssertionCustomerService: https://<your-sse-hostname>/auth/complete/saml

Dopo aver fornito questi dati al provider di identità, passare alla sezione successiva: Creazione delle mappature degli attributi.

Creazione delle mappature degli attributi

SaltStack Config estrae informazioni sull'utente dall'asserzione SAML in entrata. Per tale motivo, il provider di identità deve assicurarsi che i valori obbligatori vengano inviati come attributi aggiuntivi. Il processo per la mappatura di questi attributi è specifico per ciascun provider di identità SAML. Per informazioni sulla creazione delle mappature degli attributi, fare riferimento alla documentazione del provider di identità o contattare l'amministratore.

SaltStack Config richiede di definire i seguenti attributi dell'utente:

  • ID utente
  • Email
  • Nome utente

In molte organizzazioni tutti e tre questi valori verranno mappati a un unico attributo, ovvero l'indirizzo email dell'utente. L'indirizzo email dell'utente viene utilizzato spesso perché in genere è univoco in un'organizzazione.

Configurazione del controllo degli accessi basato sui ruoli per SAML

SaltStack Config supporta la creazione di ruoli e autorizzazioni per gli utenti in vari ruoli. Il controllo degli accessi basato sui ruoli per SAML è gestito nello stesso modo in cui si gestiscono gli utenti le cui credenziali sono archiviate in modo nativo in SaltStack Config nel server dell'API (RaaS). Per ulteriori informazioni sull'area di lavoro Ruoli, vedere Ruoli e autorizzazioni.

Dopo aver creato i ruoli, è possibile aggiungere utenti SAML e assegnarli ai ruoli. Per ulteriori informazioni, vedere la seguente sezione: Aggiunta di utenti.

Aggiunta di utenti

Per impostazione predefinita, i nuovi utenti vengono registrati in SaltStack Config solo dopo il primo accesso riuscito con SAML. In alternativa, è possibile aggiungere utenti manualmente per preregistrarli in SaltStack Config.

Per aggiungere utenti manualmente:

  1. Nell'area di lavoro Autenticazione, selezionare la configurazione SAML nell'elenco Configurazioni di autenticazione per aprire le impostazioni di configurazione.
  2. Nelle impostazioni di configurazione, fare clic sulla scheda Utente.
  3. Fare clic sul pulsante Crea.
  4. Nel campo Nome utente, immettere le credenziali dell'utente che si desidera aggiungere. Questo nome utente deve essere identico al nome utente SAML assegnato.
    Nota: Assicurarsi che il nome utente sia preciso. Dopo aver creato un utente, il suo nome utente non può essere né modificato né rinominato.
  5. Nel campo Ruoli, selezionare i ruoli a cui si desidera aggiungere l'utente. Per impostazione predefinita, tutti i nuovi utenti vengono aggiunti al ruolo Utente. Per ulteriori informazioni, vedere Configurazione del controllo degli accessi basato sui ruoli per SAML.
  6. Fare clic su Salva.
    Nota: Dopo essere stato creato manualmente, un utente può essere eliminato solo prima del primo accesso. Dopo che l'utente avrà eseguito l'accesso iniziale, il pulsante di eliminazione sarà ancora disponibile in questa area di lavoro, ma non funzionerà più.

Risoluzione dei problemi e convalida della configurazione

Dopo aver configurato SSO in SaltStack Config, provare ad accedere come utente tipico per assicurarsi che il processo di accesso funzioni come previsto e che i ruoli e le autorizzazioni siano corretti.

Per risolvere potenziali errori, provare a:

  • Utilizzare lo strumento di analisi SAML, disponibile per i browser Web Firefox e Chrome.
  • Visualizzare i messaggi del registro /var/log/raas/raas.
Nota: Gli utenti non possono essere eliminati tramite l'interfaccia utente di SaltStack Config o utilizzando l'API dopo il provisioning iniziale con un'autenticazione SAML riuscita.