Wanneer u een op SAML gebaseerd verificatiesysteem voor SaltStack Config configureert, moet u verschillende informatievelden invullen. Het is ook mogelijk om een op SAML gebaseerd systeem in te stellen met de API, maar dit wordt niet aanbevolen.

Velden met SAML-informatie

Alle velden met SAML-verificatie-informatie zijn vereist. Voer de informatie voor uw SAML-verificatieconfiguratie als volgt in.

Opmerking:

Als u hulp nodig heeft bij het instellen van uw verbinding, neemt u contact op met uw beheerder.

Basis

Veld

Beschrijving

Naam

De naam van de verificatieverbinding die wordt gebruikt door SSE. Deze naam wordt in de zijbalk weergegeven wanneer u bent aangemeld bij de werkplek Verificatie (Authentication) en moet uniek zijn als u meerdere configuraties instelt. Deze naam kan niet meer worden gewijzigd nadat deze is gemaakt.

Bijvoorbeeld: Acme SSO

Basis-URI (Base URI)

De basis-URL die door uw organisatie in SaltStack Config wordt gebruikt, ook wel het adres van de hostserver genoemd. Deze is opgemaakt als FQDN of IP-adres, bijvoorbeeld https://example.com. Deze mag niet eindigen op een slash.

Bijvoorbeeld: https://sse.example.com

Entiteits-id

Een unieke id voor deze SaltStack Config-serviceprovider. Hoewel in SAML doorgaan een URL-achtige tekenreeks wordt gebruikt, is elk type tekenreeks toegestaan. Deze moet uniek zijn in vergelijking met de andere SAML-applicaties die door uw organisatie worden gebruikt. Zorg ervoor dat u dezelfde id gebruikt wanneer u SaltStack Config als applicatie registreert.

Bijvoorbeeld: https://sse.example.com/saml

Organisatie-informatie

Veld

Beschrijving

Bedrijfsnaam

De naam van uw organisatie.

Schermnaam

De naam die moet worden weergegeven als de naam van uw organisatie.

Website

De URL voor de website van uw organisatie. Deze URL kan alles zijn en heeft geen invloed op de SSO-functionaliteit.

Persoonlijke sleutel (Private Key)

De persoonlijke sleutel die u heeft gegenereerd, ook wel cert.pem genoemd. Deze sleutel moet de PEM-indeling hebben. Zie Een certificaat voor een serviceprovider maken voor meer informatie.

Openbare sleutel (Public Key)

De openbare sleutels en certificaten die u heeft gegenereerd, ook wel de cert.pub genoemd. Deze sleutel moet de PEM-indeling hebben. Zie Een certificaat voor een serviceprovider maken voor meer informatie.

Technische contactpersoon

Veld

Beschrijving

Naam

De naam van de medewerker die voornamelijk verantwoordelijk is voor de applicatie binnen uw organisatie. Deze informatie is vereist voor het SAML-protocol en wordt doorgegeven aan de SAML-provider. SaltStack Config gebruikt deze informatie niet direct.

E-mail

Het e-mailadres van de technische contactpersoon.

Contactpersoon voor ondersteuning

Veld

Beschrijving

Naam

De naam van een medewerker die kan worden benaderd als de primaire technische contactpersoon voor de applicatie niet beschikbaar is. Deze informatie is vereist voor het SAML-protocol en wordt doorgegeven aan de SAML-provider. SaltStack Config gebruikt deze informatie niet direct.

E-mail

Het e-mailadres van de contactpersoon voor ondersteuning.

Providerinformatie

Veld

Beschrijving

Entiteits-id

De entiteits-id van de identiteitsprovider (IdP).

Voorbeeld van een Azure AD-entiteits-id: https://sts.windows.net/2f09bc14-a1f0-48ce-8280-0a09e775e40d/

Gebruikers-id

Een verwijzing naar een toegewezen SAML-kenmerk dat de permanente gebruikers-id bevat.

E-mail

Een verwijzing naar een toegewezen SAML-kenmerk dat het e-mailadres bevat.

Gebruikersnaam

Een verwijzing naar een toegewezen SAML-kenmerk dat de gebruikersnaam bevat.

URL

De URL die wordt gebruikt voor toegang tot de SAML-eindpunten van uw identiteitsprovider.

x509-certificaat

Het certificaat in X.509-indeling met een ingesloten openbare sleutel die via het systeem van uw identiteitsprovider wordt gegenereerd. Deze sleutel moet de PEM-indeling hebben.

Beveiligingscontroles

Veld

Beschrijving

Controle van kenmerkbevestiging (Attribute Statement Check)

Schakel dit selectievakje in als u SaltStack Config SAML-kenmerkbevestigingen voor gebruikersprofielen wilt controleren.

SAML configureren vanaf de commandoregel (CLI)

In deze handleiding wordt u sterk aanbevolen SAML te configureren met behulp van de gebruikersinterface van SaltStack Config en niet met de commandoregel. Deze instructies zijn ter referentie opgenomen.

De meeste configuratiestandaarden instellen met behulp van de CLI:

  1. Aanmelden als RaaS-gebruiker:
    sudo su raas
  2. OPTIONEEL: Deze stap is alleen nodig als u SaltStack Config handmatig heeft geïnstalleerd. Installeer op de RaaS-server het bestand OpenSSL.xml dat is opgenomen in de installatiebestanden. Het volgende commando gebruiken:
    yum install xmlsec1-openssl
    Opmerking:

    RedHat heeft xmlsec1 niet direct beschikbaar in standaardopslagplaatsen. Een mogelijke oplossing is om de RPM's te downloaden van een CentOS-machine en deze naar RedHat over te brengen.

