Lees de volgende stappen voordat u een nieuwe SAML-configuratie voor SaltStack Config maakt, om ervoor te zorgen dat u bekend bent met het configuratieproces.

Stappen voor de configuratie

Voordat u SAML in SaltStack Config configureert:

  • Installeer de SAML-identiteitsprovider (IdP) en zorg ervoor dat deze wordt uitgevoerd. In dit onderwerp worden geen instructies gegeven voor de installatie van IdP's. Neem contact op met uw IdP-beheerder voor ondersteuning.
  • Zorg ervoor dat u toegang hebt tot de verificatiegegevens en configuratiegegevens die door de IdP worden verstrekt. Zie bovendien het volgende gedeelte Een certificaat voor een serviceprovider maken.

Een certificaat voor een serviceprovider maken

U moet een certificaat genereren om een SaltStack Config als een goedgekeurde serviceprovider met uw IdP toe te voegen. Uw SaltStack Config-serviceprovider heeft een RSA-sleutelpaar nodig. U kunt de waarden voor persoonlijke en openbare sleutels op verschillende plaatsen invoeren wanneer u SAML voor SaltStack Config configureert.

Opmerking: Dit sleutelpaar kan op elk systeem worden gegenereerd. Het hoeft niet te worden gemaakt op de SSE-server. Deze commando's worden uitgevoerd op elk systeem waarop openssl-hulpprogramma's zijn geïnstalleerd. U kunt ook Salt gebruiken om het zelfondertekende certificaat te genereren. Zie de documentatie voor zelfondertekende certificaten met de TLS Salt-module.

Het certificaat maken:

  1. Genereer een persoonlijke sleutel met de naam cert.pem met het commando:
    openssl genrsa -out cert.pem 2048
  2. Maak de openbare sleutel die is gekoppeld aan de persoonlijke sleutel die u zojuist hebt gemaakt in de vorige stap. Met het volgende commando doorloopt u het proces:
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. Beantwoord waar nodig de prompts, wanneer dit commando wordt uitgevoerd, zoals:
    • Naam van land
    • Naam van staat of provincie
    • Naam van plaats of stad
    • Naam van organisatie of bedrijf
    • Naam van organisatie-eenheid
    • Naam van serverhost
    • E-mailadres

U hebt nu het openbare en het persoonlijke sleutelpaar dat wordt gebruikt in uw SAML-configuratie. Leg deze openbare en persoonlijke sleutelparen vast voor eenvoudige toegang wanneer u de rest van het configuratieproces doorloopt. Ga door naar het volgende gedeelte Een SAML-configuratie instellen voor instructies.

Een SAML-configuratie instellen

Voordat u de stappen in dit gedeelte voltooit, moet u ervoor zorgen dat u de openbare en persoonlijke sleutels voor SaltStack Config als uw serviceprovider hebt gegenereerd. Zie Een certificaat voor een serviceprovider maken voor meer instructies.

SAML SSO instellen met behulp van de voorkeurs-IdP van uw organisatie in SaltStack Config:

  1. Klik Beheer > Verificatie (Administration > Authentication) in het zijmenu.
  2. Klik op Maken.
  3. Selecteer de optie SAML in het menu Configuratietype (Configuration Type).

    De werkplek bevat de ondersteunde instellingen voor het SAML-configuratietype.

  4. Op het tabblad Instellingen (Settings) voltooit u de volgende velden met de informatie over uw SaltStack Config-installatie:
    • Naam
    • Basis-URI (Base URI)
    • Entiteits-id
    • Bedrijfsnaam
    • Schermnaam
    • Website
    Opmerking: Zie SAML-informatievelden voor beschrijvingen van deze velden.
  5. Kopieer in het veld Persoonlijke sleutel (Private Key) de persoonlijke sleutel die u hebt gegenereerd toen u het certificaat van de serviceprovider hebt gemaakt voor SaltStack Config. Zie Een certificaat voor een serviceprovider maken voor meer informatie.
  6. Kopieer in het veld Openbare sleutel de openbare sleutel die u heeft gegenereerd toen u het certificaat van de serviceprovider heeft gemaakt voor SaltStack Config.
  7. Vul de velden in met de relevante contactgegevens voor uw:
    • Technische contactpersoon
    • Contactpersoon voor ondersteuning
  8. In het gedeelte Providerinformatie (Provider Information) voltooit u de volgende velden met de metagegevens over uw identiteitsprovider (IdP):
    • Entiteits-id
    • Gebruikers-id
    • E-mail
    • Gebruikersnaam
    • URL
    • x509-certificaat
    Opmerking: ADFS, Azure AD en Google SAML zijn voorbeelden van veelvoorkomende identiteitsproviders. U vult deze velden in met informatie die u krijgt van uw IdP. Zie SAML-informatievelden voor meer informatie over deze velden.
  9. OPTIONEEL: schakel het selectievakje Kenmerkinstructie (Attribute Statement) in als u wilt dat SaltStack Config de SAML-kenmerkinstructies controleert op gebruikersprofielen. Deze optie is standaard ingeschakeld.
  10. Klik op Opslaan.

De SAML-configuratie voor SaltStack Config is nu voltooid. Ga door naar het volgende gedeelte De IdP configureren met informatie van de serviceprovider voor instructies.

