Перед тем как создать новую конфигурацию SAML для SaltStack Config, ознакомьтесь с приведенными ниже действиями, чтобы вы могли ориентироваться в процедуре настройки.

Действия перед настройкой

Перед настройкой SAML в SaltStack Config сделайте следующее.

  • Установите поставщик удостоверений SAML (IdP) и проверьте его работу. В этом разделе не приводятся инструкции по установке IdP. Обратитесь за помощью к администратору IdP.
  • Убедитесь в наличии доступа к учетным данным и данным конфигурации, которые предоставляет IdP. См. также следующий раздел, Создание сертификата поставщика услуг.

Создание сертификата поставщика услуг

Чтобы добавить SaltStack Config в качестве утвержденного поставщика услуг в свой IdP, необходимо создать сертификат. Поставщику услуг SaltStack Config требуется пара ключей RSA. При настройке SAML для SaltStack Config значения закрытого и открытого ключей вводятся в нескольких полях.

Примечание: Эту пару ключей можно сгенерировать в любой системе. Ее не требуется создавать на сервере SSE. Эти команды выполняются в любой системе, где установлены служебные программы openssl. Кроме того, для создания самозаверяющего сертификата можно использовать систему Salt. См. документацию по использованию самозаверяющих сертификатов с модулем TLS Salt.

Чтобы создать сертификат, сделайте следующее.

  1. Сгенерируйте закрытый ключ cert.perm с помощью следующей команды.
    openssl genrsa -out cert.pem 2048
  2. Создайте открытый ключ в дополнение к закрытому ключу, созданному на предыдущем шаге. Эту процедуру можно выполнить с помощью следующей команды.
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. В процессе выполнения этой команды укажите запрашиваемые данные.
    • Название страны
    • Название области или региона
    • Название местности или города
    • Название организации или компании
    • Название организационного подразделения
    • Имя хоста сервера
    • Адрес электронной почты

Теперь имеется пара открытого и закрытого ключей, которая будет использоваться в конфигурации SAML. Запишите эти ключи, чтобы ими можно было быстро воспользоваться в ходе дальнейшей настройки. Перейдите к следующему разделу инструкций, Настройка конфигурации SAML.

Настройка конфигурации SAML

Перед выполнением действий, описанных в этом разделе, не забудьте создать открытый и закрытый ключи для SaltStack Config в качестве поставщика услуг. Дополнительные указания см. в разделе Создание сертификата поставщика услуг.

Чтобы настроить SSO SAML с использованием предпочтительного для вашей организации IdP в SaltStack Config, сделайте следующее.

  1. В боковом меню выберите Администрирование > Проверка подлинности.
  2. Щелкните Создать.
  3. В меню Тип конфигурации выберите SAML.

    В рабочей области отображаются поддерживаемые параметры данного типа конфигурации SAML.

  4. На вкладке Настройки внесите информацию о своей среде SaltStack Config в следующие поля.
    • Имя
    • Базовый URI
    • Идентификатор объекта
    • Название компании
    • Отображаемое имя
    • Веб-сайт
    Примечание: Описание этих полей см. в разделе Информационные поля SAML.
  5. В поле Закрытый ключ вставьте закрытый ключ, сгенерированный при создании сертификата поставщика услуг для SaltStack Config. Более подробную информацию см. в разделе Создание сертификата поставщика услуг.
  6. В поле Открытый ключ вставьте открытый ключ, сгенерированный при создании сертификата поставщика услуг для SaltStack Config.
  7. Укажите в соответствующих полях необходимые контактные данные.
    • Техническая поддержка
    • Клиентская поддержка
  8. В разделе Сведения о поставщике заполните следующие поля метаданными о поставщике удостоверений.
    • Идентификатор объекта
    • Идентификатор пользователя
    • Электронная почта
    • Имя пользователя
    • URL-адрес
    • Сертификат x509
    Примечание: Примерами популярных поставщиков удостоверений могут служить ADFS, Azure AD и Google SAML. Укажите в этих полях данные, предоставленные вашим IdP. Более подробную информацию об этих полях см. в разделе Информационные поля SAML.
  9. НЕОБЯЗАТЕЛЬНО. Установите флажок Проверка описаний атрибутов, если нужно, чтобы SaltStack Config проверял описания атрибутов SAML для профилей пользователей. Этот флажок установлен по умолчанию.
  10. Нажмите Сохранить.

