10 Suport SAML amb Microsoft Azure AD

Vista general

Aquesta secció ofereix directrius per configurar l'inici de sessió únic i el subministrament d'usuaris a Zabbix des de Microsoft Active Directory mitjançant l'autenticació SAML 2.0.

Configuració de Microsoft Azure

Crear aplicació

1. Inicieu sessió al vostre compte de Microsoft Azure. Amb finalitats de prova, podeu crear un compte de prova de franc a Microsoft Azure.

2. Al menú principal (veieu la part superior esquerra de la pantalla) trieu Azure Active Directory.

3. Trieu Aplicacions empresarials -> Afegir una aplicació nova -> Creeu la vostra pròpia aplicació.

4. Afegiu el nom de la vostra aplicació i trieu l'opció Integra qualsevol altra aplicació.... Després d'això, feu clic a Crear.

Configuració de l'inici de sessió únic (single sign-on)

1. A la pàgina de la vostra aplicació, aneu a Configurar l'inici de sessió únic i feu clic a Comença. A continuació, seleccioneu SAML.

2. Editeu Configuració bàsica de SAML:

  • A Identificador (ID d'entitat), establiu un nom únic per identificar la vostra aplicació a Azure Active Directory, per exemple, zabbix;
  • A Reply URL (Assertion Consumer Service URL) establiu el punt final d'inici de sessió únic de Zabbix: https://<zabbix-instance-url>/zabbix/index_sso.php?acs:

Tingueu en compte que aquest camp requereix "https". Perquè això funcioni amb Zabbix, cal afegir a conf/zabbix.conf.php la línia següent:

$SSO['SETTINGS'] = ['use_proxy_headers' => true];

3. Editeu Atributs i reclamacions. Heu d'afegir tots els atributs que vulgueu passar a Zabbix (nom_usuari, cognom_usuari, correu electrònic_usuari, mòbil_usuari, grups).

Els noms dels atributs són arbitraris. Es poden emprar diferents noms d'atributs, però cal que coincideixin amb el valor del camp respectiu a la configuració de Zabbix SAML.

  • Feu clic a Afegeix una nova reclamació per afegir un atribut:

  • Feu clic a Afegir una reclamació de grup per afegir un atribut per passar grups a Zabbix:

4. A SAML Certificates, descarregueu el certificat proporcionat per Azure i col·loqueu-lo a conf/certs de la instal·lació de la interfície Zabbix.

Establiu-hi permisos 664 executant:

 chmod 644 azure.cer

Assegureu-vos que conf/zabbix.conf.php contingui la línia:

$SSO['IDP_CERT'] = 'conf/certs/azure.cer';

5. Empreu els valors de Configurar <nom de l'aplicació> a Azure per configurar l'autenticació SAML de Zabbix (vegeu la secció següent):

Configuració de Zabbix

1. A Zabbix, aneu a Configuració SAML i ompliu les opcions de configuració basades en la configuració d'Azure:

Camp Zabbix Camp de configuració a Azure Valor de mostra
Identificador d'entitat d'IdP Identificador d'Azure AD
URL del servei SSO URL d'inici de sessió
URL del servei SLO URL de tancament
Atribut nom d'usuari Atribut personalitzat (reclamació) email_usuari
Atribut del nom del grup Atribut personalitzat (reclamació) grups
Atribut del nom d'usuari Atribut personalitzat (reclamació) nom_usuari
Atribut del cognom de l'usuari Atribut personalitzat (reclamació) cognom_usuari

També és necessari per configurar l'assignació de grups d'usuaris. El mapatge de mitjans és opcional.

Feu clic a Actualitzar per desar aquesta configuració.

Aprovisionament d'usuaris SCIM

1. A la pàgina de l'aplicació Azure AD, des del menú principal obriu la pàgina Aprovisionament. Feu clic a Començar i, a continuació, trieu Mode d'aprovisionament automàtic:

  • A Tenant URL, establiu el valor següent: https://<zabbix-instance-url>/zabbix/api_scim.php
  • A Token secret, introduïu un token de l'API Zabbix amb permisos de superadministrador.
  • Feu clic a Provar connexió per veure si la connexió s'estableix.

Deseu la configuració.

2. Ara podeu afegir tots els atributs que es passaran amb SCIM a Zabbix. Per fer-ho, feu clic a Mapatges i després a Aprovisionar usuaris d'Azure Active Directory.

A la part inferior de la llista de mapatge d'atributs, activeu Veure les opcions avançades i feu clic a Editar la llista d'atributs per a customappsso.

A la part inferior de la llista d'atributs, afegiu els vostres propis atributs de tipus "Cadena":

Deseu la llista.

3. Ara podeu afegir mapes per als atributs afegits. A la part inferior de la llista de mapes d'atributs, feu clic a Afegirun mapa nou i creeu mapes tal com es mostra a continuació:

Quan s'afegeixin tots els mapes, deseu la llista de mapes.

4. Com a requisit previ per a l'aprovisionament d'usuaris a Zabbix, heu de tindre usuaris i grups configurats a Azure.

Per fer-ho, trieu Azure Active Directory al menú principal d'Azure (veieu la part superior esquerra de la pantalla) i, a continuació, afegiu usuaris/grups a les pàgines d'usuaris i grups respectius.

5. Quan s'hagin creat usuaris i grups a Azure AD, podeu anar al menú Usuaris i grups de la vostra aplicació i afegir-los a l'aplicació.

6. Aneu al menú Aprovisionament de la vostra aplicació i feu clic a Començar l'aprovisionament perquè els usuaris s'aprovisionin a Zabbix.

Tingueu en compte que la petició de PATCH d'usuaris a Azure no admet els canvis als suports.