Wanneer u een op SAML gebaseerd verificatiesysteem voor SaltStack Config configureert, moet u verschillende informatievelden invullen. Het is ook mogelijk om een op SAML gebaseerd systeem in te stellen met de API, maar dit wordt niet aanbevolen.
Velden met SAML-informatie
Alle velden met SAML-verificatie-informatie zijn vereist. Voer de informatie voor uw SAML-verificatieconfiguratie als volgt in.
Als u hulp nodig heeft bij het instellen van uw verbinding, neemt u contact op met uw beheerder.
Basis
| Veld |
Beschrijving |
|---|---|
| Naam |
De naam van de verificatieverbinding die wordt gebruikt door SSE. Deze naam wordt in de zijbalk weergegeven wanneer u bent aangemeld bij de werkplek Verificatie (Authentication) en moet uniek zijn als u meerdere configuraties instelt. Deze naam kan niet meer worden gewijzigd nadat deze is gemaakt. Bijvoorbeeld: Acme SSO |
| Basis-URI (Base URI) |
De basis-URL die door uw organisatie in SaltStack Config wordt gebruikt, ook wel het adres van de hostserver genoemd. Deze is opgemaakt als FQDN of IP-adres, bijvoorbeeld Bijvoorbeeld: |
| Entiteits-id |
Een unieke id voor deze SaltStack Config-serviceprovider. Hoewel in SAML doorgaan een URL-achtige tekenreeks wordt gebruikt, is elk type tekenreeks toegestaan. Deze moet uniek zijn in vergelijking met de andere SAML-applicaties die door uw organisatie worden gebruikt. Zorg ervoor dat u dezelfde id gebruikt wanneer u SaltStack Config als applicatie registreert. Bijvoorbeeld: |
Organisatie-informatie
| Veld |
Beschrijving |
|---|---|
| Bedrijfsnaam |
De naam van uw organisatie. |
| Schermnaam |
De naam die moet worden weergegeven als de naam van uw organisatie. |
| Website |
De URL voor de website van uw organisatie. Deze URL kan alles zijn en heeft geen invloed op de SSO-functionaliteit. |
| Persoonlijke sleutel (Private Key) |
De persoonlijke sleutel die u heeft gegenereerd, ook wel cert.pem genoemd. Deze sleutel moet de PEM-indeling hebben. |
| Openbare sleutel (Public Key) |
De openbare sleutels en certificaten die u heeft gegenereerd, ook wel de cert.pub genoemd. Deze sleutel moet de PEM-indeling hebben. |
Technische contactpersoon
| Veld |
Beschrijving |
|---|---|
| Naam |
De naam van de medewerker die voornamelijk verantwoordelijk is voor de applicatie binnen uw organisatie. Deze informatie is vereist voor het SAML-protocol en wordt doorgegeven aan de SAML-provider. SaltStack Config gebruikt deze informatie niet direct. |
| |
Het e-mailadres van de technische contactpersoon. |
Contactpersoon voor ondersteuning
| Veld |
Beschrijving |
|---|---|
| Naam |
De naam van een medewerker die kan worden benaderd als de primaire technische contactpersoon voor de applicatie niet beschikbaar is. Deze informatie is vereist voor het SAML-protocol en wordt doorgegeven aan de SAML-provider. SaltStack Config gebruikt deze informatie niet direct. |
| |
Het e-mailadres van de contactpersoon voor ondersteuning. |
Providerinformatie
| Veld |
Beschrijving |
|---|---|
| Entiteits-id |
De entiteits-id van de identiteitsprovider (IdP). Voorbeeld van een Azure AD-entiteits-id: |
| Gebruikers-id |
Een verwijzing naar een toegewezen SAML-kenmerk dat de permanente gebruikers-id bevat. |
| |
Een verwijzing naar een toegewezen SAML-kenmerk dat het e-mailadres bevat. |
| Gebruikersnaam |
Een verwijzing naar een toegewezen SAML-kenmerk dat de gebruikersnaam bevat. |
| URL |
De URL die wordt gebruikt voor toegang tot de SAML-eindpunten van uw identiteitsprovider. |
| x509-certificaat |
Het certificaat in X.509-indeling met een ingesloten openbare sleutel die via het systeem van uw identiteitsprovider wordt gegenereerd. Deze sleutel moet de PEM-indeling hebben. |
Beveiligingscontroles
| Veld |
Beschrijving |
|---|---|
| Controle van kenmerkbevestiging (Attribute Statement Check) |
Schakel dit selectievakje in als u SaltStack Config SAML-kenmerkbevestigingen voor gebruikersprofielen wilt controleren. |
SAML configureren vanaf de commandoregel (CLI)
In deze handleiding wordt u sterk aanbevolen SAML te configureren met behulp van de gebruikersinterface van SaltStack Config en niet met de commandoregel. Deze instructies zijn ter referentie opgenomen.
De meeste configuratiestandaarden instellen met behulp van de CLI:
- Aanmelden als RaaS-gebruiker:
sudo su raas
- OPTIONEEL: Deze stap is alleen nodig als u SaltStack Config handmatig heeft geïnstalleerd. Installeer op de RaaS-server het bestand OpenSSL.xml dat is opgenomen in de installatiebestanden. Het volgende commando gebruiken:
yum install xmlsec1-openssl
Opmerking:RedHat heeft xmlsec1 niet direct beschikbaar in standaardopslagplaatsen. Een mogelijke oplossing is om de RPM's te downloaden van een CentOS-machine en deze naar RedHat over te brengen.
