U kunt de werkplek Verificatie (Authentication) gebruiken om SSO in SaltStack Config te configureren om te werken met een verificatiesysteem dat compatibel is met de OAuth- en OIDC-protocollen.

Opmerking: U kunt meer dan één systeem tegelijk gebruiken om zo nodig gebruikers in SaltStack Config verifiëren. U kunt bijvoorbeeld zowel een op SAML gebaseerde IdP als een op LDAP gebaseerde IdP gebruiken en tegelijkertijd bepaalde verificatiegegevens van gebruikers standaard opslaan op de RaaS-server. SaltStack Config staat echter niet toe dat er meer dan twee SAML-providers of twee LDAP-providers tegelijkertijd worden geconfigureerd.

Over OAuth en OIDC SSO

OAuth Single Sign-On (SSO) is een functionaliteit die door veel organisaties wordt geconfigureerd tijdens de implementatie van SaltStack Config. Single Sign-On (SSO) biedt veel voordelen, waaronder:

  • De tijd verminderen die gebruikers besteden aan het aanmelden bij services voor dezelfde identiteit. Nadat gebruikers zich bij een van de services in een organisatie hebben aangemeld, worden ze automatisch geverifieerd bij andere services die SSO gebruiken.
  • Wachtwoordmoeheid tegengaan. De gebruiker hoeft slechts één set verificatiegegevens te onthouden in plaats van meerdere.

Veel services bieden implementaties van het OAuth-protocol met ondersteuning voor OIDC, zoals OKTA, Google, Microsoft, GitLab, Zendesk, Apple, Keycloak, Salesforce en meer.

Opmerking: SaltStack Config ondersteunt momenteel alleen OAuth- en OIDC-verificatie via OKTA en Google.

Hoe OAuth en OIDC werken met SaltStack Config

Wanneer een gebruiker zich probeert aan te melden bij SaltStack Config met behulp van een OAuth-identiteit:

  1. SaltStack Config vraagt om autorisatie voor toegang tot serviceresources van de gebruiker.
  2. Als de gebruiker de aanvraag autoriseert, wordt aan SaltStack Config autorisatie verleend.
  3. SaltStack Config vraagt een toegangstoken van de autorisatieserver (API) aan door verificatie van de eigen identiteit te presenteren.
  4. Als de identiteit van de applicatie wordt geverifieerd en de autorisatieverlening geldig is, geeft de autorisatieserver (API) een toegangstoken uit aan SaltStack Config.
  5. SaltStack Config vraagt de resource aan bij de resourceserver (API) en biedt het toegangstoken voor verificatie aan.
  6. Als de toegangstoken geldig is, geeft de resourceserver (API) de resource aan de applicatie en kan de gebruiker zich aanmelden bij SaltStack Config.

OAuth- en OIDC-verificatieterminologie

Term Definitie
Oauth

OAuth 2.0 is een open protocol (soms ook een standaard genoemd) voor toegangsdelegatie waarbij de gebruiker acties kan uitvoeren op een website nadat de identiteit van de gebruiker is geverifieerd met een beveiligingstoken. Deze wordt vaak gebruikt als een manier voor gebruikers om applicaties toegang te geven tot hun informatie in applicaties van derden zonder dat ze hun toegangsgegevens (wachtwoorden) hoeven te delen.

OAuth is Single Sign-On (SSO) via een browser. Met OAuth kunnen toegangstokens worden uitgegeven aan clients van derden door een autorisatieserver, met goedkeuring van de eigenaar van de resource. De derde partij gebruikt vervolgens het toegangstoken voor toegang tot de beveiligde resources die door de resourceserver worden gehost.

OIDC

Open ID Connect

Open ID Connect (OIDC) is een eenvoudige identiteitslaag bovenop het OAuth 2.0-protocol. Met OIDC kunnen clients de identiteiten van de gebruiker verifiëren op basis van de verificatie die door een autorisatieserver is uitgevoerd. Daarnaast kan deze basisprofielinformatie over de gebruiker in alle applicaties verkrijgen.

Eigenaar van resource De eigenaar van de resource is de gebruiker die een applicatie autoriseert voor toegang tot zijn of haar account. De toegang van de applicatie tot het account van de gebruiker is beperkt tot het bereik van de verleende autorisatie, zoals lees- of schrijftoegang.
Client De client is de applicatie van derden die toegang nodig heeft tot het gebruikersaccount, in dit geval SaltStack Config.
Autorisatieserver De autorisatieserver host de beveiligde gebruikersaccounts en verificatiegegevens. Deze verifieert de identiteit van de gebruiker en geeft vervolgens toegangstokens uit aan de client. Hier wordt vaak toegang toe verkregen via de API van de service.
Resourceserver

De resourceserver is de API-server die wordt gebruikt om toegang te krijgen tot de informatie van de gebruiker. Deze behandelt geverifieerde aanvragen nadat de client een toegangstoken heeft verkregen. Kleinere implementaties hebben doorgaans slechts één resourceserver en worden vaak gemaakt als onderdeel van dezelfde codebasis of dezelfde implementatie als de autorisatieserver.