  3. Ga naar de directory waar u het configuratiebestand wilt opslaan. Elk directorypad is acceptabel.
  4. Maak een YAML-bestand met de nodige configuratie-informatie die vereist is door uw identiteitsserviceprovider. Zie Voorbeelden van configuratiebestanden voor voorbeelden van hoe u deze configuratiebestanden opmaakt.
    Opmerking:

    Zie SAML-informatievelden voor beschrijvingen van de verschillende velden.

  5. Voer het configuratiebestand uit met de volgende commando's:
    raas save_sso_config <filepath>

Voorbeelden van configuratiebestanden

Voorbeeld van een SAML-configuratiebestand voor Google

Vervang de tekst van de tijdelijke aanduiding in het volgende voorbeeld door de informatie die door uw IdP is verstrekt:

name: Google
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: raas
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
  saml_technical_contact:
    givenName: Name of Your Technical Contact
    emailAddress: email@my_technical_contact.com
  saml_support_contact:
    givenName: Name of Your Support Contact
    emailAddress: email@my_support_contact.com
  saml_enabled_idps:
    saml:
      entity_id: https://accounts.google.com/o/your_organization_id
      attr_user_permanent_id: Your organization's permanent ID
      attr_email: email@my_email_with_identity_provider.com
      attr_username: Your organization's username for the IdP
      url: https://accounts.google.com/o/saml2/your_organization_id
      x509cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----
      saml_sp_private_key: |
        -----BEGIN PRIVATE KEY-----
        Insert private key block of text here
        -----END PRIVATE KEY-----
      saml_sp_public_cert: |
        -----BEGIN CERTIFICATE-----
        Insert certificate block of text here
        -----END CERTIFICATE-----

Voorbeeld van een SAML-configuratiebestand voor Okta

Vervang de tekst van de tijdelijke aanduiding in het volgende voorbeeld door de informatie die door uw IdP is verstrekt:

name: Okta
backend: social_core.backends.saml.SAMLAuth
settings:
  base_uri: https://example.com
  saml_sp_entity_id: https://example.com/auth/complete/saml
  saml_org_info:
    en-US:
    name: Name of Your Organization
    displayname: Display Name for Your Organization
    url: https://example.com
 saml_technical_contact:
   givenName: Name of Your Technical Contact
   emailAddress: email@my_technical_contact.com
saml_support_contact:
  givenName: Name of Your Support Contact
  emailAddress: email@my_support_contact.com
saml_security_config:
  wantAttributeStatement: False
saml_enabled_idps:
  okta:
    entity_id: https://www.okta.com/your_organization_id
    attr_user_permanent_id: Your organization's permanent ID
    attr_email: email@my_email_with_identity_provider.com
    attr_username: Your organization's username for the IdP
    url: https://example.okta.com/app/your_organization_id
    x509cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----
    saml_sp_private_key: |
      -----BEGIN PRIVATE KEY-----
      Insert private key block of text here
      -----END PRIVATE KEY-----
    saml_sp_public_cert: |
      -----BEGIN CERTIFICATE-----
      Insert certificate block of text here
      -----END CERTIFICATE-----

Voorbeeld van een OIDC-configuratiebestand voor Google

Vervang de tekst van de tijdelijke aanduiding in het volgende voorbeeld door de informatie die door uw IdP is verstrekt:

name: Name of Your Organization
backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect
settings:
  base_uri: example.com
  google_openidconnect_key: your_id.apps.googleusercontent.com
  google_openidconnect_secret: your_secret

Een SSO-configuratie bijwerken vanaf de commandoregel (CLI)

Een configuratiestandaard bijwerken vanaf de CLI:

  1. Aanmelden als RaaS-gebruiker:
    sudo su raas
  2. Navigeer naar de directory waarin u het configuratiebestand heeft opgeslagen. Werk het configuratiebestand indien nodig bij.
  3. Sla het configuratiebestand op met het volgende commando:
    raas save_sso_config <filepath>

Een SSO-configuratie verwijderen vanaf de opdrachtregel (CLI)

Als toegang tot de gebruikersinterface van SaltStack Config beschikbaar is, wordt u aanbevolen een SSO-configuratie te verwijderen met behulp van de gebruikersinterface. U kunt echter een SSO-configuratie verwijderen met behulp van de API (RaaS) indien nodig.

Als u een SSO-configuratie wilt verwijderen, moet u de slug vinden die is toegewezen aan de configuratie die u wilt verwijderen. De slug is een voorstelling van de configuratienaam, gescheiden door een streepje - en met alleen kleine letters. De slug kan bijvoorbeeld naam-van-uw-organisatie zijn. Voor SAML met Google is google de slug.

  1. Genereer in de API (RaaS) een lijst met uw SSO-backends met behulp van het volgende commando:
    client.api.settings.get_sso_backends()
  2. Zoek in de lijst met SSO-backends naar de slug voor de configuratie die u wilt verwijderen. Voer vervolgens het volgende commando in en vervang de tekst met de tijdelijke aanduiding door uw configuratieslug:
    client.api.settings.delete_sso_config('slug-for-your-configuration')