Перед тем как создать новую конфигурацию SAML для SaltStack Config, ознакомьтесь с приведенными ниже действиями, чтобы вы могли ориентироваться в процедуре настройки.
Действия перед настройкой
Перед настройкой SAML в SaltStack Config сделайте следующее.
- Установите поставщик удостоверений SAML (IdP) и проверьте его работу. В этом разделе не приводятся инструкции по установке IdP. Обратитесь за помощью к администратору IdP.
- Убедитесь в наличии доступа к учетным данным и данным конфигурации, которые предоставляет IdP. См. также следующий раздел, Создание сертификата поставщика услуг.
Создание сертификата поставщика услуг
Чтобы добавить SaltStack Config в качестве утвержденного поставщика услуг в свой IdP, необходимо создать сертификат. Поставщику услуг SaltStack Config требуется пара ключей RSA. При настройке SAML для SaltStack Config значения закрытого и открытого ключей вводятся в нескольких полях.
Чтобы создать сертификат, сделайте следующее.
- Сгенерируйте закрытый ключ cert.perm, используя следующую команду.
openssl genrsa -out cert.pem 2048
- Создайте открытый ключ в дополнение к закрытому ключу, созданному на предыдущем шаге. Эту процедуру можно выполнить с помощью следующей команды.
openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
- В процессе выполнения этой команды укажите запрашиваемые данные.
- Название страны
- Название области или региона
- Название местности или города
- Название организации или компании
- Название организационного подразделения
- Имя хоста сервера
- Адрес электронной почты
Теперь имеется пара открытого и закрытого ключей, которая будет использоваться в конфигурации SAML. Запишите эти ключи, чтобы ими можно было быстро воспользоваться в ходе дальнейшей настройки. Перейдите к следующему разделу инструкций, Настройка конфигурации SAML.
Настройка конфигурации SAML
Перед выполнением действий, описанных в этом разделе, не забудьте создать открытый и закрытый ключи для SaltStack Config в качестве поставщика услуг. Дополнительные указания см. в разделе Создание сертификата поставщика услуг.
Чтобы настроить SSO SAML с использованием предпочтительного для вашей организации IdP в SaltStack Config, сделайте следующее.
- В боковом меню выберите Администрирование > Проверка подлинности.
- Щелкните Создать.
- В меню Тип конфигурации выберите SAML.
В рабочей области отображаются поддерживаемые параметры данного типа конфигурации SAML.
- На вкладке Настройки внесите информацию о своей среде SaltStack Config в следующие поля.
- Имя
- Базовый URI
- Идентификатор объекта
- Название компании
- Отображаемое имя
- Веб-сайт
Примечание: Описание этих полей см. в разделе Информационные поля SAML. - В поле Закрытый ключ вставьте закрытый ключ, сгенерированный при создании сертификата поставщика услуг для SaltStack Config. Более подробную информацию см. в разделе Создание сертификата поставщика услуг.
- В поле Открытый ключ вставьте открытый ключ, сгенерированный при создании сертификата поставщика услуг для SaltStack Config.
- Укажите в соответствующих полях необходимые контактные данные.
- Техническая поддержка
- Клиентская поддержка
- В разделе Сведения о поставщике заполните следующие поля метаданными о поставщике удостоверений.
- Идентификатор объекта
- Идентификатор пользователя
- Электронная почта
- Имя пользователя
- URL-адрес
- Сертификат x509
Примечание: Примерами популярных поставщиков удостоверений могут служить ADFS, Azure AD и Google SAML. Укажите в этих полях данные, предоставленные вашим IdP. Более подробную информацию об этих полях см. в разделе Информационные поля SAML. - НЕОБЯЗАТЕЛЬНО. Установите флажок Проверка описаний атрибутов, если нужно, чтобы SaltStack Config проверял описания атрибутов SAML для профилей пользователей. Этот флажок установлен по умолчанию.
- Нажмите Сохранить.
Теперь настройка SAML для SaltStack Config завершена. Перейдите к следующему разделу инструкций Настройка IdP с помощью сведений о поставщике услуг.