Теперь настройка SAML для SaltStack Config завершена. Перейдите к следующему разделу инструкций Настройка IdP с помощью сведений о поставщике услуг.

Настройка IdP с помощью сведений о поставщике услуг

Прежде чем выполнять действия этого раздела, настройте SAML в SaltStack Config. Более подробную информацию см. в инструкциях по настройке конфигурации SAML.

Чтобы завершить настройку SAML, поставщику удостоверений нужны два важных фрагмента данных.

  • URL-адрес службы AssertionCustomerService
  • Общедоступный сертификат (x509) (открытый ключ), сгенерированный при создании сертификата поставщика услуг для SaltStack Config. Более подробную информацию см. в разделе Создание сертификата поставщика услуг.

URL-адрес службы AssertionCustomerService — это веб-адрес, который поставщик услуг использует для принятия сообщений и артефактов SAML при утверждении удостоверений. В данном случае поставщик услуг — SaltStack Config.

Ниже приводится пример стандартного формата URL-адреса AssertionCustomerService: https://<your-sse-hostname>/auth/complete/saml

После передачи этих данных своему IdP перейдите к следующему разделу инструкций, Создание сопоставлений атрибутов.

Создание сопоставлений атрибутов

SaltStack Config получает информацию о пользователе из входящих утверждений SAML. В связи с этим IdP должен обеспечить отправку требуемых значений в качестве дополнительных атрибутов. Процесс сопоставления этих атрибутов уникален для каждого поставщика удостоверений SAML. Если нужна помощь в создании сопоставления атрибутов, см. документацию к своему IdP или обратитесь к администратору.

Для SaltStack Config необходимо определить следующие атрибуты пользователей.

  • Идентификатор пользователя
  • Электронная почта
  • Имя пользователя

Многие организации сопоставляют все три значения с одним атрибутом — адресом электронной почты пользователя. Адрес электронной почты пользователя часто используется, потому что он, как правило, уникален в организации.

Настройка RBAC для SAML

SaltStack Config поддерживает создание ролей и разрешений для пользователей с различными ролями. Управление RBAC для SAML осуществляется так же, как и управление пользователями, чьи учетные данные хранятся исходно в SaltStack Config на сервере API-интерфейса (RaaS). Подробности о рабочей области «Роли» см. в разделе Роли и разрешения.

После создания ролей можно добавить пользователей SAML и назначить им роли. Подробности см. в следующем разделе, Добавление пользователей.

Добавление пользователей

По умолчанию новые пользователи регистрируются в SaltStack Config только после первого успешного входа с помощью SAML. Можно также добавить пользователей вручную, чтобы предварительно зарегистрировать их в SaltStack Config.

Чтобы вручную добавить пользователей, сделайте следующее.

  1. В рабочей области «Проверка подлинности» выберите конфигурацию SAML в списке Конфигурации проверки подлинности, чтобы открыть настройки конфигурации.
  2. В настройках конфигурации выберите вкладку Пользователь.
  3. Нажмите кнопку Создать.
  4. В поле Имя пользователя введите учетные данные добавляемого пользователя. Это имя пользователя должно совпадать с именем пользователя, назначенного SAML.
    Примечание: Проверьте правильность написания. После создания пользователя сменить или исправить его имя нельзя.
  5. В поле Роли выберите роли, которые необходимо присвоить пользователю. По умолчанию всем новым пользователям назначается роль «Пользователь». Дополнительные сведения см. в разделе Настройка RBAC для SAML.
  6. Нажмите Сохранить.
    Примечание: Если пользователь создается вручную, удалить его можно только до первого входа в систему. После первоначального входа пользователя кнопка удаления по-прежнему будет присутствовать в этой рабочей области, но работать она больше не будет.

Устранение неполадок и проверка конфигурации

Настроив единый вход в SaltStack Config, попробуйте войти в систему в качестве обычного пользователя и убедиться, что процедура входа выполняется правильно, а роли и разрешения определены корректно.

Чтобы устранить возможные ошибки, попробуйте воспользоваться следующими средствами.

  • Использование инструмента трассировки SAML, который доступен для браузеров Firefox и Chrome.
  • Просмотр сообщений журнала /var/log/raas/raas.
Примечание: После начальной подготовки с успешной проверкой подлинности SAML пользователей нельзя удалять в пользовательском интерфейсе SaltStack Config или с помощью API-интерфейса.