- Ga naar de directory waar u het configuratiebestand wilt opslaan. Elk directorypad is acceptabel.
- Maak een YAML-bestand met de nodige configuratie-informatie die vereist is door uw identiteitsserviceprovider. Zie Voorbeelden van configuratiebestanden voor voorbeelden van hoe u deze configuratiebestanden opmaakt.
Opmerking:
Zie SAML-informatievelden voor beschrijvingen van de verschillende velden.
- Voer het configuratiebestand uit met de volgende commando's:
raas save_sso_config <filepath>
Voorbeelden van configuratiebestanden
Voorbeeld van een SAML-configuratiebestand voor Google
Vervang de tekst van de tijdelijke aanduiding in het volgende voorbeeld door de informatie die door uw IdP is verstrekt:
name: Google
backend: social_core.backends.saml.SAMLAuth
settings:
base_uri: https://example.com
saml_sp_entity_id: raas
saml_org_info:
en-US:
name: Name of Your Organization
displayname: Display Name for Your Organization
url: https://example.com
saml_technical_contact:
givenName: Name of Your Technical Contact
emailAddress: email@my_technical_contact.com
saml_support_contact:
givenName: Name of Your Support Contact
emailAddress: email@my_support_contact.com
saml_enabled_idps:
saml:
entity_id: https://accounts.google.com/o/your_organization_id
attr_user_permanent_id: Your organization's permanent ID
attr_email: email@my_email_with_identity_provider.com
attr_username: Your organization's username for the IdP
url: https://accounts.google.com/o/saml2/your_organization_id
x509cert: |
-----BEGIN CERTIFICATE-----
Insert certificate block of text here
-----END CERTIFICATE-----
saml_sp_private_key: |
-----BEGIN PRIVATE KEY-----
Insert private key block of text here
-----END PRIVATE KEY-----
saml_sp_public_cert: |
-----BEGIN CERTIFICATE-----
Insert certificate block of text here
-----END CERTIFICATE-----
Voorbeeld van een SAML-configuratiebestand voor Okta
Vervang de tekst van de tijdelijke aanduiding in het volgende voorbeeld door de informatie die door uw IdP is verstrekt:
name: Okta
backend: social_core.backends.saml.SAMLAuth
settings:
base_uri: https://example.com
saml_sp_entity_id: https://example.com/auth/complete/saml
saml_org_info:
en-US:
name: Name of Your Organization
displayname: Display Name for Your Organization
url: https://example.com
saml_technical_contact:
givenName: Name of Your Technical Contact
emailAddress: email@my_technical_contact.com
saml_support_contact:
givenName: Name of Your Support Contact
emailAddress: email@my_support_contact.com
saml_security_config:
wantAttributeStatement: False
saml_enabled_idps:
okta:
entity_id: https://www.okta.com/your_organization_id
attr_user_permanent_id: Your organization's permanent ID
attr_email: email@my_email_with_identity_provider.com
attr_username: Your organization's username for the IdP
url: https://example.okta.com/app/your_organization_id
x509cert: |
-----BEGIN CERTIFICATE-----
Insert certificate block of text here
-----END CERTIFICATE-----
saml_sp_private_key: |
-----BEGIN PRIVATE KEY-----
Insert private key block of text here
-----END PRIVATE KEY-----
saml_sp_public_cert: |
-----BEGIN CERTIFICATE-----
Insert certificate block of text here
-----END CERTIFICATE-----
Voorbeeld van een OIDC-configuratiebestand voor Google
Vervang de tekst van de tijdelijke aanduiding in het volgende voorbeeld door de informatie die door uw IdP is verstrekt:
name: Name of Your Organization backend: social_core.backends.google_openidconnect.GoogleOpenIdConnect settings: base_uri: example.com google_openidconnect_key: your_id.apps.googleusercontent.com google_openidconnect_secret: your_secret
Een SSO-configuratie bijwerken vanaf de commandoregel (CLI)
Een configuratiestandaard bijwerken vanaf de CLI:
- Aanmelden als RaaS-gebruiker:
sudo su raas
- Navigeer naar de directory waarin u het configuratiebestand heeft opgeslagen. Werk het configuratiebestand indien nodig bij.
- Sla het configuratiebestand op met het volgende commando:
raas save_sso_config <filepath>
Een SSO-configuratie verwijderen vanaf de opdrachtregel (CLI)
Als toegang tot de gebruikersinterface van SaltStack Config beschikbaar is, wordt u aanbevolen een SSO-configuratie te verwijderen met behulp van de gebruikersinterface. U kunt echter een SSO-configuratie verwijderen met behulp van de API (RaaS) indien nodig.
Als u een SSO-configuratie wilt verwijderen, moet u de slug vinden die is toegewezen aan de configuratie die u wilt verwijderen. De slug is een voorstelling van de configuratienaam, gescheiden door een streepje - en met alleen kleine letters. De slug kan bijvoorbeeld naam-van-uw-organisatie zijn. Voor SAML met Google is google de slug.
- Genereer in de API (RaaS) een lijst met uw SSO-backends met behulp van het volgende commando:
client.api.settings.get_sso_backends()
- Zoek in de lijst met SSO-backends naar de slug voor de configuratie die u wilt verwijderen. Voer vervolgens het volgende commando in en vervang de tekst met de tijdelijke aanduiding door uw configuratieslug:
client.api.settings.delete_sso_config('slug-for-your-configuration')
