11 Configuració de SAML amb Microsoft Entra ID

Vista general

Aquesta secció proporciona directrius per configurar l'inici de sessió únic a Zabbix des del Microsoft Entra ID (anteriorment Microsoft Azure Active Directory) mitjançant l'autenticació SAML 2.0.

Tingueu en compte que perquè l'inici de sessió únic funcioni, el nom d'usuari ha d'existir a Zabbix; tanmateix, no s'utilitzarà pas el mot de pas de Zabbix. Si l'autenticació té èxit, Zabbix farà coincidir un nom d'usuari local amb l'atribut de nom d'usuari retornat per SAML.

Configuració de Microsoft Entra ID

Crear aplicació

1. Inicieu sessió al centre d'administració de Microsoft Entra, a Microsoft Entra ID. Amb finalitats de prova, podeu crear un compte de prova de franc a Microsoft Entra ID.

2. Al centre d'administració de Microsoft Entra, trieu Aplicacions -> Aplicacions empresarials -> Afegir una aplicació nova -> Creeu la vostra pròpia aplicació.

3. Afegiu el nom de la vostra aplicació i trieu l'opció Integra qualsevol altra aplicació.... Després d'això, feu clic a Crear.

Configuració de l'inici de sessió únic

1. A la pàgina de l'aplicació, aneu a Configuració de l'inici de sessió únic i feu clic a Començar. Tot seguit, trieu SAML.

2. Editeu la Configuració bàsica de SAML:

  • A Identificador (ID d'entitat) definiu un nom únic per identificar la vostra aplicació amb l'ID de Microsoft Entra, per exemple, zabbix;

  • A URL de resposta (URL del servei de consum d'asserció) definiu el punt final de l'inici de sessió únic de Zabbix: https://<camí-a-la-ui-de-zabbix>/index_sso.php?acs:

Tingueu en compte que cal "https". Perquè això funcioni amb Zabbix, cal afegir a conf/zabbix.conf.php la següent línia:

$SSO['SETTINGS'] = ['use_proxy_headers' => true];

3. Editeu Atributs i reclamacions. Heu d'afegir l'atribut de nom d'usuari que voleu passar a Zabbix (user_email, en aquest cas).
Els noms dels atributs són arbitraris. Es poden utilitzar noms d'atributs diferents, però cal que coincideixin amb el valor del camp respectiu a la configuració SAML de Zabbix.

  • Feu clic a Afegeix una nova reclamació per afegir un atribut:

4. A Certificats SAML, descarregueu el certificat Base64 proporcionat per Entra ID i col·loqueu-lo a conf/certs de la instal·lació del frontend de Zabbix.

Establiu-hi permisos 644 executant:

chmod 644 entra.cer

Assegureu-vos que conf/zabbix.conf.php contingui la línia:

$SSO['IDP_CERT'] = 'conf/certs/entra.cer';

5. Utilitzeu els valors de Configura <nom de la vostra aplicació> a Entra ID per configurar l'autenticació SAML de Zabbix (veieu la secció següent):

Configuració de Zabbix

1. A Zabbix, aneu a Configuració SAML i ompliu les opcions de configuració basades en la configuració d'Entra ID:

Camp Zabbix Camp de configuració a Entra ID Valor de mostra
Identificador d'entitat d'IdP Identificador d'Entra
URL del servei SSO URL d'inici de sessió
URL del servei SLO URL de tancament
SP entity ID Identificador (ID d'entitat)
Atribut nom d'usuari Atribut personalitzat (reclamació) email_usuari

Feu clic a Actualitzar per desar aquesta configuració.