Настройка IdP с помощью сведений о поставщике услуг
Прежде чем выполнять действия этого раздела, настройте SAML в SaltStack Config. Более подробную информацию см. в инструкциях по настройке конфигурации SAML.
Чтобы завершить настройку SAML, поставщику удостоверений нужны два важных фрагмента данных.
- URL-адрес службы AssertionCustomerService
- Общедоступный сертификат (x509) (открытый ключ), сгенерированный при создании сертификата поставщика услуг для SaltStack Config. Более подробную информацию см. в разделе Создание сертификата поставщика услуг.
URL-адрес службы AssertionCustomerService — это веб-адрес, который поставщик услуг использует для принятия сообщений и артефактов SAML при утверждении удостоверений. В данном случае поставщик услуг — SaltStack Config.
Ниже приводится пример стандартного формата URL-адреса AssertionCustomerService: https://<your-sse-hostname>/auth/complete/saml
После передачи этих данных своему IdP перейдите к следующему разделу инструкций, Создание сопоставлений атрибутов.
Создание сопоставлений атрибутов
SaltStack Config получает информацию о пользователе из входящих утверждений SAML. В связи с этим IdP должен обеспечить отправку требуемых значений в качестве дополнительных атрибутов. Процесс сопоставления этих атрибутов уникален для каждого поставщика удостоверений SAML. Если нужна помощь в создании сопоставления атрибутов, см. документацию к своему IdP или обратитесь к администратору.
Для SaltStack Config необходимо определить следующие атрибуты пользователей.
- Идентификатор пользователя
- Электронная почта
- Имя пользователя
Многие организации сопоставляют все три значения с одним атрибутом — адресом электронной почты пользователя. Адрес электронной почты пользователя часто используется, потому что он, как правило, уникален в организации.
Настройка RBAC для SAML
SaltStack Config поддерживает создание ролей и разрешений для пользователей с различными ролями. Управление RBAC для SAML осуществляется так же, как и управление пользователями, чьи учетные данные хранятся исходно в SaltStack Config на сервере API-интерфейса (RaaS). Подробности о рабочей области «Роли» см. в разделе Роли и разрешения.
После создания ролей можно добавить пользователей SAML и назначить им роли. Подробности см. в следующем разделе, Добавление пользователей.
Добавление пользователей
По умолчанию новые пользователи регистрируются в SaltStack Config только после первого успешного входа с помощью SAML. Можно также добавить пользователей вручную, чтобы предварительно зарегистрировать их в SaltStack Config.
Чтобы вручную добавить пользователей, сделайте следующее.
- В рабочей области «Проверка подлинности» выберите конфигурацию SAML в списке Конфигурации проверки подлинности, чтобы открыть настройки конфигурации.
- В настройках конфигурации выберите вкладку Пользователь.
- Нажмите кнопку Создать.
- В поле Имя пользователя введите учетные данные добавляемого пользователя. Это имя пользователя должно совпадать с именем пользователя, назначенного SAML.
Примечание: Проверьте правильность написания. После создания пользователя сменить или исправить его имя нельзя.
- В поле Роли выберите роли, которые необходимо присвоить пользователю. По умолчанию всем новым пользователям назначается роль «Пользователь». Дополнительные сведения см. в разделе Настройка RBAC для SAML.
- Нажмите Сохранить.
Примечание: Если пользователь создается вручную, удалить его можно только до первого входа в систему. После первоначального входа пользователя кнопка удаления по-прежнему будет присутствовать в этой рабочей области, но работать она больше не будет.
Устранение неполадок и проверка конфигурации
Настроив единый вход в SaltStack Config, попробуйте войти в систему в качестве обычного пользователя и убедиться, что процедура входа выполняется правильно, а роли и разрешения определены корректно.
Чтобы устранить возможные ошибки, попробуйте воспользоваться следующими средствами.
- Использование инструмента трассировки SAML, который доступен для браузеров Firefox и Chrome.
- Просмотр сообщений журнала
/var/log/raas/raas
.