可以使用 [驗證] 工作區在 SaltStack Config 中設定 SSO,以與 SAML 通訊協定相容的驗證系統搭配使用。
關於 SAML SSO
SAML Single Sign-On (SSO) 是許多組織在實作 SaltStack Config 期間設定的功能。SSO 具有很多優勢,其中包括:
- 縮短使用者以相同身分登入服務所花的時間。使用者登入某個機構的其中一項服務後,即會自動進行驗證,以進入使用 SSO 的任何其他服務。
- 減少密碼疲勞。使用者只需記住一組認證,而非多組認證。
許多服務提供 SAML SSO 通訊協定的實作,包括 ADFS、OneLogin、Okta、Shibboleth、SimpleSAMLPHP、Google Suite 等。
SAML SSO 如何與 SaltStack Config 搭配使用
當 SaltStack Config 從其支援的任何驗證整合收到成功的身分識別判斷提示時,便會搜尋與已判斷提示身分識別值相符的使用者登入。如果找到相符的登入,則會登入相關聯的使用者帳戶。
例如,如果 SaltStack Config 收到使用者的 ADFS 判斷提示,並且所設定身分識別屬性的值為「fred」,則 SSE 會搜尋使用者名稱為「fred」的登入。如果找到一個,則相關聯的使用者會登入。否則,登入失敗。
SAML 驗證術語
| 縮略字 | 定義 |
|---|---|
| SAML | 安全性聲明標記語言 (SAML,發音為 SAM-el) SAML 是一種開放式通訊協定 (有時也稱為標準),用於雙方之間交換驗證和授權資料。尤其是用於在身分識別提供者與服務提供者之間交換資料。 SAML 是以瀏覽器為基礎的 Single Sign-On (SSO)。所有通訊均透過使用者代理程式 (瀏覽器) 進行。服務提供者 (例如 SaltStack Config) 和身分識別提供者 (例如 Azure AD) 之間沒有通訊。這種分離允許跨安全性網域進行驗證,其中服務提供者可位於一個 (可能為公用) 網域,而身分識別提供者位於單獨的安全網路區段中。 |
| IdP | 身分識別提供者 IdP 的工作是根據認證識別使用者。身分識別提供者是一種軟體,可提供符合 SAML 規格中身分識別提供者部分的服務。IdP 通常會提供登入畫面介面,並且在成功驗證後向服務提供者顯示已驗證使用者的相關資訊。 身分識別提供者範例:
|
| SP | 服務提供者或信賴方 SP (服務提供者) 通常是向終端使用者提供資訊、工具、報告等的網站。服務提供者是一種軟體,可提供符合 SAML 規格 SaltStack Config 中服務提供者部分的服務。Microsoft 產品 (例如 Azure AD 和 ADFS) 將 SP 稱為信賴方。 在此案例中,SaltStack Config 是服務提供者。SaltStack Config 接受 IdP 的驗證判斷提示並允許使用者登入。 SP 無法透過 IdP 進行驗證,除非其列於已核准服務清單中。使用已核准 IdP 清單設定 SP 是設定程序的一部分。 |
| SSO | Single Sign-on Single Sign-on 是一種驗證系統,在此系統中,使用者不需要登入第二個服務,因為已驗證使用者的相關資訊會傳遞至該服務。 |
| SLO | 單一登出 當使用者登出某項服務時,一些 IdP 隨後會將該使用者登出使用者已驗證的所有其他服務。 SaltStack Config 目前不支援 SLO。 |
| RBAC | 角色型存取控制 角色型存取控制 (亦稱為以角色為基礎的安全性) 是一種進階存取控制措施,可依據組織內人員的角色限制網路存取。RBAC 中的角色指的是員工對網路具有的存取層級。 員工只能存取網路資源或執行有效履行其工作職責所必需的工作。例如,如果層級較低的員工不需要機密資料或網路資源來履行責任,則通常無法存取這些機密資料或網路資源。 SaltStack Config 可以使用 [角色] 工作區支援具有 SAML 組態的 RBAC。不過,使用者首先需要登入 SaltStack Config,才能新增為本機使用者資料庫中的使用者並透過 [角色] 工作區進行管理。如需詳細資訊,請參閱〈設定適用於 SAML 的 RBAC〉。 |
