В рабочей области «Проверка подлинности» можно настроить единый вход в SaltStack Config для работы с системой проверки подлинности, совместимой с протоколом SAML.

Примечание: Для проверки подлинности пользователей в SaltStack Config при необходимости можно использовать несколько систем одновременно. Например, можно использовать поставщик удостоверений (IdP) на базе протоколов SAML или LDAP и одновременно хранить некоторые учетные данные пользователей на сервере RaaS. Однако SaltStack Config не позволяет настраивать более двух поставщиков SAML или одновременно два поставщика LDAP.

О едином входе SAML

Единый вход SAML — это функция, которую многие организации настраивают при внедрении SaltStack Config. Помимо прочего, единый вход предоставляет следующие преимущества.

  • Сокращение времени, которые тратят пользователи при входе в службы с одним и тем же удостоверением. После того как пользователь входит в одну из служб, использующих единый вход, его подлинность автоматически подтверждается во всех службах организации.
  • Уменьшение объема учетных данных. Пользователь должен запомнить только один набор учетных данных.

Реализацию протокола единого входа SAML обеспечивают многие службы, в том числе ADFS, OneLogin, Okta, Shibboleth, SimpleSAMLPHP, Google Suite и др.

Взаимодействие системы единого входа SAML с SaltStack Config

Когда SaltStack Config получает успешное утверждение об удостоверении от любой поддерживаемой интегрированной службы проверки подлинности, решение выполняет поиск учетных данных пользователя, соответствующих удостоверению из утверждения. При наличии совпадающих данных выполняется вход в систему для пользователя с соответствующей учетной записью.

Например, если SaltStack Config получает утверждение ADFS для пользователя и настроенный атрибут удостоверения имеет значение fred, сервер SSE будет искать учетную запись с именем пользователя fred. В случае обнаружения будет выполнен вход в систему для соответствующего пользователя. В противном случае во входе будет отказано.

Терминология проверки подлинности SAML

Аббревиатура Определение
SAML

Security Assertion Markup Language, язык разметки заявлений системы безопасности

SAML — это открытый протокол (его также иногда называют стандартом) для обмена данными проверки подлинности и авторизации. В частности, он используется для обмена данными между поставщиком удостоверений и поставщиком услуг.

SAML — это система единого входа с помощью браузера. Все взаимодействия происходят в агенте пользователя (браузере). Поставщик услуг (например, SaltStack Config) не взаимодействует с поставщиком удостоверений (например, Azure AD). Это разделение позволяет проверять подлинность в разных доменах безопасности: поставщик услуг может находиться в одном (возможно, общедоступном) домене, а поставщик удостоверений — в отдельном защищенном сегменте сети.
IdP

Поставщик удостоверений

В задачу IdP входит идентификация пользователей на основе учетных данных. Поставщик удостоверений — это программная служба, которая соответствует требованиям спецификации SAML к поставщикам удостоверений. Обычно IdP предлагает интерфейс экрана входа и предоставляет поставщикам услуг информацию о пользователе после успешной проверки подлинности.

Далее указаны некоторые поставщики удостоверений.

  • ADFS
  • Azure AD
  • Google SAML
  • Shibboleth
  • Okta
  • OneLogin
  • PingFederated
  • SimpleSAMLPHP
SP

Поставщик услуг или проверяющая сторона

Поставщик услуг (SP) — как правило, веб-сайт, который предоставляет конечным пользователям информацию, инструменты, отчеты и т. д. Поставщик услуг — это программная служба, которая соответствует требованиям спецификации SAML к поставщикам услуг в SaltStack Config. В продуктах Microsoft (например Azure AD и ADFS) поставщик услуг называется проверяющей стороной.

В нашем сценарии SaltStack Config — поставщик услуг. SaltStack Config принимает заявления проверки подлинности от IdP и позволяет пользователям войти в систему.

SP не может проверять подлинность с помощью IdP, если он не указан в списке утвержденных служб. Добавление в SP списка утвержденных IdP — часть общей процедуры настройки.
SSO

Единый вход

Единый вход — это система проверки подлинности, в которой пользователю не требуется входить во вторую службу, поскольку ей передаются сведения о пользователе, который до этого уже прошел проверку подлинности.
SLO

Единый выход

Когда пользователь выходит из службы, некоторые поставщики удостоверений могут вывести его из всех других служб, где он прошел проверку подлинности.

SaltStack Config пока не поддерживает SLO.
RBAC

Управление доступом на основе ролей

Управление доступом на основе ролей, или безопасность на основе ролей — это дополнительное средство управления доступом, которое ограничивает доступ к сети в зависимости от роли сотрудника в организации. Роли в RBAC соответствуют уровням доступа сотрудников к сети.

Сотрудникам разрешается доступ только к тем сетевым ресурсам и задачам, которые требуются для эффективного выполнения их обязанностей. Например, сотрудникам на младших должностях обычно закрыт доступ к конфиденциальным данным или сетевым ресурсам, если они не требуются для выполнения служебных обязанностей.

SaltStack Config может поддерживать RBAC с конфигурациями SAML с помощью рабочей области «Роли». Однако для того, чтобы пользователь был добавлен в базу данных локальных пользователей и им можно было управлять в рабочей области «Роли», ему сначала необходимо войти в SaltStack Config. Дополнительные сведения см. в разделе Настройка RBAC для SAML.