De IdP configureren met informatie van de serviceprovider

Voordat u de stappen in dit gedeelte voltooit, moet u ervoor zorgen dat SAML eerst in SaltStack Config is geconfigureerd. Zie Een SAML-configuratie instellen voor instructies en meer informatie.

Om uw SAML-configuratie te voltooien, heeft de identiteitsprovider twee belangrijke stukken gegevens nodig:

  • De URL van de AssertionCustomerService
  • Het openbare (x509)-certificaat (openbare sleutel) dat u hebt gegenereerd toen u het certificaat van de serviceprovider voor SaltStack Config hebt gemaakt. Zie Een certificaat voor een serviceprovider maken voor meer informatie.

De URL van de AssertionCustomerService is het webadres dat uw serviceprovider gebruikt om SAML-berichten en -artefacten te accepteren wanneer een identiteitsbevestiging wordt gemaakt. In dit geval is SaltStack Config de serviceprovider.

Hier volgt een voorbeeld van de typische indeling voor de URL van de assertionCustomerService: https://<your-sse-hostname>/auth/complete/saml

Nadat u deze gegevens aan uw IdP hebt verstrekt, gaat u door naar het volgende gedeelte Kenmerktoewijzingen maken voor instructies.

Kenmerktoewijzingen maken

SaltStack Config haalt informatie over de gebruiker op uit de inkomende SAML-bevestiging. Daarom moet de IdP ervoor zorgen dat de vereiste waarden als aanvullende kenmerken worden verzonden. Het proces voor het toewijzen van deze kenmerken is specifiek voor elke SAML-identiteitsprovider. Voor hulp bij het maken van kenmerktoewijzingen raadpleegt u de documentatie van uw IdP of neemt u contact op met uw beheerder.

SaltStack Config moet de volgende kenmerken van de gebruiker definiëren:

  • Gebruikers-id
  • E-mail
  • Gebruikersnaam

Veel organisaties zullen deze drie waarden allemaal aan één kenmerk toewijzen: het e-mailadres van de gebruiker. Het e-mailadres van de gebruiker wordt vaak gebruikt, omdat het normaal gesproken uniek is in een organisatie.

RBAC configureren voor SAML

SaltStack Config ondersteunt het maken van rollen en rechten voor gebruikers in verschillende rollen. RBAC voor SAML wordt beheerd op dezelfde manier als u gebruikers beheert van wie de verificatiegegevens binnen SaltStack Config op de API-server (RaaS) zijn opgeslagen. Zie Rollen en rechten voor meer informatie over de werkplek Rollen (Roles).

Nadat u rollen hebt gemaakt, kunt u SAML-gebruikers toevoegen en deze aan rollen toewijzen. Zie het volgende gedeelte Gebruikers toevoegen voor meer informatie.

Gebruikers toevoegen

Standaard worden nieuwe gebruikers alleen in SaltStack Config geregistreerd nadat een gebruiker zich voor het eerst heeft aangemeld met SAML. U kunt gebruikers ook handmatig toevoegen om deze gebruikers vooraf in SaltStack Config te registreren.

Handmatig gebruikers toevoegen:

  1. Selecteer in de werkplek Verificatie (Authentication) uw SAML-configuratie in de lijst met verificatieconfiguraties om uw configuratie-instellingen te openen.
  2. Klik in de configuratie-instellingen op het tabblad Gebruiker (User).
  3. Klik op de knop Maken (Create).
  4. Voer in veld Gebruikersnaam (Username) de verificatiegegevens in voor de gebruiker die u wilt toevoegen. Deze gebruikersnaam moet identiek zijn aan de toegewezen SAML-gebruikersnaam.
    Opmerking: Zorg ervoor dat deze gebruikersnaam nauwkeurig is. Nadat een gebruiker is gemaakt, kan de gebruikersnaam niet meer worden gewijzigd.
  5. Selecteer in het veld Rollen (Roles) rollen waaraan u de gebruiker wilt toevoegen. Alle nieuwe gebruikers worden standaard aan de rol Gebruiker (User) toegevoegd. Zie RBAC configureren voor SAML voor meer informatie.
  6. Klik op Opslaan.
    Opmerking: Nadat een gebruiker handmatig is gemaakt, kan deze alleen worden verwijderd voordat deze zich voor het eerst aanmeldt. Nadat de gebruiker zich voor het eerst heeft aangemeld, is de verwijderknop nog steeds beschikbaar in deze werkplek, maar deze werkt niet meer.

Problemen oplossen en de configuratie valideren

Nadat u SSO in SaltStack Config hebt geconfigureerd, kunt u zich proberen aan te melden als een typische gebruiker om er zeker van te zijn dat het aanmeldproces werkt zoals verwacht en dat de rollen en rechten correct zijn.

Probeer het volgende om mogelijke fouten op te lossen:

  • De SAML-trackertool gebruiken, die beschikbaar is voor Firefox- en Chrome-webbrowsers.
  • De logboekberichten van /var/log/raas/raas bekijken.
Opmerking: Gebruikers kunnen niet worden verwijderd via de gebruikersinterface van SaltStack Config of met de API na de eerste inrichting met een succesvolle SAML-verificatie.