U kunt de werkplek Verificatie (Authentication) gebruiken om SSO in SaltStack Config te configureren om te werken met een verificatiesysteem dat compatibel is met het SAML-protocol.

Opmerking: U kunt meer dan één systeem tegelijk gebruiken om zo nodig gebruikers in SaltStack Config verifiëren. U kunt bijvoorbeeld zowel een op SAML gebaseerde IdP als een op LDAP gebaseerde IdP gebruiken en tegelijkertijd bepaalde verificatiegegevens van gebruikers standaard opslaan op de RaaS-server. SaltStack Config staat echter niet toe dat er meer dan twee SAML-providers of twee LDAP-providers tegelijkertijd worden geconfigureerd.

Over SAML SSO

SAML Single Sign-On (SSO) is een functionaliteit die door veel organisaties wordt geconfigureerd tijdens de implementatie van SaltStack Config. Single Sign-On (SSO) biedt veel voordelen, waaronder:

  • De tijd verminderen die gebruikers besteden aan het aanmelden bij services voor dezelfde identiteit. Nadat gebruikers zich bij een van de services in een organisatie hebben aangemeld, worden ze automatisch geverifieerd bij andere services die SSO gebruiken.
  • Wachtwoordmoeheid tegengaan. De gebruiker hoeft slechts één set verificatiegegevens te onthouden in plaats van meerdere.

Veel services bieden implementaties van het SAML SSO-protocol, waaronder ADFS, OneLogin, Okta, Singenboleth, SimpleSAMLPHP, Google Suite en meer.

Hoe SAML SSO met SaltStack Config werkt

Wanneer SaltStack Config een geslaagde identiteitsbevestiging ontvangt van een van de ondersteunde verificatie-integraties, wordt er gezocht naar een gebruikersaanmelding die overeenkomt met de waarde van de bevestigde identiteit. Als de gebruiker een overeenkomende aanmelding vindt, wordt het bijbehorende gebruikersaccount aangemeld.

Als SaltStack Config bijvoorbeeld een ADFS-bevestiging voor een gebruiker ontvangt en 'fred' de waarde is voor het geconfigureerde identiteitskenmerk, dan zoekt SSE naar een aanmelding met de gebruikersnaam 'fred'. Als deze wordt gevonden, wordt de bijbehorende gebruiker aangemeld. Anders mislukt de aanmelding.

SAML-verificatieterminologie

Acroniem Definitie
SAML

Security Assertion Markup Language (SAML, uitgesproken SAM-el)

SAML is een open protocol (ook wel standaard genoemd) voor het uitwisselen van verificatie- en autorisatiegegevens tussen partijen. In het bijzonder wordt dit gebruikt om gegevens uit te wisselen tussen een identiteitsprovider en een serviceprovider.

SAML is een Single Sign-On (SSO) via een browser. Alle communicatie gaat via de gebruikersagent (de browser). Er is geen communicatie tussen een serviceprovider (zoals SaltStack Config) en een identiteitsprovider (zoals Azure AD). Door deze scheiding is het mogelijk om verificatie uit te voeren in meerdere beveiligingsdomeinen waarbij een serviceprovider zich in één (mogelijk openbaar) domein bevindt en de identiteitsprovider in een afzonderlijk, beveiligd netwerksegment.
IdP

Identiteitsprovider

De opdracht van de IdP is om gebruikers te identificeren op basis van verificatiegegevens. Een identiteitsprovider is software die een service levert die voldoet aan het gedeelte over de identiteitsprovider in de SAML-specificaties. De IdP biedt doorgaans de interface voor het aanmeldingsscherm en levert informatie over de geverifieerde gebruiker aan serviceproviders na een succesvolle verificatie.

Voorbeelden van identiteitsproviders:

  • ADFS
  • Azure AD
  • Google SAML
  • Shibboleth
  • Okta
  • OneLogin
  • PingFederated
  • SimpleSAMLPHP
SP

Serviceprovider of relying party

Een SP (serviceprovider) is gewoonlijk een website die informatie, tools, rapporten, enz. levert aan de eindgebruiker. Een serviceprovider is software die een service levert die voldoet aan het gedeelte over de serviceprovider in de SAML-specificaties van SaltStack Config. In Microsoft-producten (zoals Azure AD en ADFS) wordt de SP een relying party genoemd.

In dit scenario is SaltStack Config de serviceprovider. SaltStack Config accepteert verificatiebevestigingen van de IdP en geeft gebruikers de mogelijkheid om aan te melden.

Een SP kan niet verifiëren met een IdP, tenzij deze wordt vermeld in de lijst met goedgekeurde services. Het configureren van een SP met een lijst met goedgekeurde IdP's is onderdeel van het configuratieproces.
SSO

Single Sign-On

Single Sign-On is een verificatiesysteem waarmee een gebruiker niet bij een tweede service hoeft aan te melden omdat informatie over de geverifieerde gebruiker is doorgegeven aan de service.
SLO

Eenmalig afmelden

Wanneer een gebruiker zich afmeldt bij een service, kunnen sommige IdP's de gebruiker vervolgens afmelden bij alle andere services waarbij de gebruiker zich heeft geverifieerd.

SaltStack Config biedt momenteel geen ondersteuning voor SLO.
RBAC

Op rollen gebaseerde toegangscontrole

Op rollen gebaseerde toegangscontrole, ook wel op rollen gebaseerde beveiliging genoemd, is een geavanceerde toegangscontrole die netwerktoegang beperkt op basis van de rol van een persoon binnen een organisatie. De rollen in RBAC verwijzen naar de niveaus waarop werknemers toegang tot het netwerk hebben.

Werknemers hebben alleen toegang tot de netwerkresources of voeren taken uit die nodig zijn om hun functie effectief uit te voeren. Werknemers op een lager niveau hebben doorgaans geen toegang tot gevoelige gegevens of netwerkresources als zij deze niet nodig hebben om aan hun verantwoordelijkheden te voldoen.

SaltStack Config kan RBAC met SAML-configuraties ondersteunen met behulp van de werkplek Rollen (Roles). De gebruiker moet zich echter eerst aanmelden bij SaltStack Config om als gebruiker in de lokale gebruikersdatabase te worden toegevoegd en te worden beheerd door de werkplek Rollen (Roles). Zie RBAC configureren voor SAML voor meer informatie.