Grootschalige implementaties kunnen meer dan één resourceserver hebben. Elke resourceserver bestaat afzonderlijk, maar ze delen allemaal dezelfde autorisatieserver.

Stappen voor de configuratie

Voordat u OAuth en OIDC configureert in SaltStack Config, zorgt u ervoor dat u de nodige toegang heeft tot uw OAuth 2.0-service voor uw organisatie (OKTA of Google) en dat u redelijk vertrouwd bent met hun proces voor het registreren van applicaties.

Opmerking: SaltStack Config ondersteunt momenteel alleen OAuth- en OIDC-verificatie via OKTA en Google.

SaltStack Config als applicatie registreren met OKTA of Google

Voer via de website van uw OAuth-service basisinformatie in over SaltStack Config, zoals de naam, website, enz. Nadat u de applicatie heeft geregistreerd, krijgt u een clientgeheim dat u moet opgeven voor SaltStack Config.

Een van de belangrijkste stappen bij het maken van de applicatie is het registreren van een of meer omleidings-URL's die de applicatie kan gebruiken. De omleidings-URL's zijn de plaats waar de OAuth 2.0-service de gebruiker brengt nadat deze de applicatie heeft geautoriseerd.

Een identiteitsprovider configureren

SSO instellen met behulp van de voorkeursservice van uw organisatie, OAuth of OIDC:

  1. Klik Beheer > Verificatie (Administration > Authentication) in het zijmenu.
  2. Klik op Maken.
  3. Selecteer de optie OIDC in het menu Configuratietype (Configuration Type).
  4. Wijs in het veld Naam (Name) een beschrijvende naam toe aan deze configuratie.
  5. Selecteer in menu OIDC-provider (OIDC Provider) de optie OKTA of Google.
  6. Vul de volgende velden in met de informatie over uw SaltStack Config-installatie:
    • Basis-URI (Base URI)
    • URL voor API (API URL) (alleen voor OKTA-configuraties)
    • Key
    • Geheim (Secret)
    Opmerking: Zie Velden met OIDC-informatie voor beschrijvingen van deze velden.
  7. Klik op Opslaan.

De OIDC-configuratie voor SaltStack Config is nu voltooid.

RBAC voor OIDC configureren

Voor OIDC moet de gebruiker zich eerst bij SaltStack Config aanmelden om als gebruiker aan de database van de lokale gebruiker te worden toegevoegd. Nadat de gebruikers zich de eerste keer hebben aangemeld, worden de rollen en rechten van de gebruikers beheerd op dezelfde manier als voor gebruikers van wie de verificatiegegevens lokaal worden opgeslagen in SaltStack Config op de RaaS-server.

Nadat de gebruiker zich voor het eerst heeft aangemeld, kunt u de werkplek Rollen (Roles) gebruiken om de juiste rollen en rechten aan die gebruiker toe te wijzen. Zie Rollen en rechten voor meer informatie over de werkplek Rollen (Roles).

Velden met OIDC-informatie

Alle velden met OIDC-verificatie-informatie zijn vereist. Voer de informatie voor uw OIDC-verificatieconfiguratie als volgt in.

Opmerking: Als u hulp nodig heeft bij het instellen van uw verbinding, neemt u contact op met uw beheerder.
Veld Beschrijving
Naam De naam van de verificatieverbinding die wordt gebruikt door SSE. Deze naam wordt in de zijbalk weergegeven wanneer u bent aangemeld bij de werkplek Verificatie (Authentication) en moet uniek zijn als u meerdere configuraties instelt.
OIDC-provider (OIDC Provider) Selecteer uw OIDC-identiteitsprovider in dit menu om de instellingen weer te geven die specifiek zijn voor uw provider.
Basis-URI (Base URI) De basis-URL die door uw organisatie in SaltStack Config wordt gebruikt, ook wel het adres van de hostserver genoemd. Deze URL is opgemaakt als FQDN of IP-adres, zoals https://example.com.
URL voor API (API URL) De URL voor de API die wordt geleverd door uw identiteitsprovider. Dit veld wordt alleen weergegeven als OKTA uw identiteitsprovider is.
Key De sleutel die wordt geleverd door uw identiteitsprovider. In OKTA wordt naar de sleutel verwezen als de client-id.
Geheim (Secret) Het geheim dat wordt geleverd door uw identiteitsprovider. In OKTA wordt naar de sleutel verwezen als het clientgeheim.