13 Configuração de SAML com OneLogin
Visão geral
Esta seção fornece diretrizes para configurar o login único e o provisionamento de usuários no Zabbix a partir do OneLogin usando autenticação SAML 2.0.
Configuração do OneLogin
Criando a aplicação
1. Faça login na sua conta no OneLogin. Para fins de teste, você pode criar uma conta gratuita de desenvolvedor no OneLogin.
2. Na interface web do OneLogin, navegue até Applications → Applications.
3. Clique em "Add App" e pesquise o app apropriado. As orientações nesta página são baseadas no exemplo de app SCIM Provisioner with SAML (SCIM v2 Enterprise, full SAML).
4. Para começar, talvez você queira personalizar o nome de exibição do seu app. Você também pode querer adicionar o ícone e os detalhes do app. Depois disso, clique em Save.
Configurando o provisionamento SSO/SCIM
1. Em Configuration -> Application details, defina o endpoint de single sign-on do Zabbix http://<zabbix-instance-url>/zabbix/index_sso.php?acs como valor destes campos:
- ACS (Consumer) URL Validator
- ACS (Consumer) URL
Observe o uso de "http", e não "https", para que o parâmetro acs não seja removido na requisição.
Também é possível usar "https". Para que isso funcione com o Zabbix, é necessário adicionar a conf/zabbix.conf.php a seguinte linha:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];Deixe as demais opções com seus valores padrão.
2. Em Configuration -> API connection, defina os seguintes valores:
- SCIM Base URL:
https://<zabbix-instance-url>/zabbix/api_scim.php - SCIM JSON Template: deve conter todos os atributos personalizados que você deseja passar ao Zabbix via SCIM, como
user_name,user_lastname,user_emaileuser_mobile:
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"userName": "{$parameters.scimusername}",
"name": {
"familyName": "{$user.lastname}",
"givenName": "{$user.firstname}"
},
"user_name": "{$user.firstname}",
"user_lastname": "{$user.lastname}",
"user_mobile": "{$user.phone}",
"user_email": "{$user.email}"
}Os nomes dos atributos são arbitrários. Podem ser usados nomes de atributos diferentes; no entanto, é necessário que correspondam ao respectivo valor de campo nas configurações SAML do Zabbix.
Observe que, para o provisionamento de usuários funcionar, o OneLogin precisa receber em resposta um atributo 'name' com 'givenName' e 'familyName', mesmo que isso não seja exigido pelo provedor de serviço. Portanto, é necessário especificar isso no schema na parte de configuração da aplicação.
- SCIM Bearer Token: insira um token da API do Zabbix com permissões de Super admin.
Clique em Enable para ativar a conexão.
3. Na página Provisioning, habilite a opção Provisioning:
4. A página Parameters contém uma lista de parâmetros padrão:
- Certifique-se de que 'scimusername' corresponda ao valor de login do usuário no OneLogin (por exemplo, email);
- Marque a opção Include in User Provisioning para o parâmetro 'Groups';
- Clique em "+" para criar os parâmetros personalizados necessários para as asserções SAML e o provisionamento de usuários, como
user_name,user_lastname,user_emaileuser_mobile:
Ao adicionar um parâmetro, certifique-se de marcar as opções Include in SAML assertion e Include in User Provisioning.
- Adicione um parâmetro 'group' que corresponda às funções do usuário no OneLogin. As funções do usuário serão passadas como uma string, separada por ponto e vírgula
;. As funções do usuário no OneLogin serão usadas para criar grupos de usuários no Zabbix:
Verifique a lista de parâmetros:
5. Na página Rules, crie mapeamentos de funções de usuário para o parâmetro Groups padrão.
Você pode usar uma expressão regular para passar funções específicas como grupos. Os nomes das funções não devem conter ;, pois o OneLogin o usa como separador ao enviar um atributo com várias funções.
Configuração do Zabbix
1. No Zabbix, vá para as configurações de SAML e preencha as opções de configuração com base na configuração do OneLogin:
| Campo do Zabbix | Campo de configuração no OneLogin | Valor de exemplo |
|---|---|---|
| IdP entity ID | Issuer URL (veja a aba SSO do seu aplicativo no OneLogin) |
|
| SSO service URL | SAML 2.0 Endpoint (HTTP) (veja a aba SSO do seu aplicativo no OneLogin) |
|
| SLO service URL | SLO Endpoint (HTTP) (veja a aba SSO do seu aplicativo no OneLogin) |
|
| Username attribute | Parâmetro personalizado | user_email |
| Group name attribute | Parâmetro personalizado | group |
| User name attribute | Parâmetro personalizado | user_name |
| User last name attribute | Parâmetro personalizado | user_lastname |
Também é necessário configurar o mapeamento de grupos de usuários. O mapeamento de mídia é opcional. Clique em Update para salvar essas configurações.
2. Baixe o certificado fornecido pelo OneLogin e coloque-o em conf/certs da instalação do frontend do Zabbix, como idp.crt.
Defina permissões 644 para ele executando:
chmod 644 idp.crtVocê pode acessar o download do certificado no OneLogin em Applications -> SSO -> clique em View details abaixo do certificado atual.
É possível usar um nome e um local diferentes para o certificado. Nesse caso, certifique-se de adicionar a seguinte linha em conf/zabbix.conf.php:
$SSO['IDP_CERT'] = 'path/to/certname.crt';Provisionamento de usuários SCIM
Com o provisionamento de usuários habilitado, agora é possível adicionar/atualizar usuários e suas funções no OneLogin e tê-los provisionados imediatamente no Zabbix.
Por exemplo, você pode criar um novo usuário:
Adicione-o a uma função de usuário e à aplicação que fará o provisionamento do usuário:
Ao salvar o usuário, ele será provisionado no Zabbix. Em Application -> Users, você pode verificar o status de provisionamento dos usuários atuais da aplicação:
Se o provisionamento for bem-sucedido, o usuário poderá ser visto na lista de usuários do Zabbix.
