В этом разделе приведены рекомендации по настройке единого входа и инициализации пользователей в Zabbix из Microsoft Entra ID (ранее Microsoft Azure Active Directory) с использованием аутентификации SAML 2.0.
1. Войдите в центр администрирования Microsoft Entra по адресу Microsoft Entra ID. Для тестирования вы можете создать бесплатную пробную учётную запись в Microsoft Entra ID.
2. В центре администрирования Microsoft Entra выберите Applications (Приложения) -> Enterprise applications (Корпоративные приложения) -> New application (Новое приложение) -> Create your own application (Создать собственное приложение).
3. Добавьте имя своего приложения и выберите опцию Integrate any other application... (Интеграция любого другого приложения...). После этого нажмите Create (Создать).
1. На странице приложения перейдите в раздел Set up single sign on (Настройка единого входа) и нажмите Get started (Начать). Затем выберите SAML.
2. Отредактируйте Basic SAML Configuration (Базовую конфигурацию SAML):
zabbix
;https://<путь-к-веб-интерфейсу-zabbix>/index_sso.php?acs
:Обратите внимание, что «https» является обязательным. Чтобы это работало с Zabbix, необходимо добавить в conf/zabbix.conf.php
следующую строку:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
3. Отредактируйте Attributes & Claims. Вы должны добавить все атрибуты, которые хотите передать в Zabbix (user_name, user_lastname, user_email, user_mobile, groups).
Имена атрибутов произвольны. Можно использовать разные имена атрибутов, однако необходимо, чтобы они совпадали со значениями соответствующего поля в настройках SAML в Zabbix.
Важно, чтобы в этом утверждении (claim) в выбранном Source attribute (Исходном атрибуте передавались в Zabbix именно имена групп (а не идентификаторы групп). В противном случае JIT-инициализация пользователей не будет работать должным образом.
4. В SAML Certificates (Сертификаты SAML) загрузите сертификат Base64, предоставленный Entra ID, и поместите его в conf/certs
вашей инсталляции веб-интерфейса Zabbix.
Установите для него права доступа 644, выполнив:
Убедитесь, что conf/zabbix.conf.php
содержит строку:
$SSO['IDP_CERT'] = 'conf/certs/entra.cer';
5. Используйте значения из Set up <имя вашего приложения> в Entra ID для настройки аутентификации SAML в Zabbix (см. следующий раздел):
1. В Zabbix перейдите в Настройки SAML (SAML settings) и заполните параметры конфигурации на основе конфигурации Entra ID:
Поле Zabbix | Поле настроек в Entra ID | Пример значения |
---|---|---|
IdP entity ID | Microsoft Entra identifier | |
URL единого входа (SSO service URL) |
Login URL | |
URL единого выхода (SLO service URL) |
Logout URL | |
ID объекта SP (SP entity ID) |
Identifier (Entity ID) | |
Атрибут имени пользователя (Username attribute) |
Custom attribute (claim) | user_email |
Атрибут имени группы (Group name attribute) |
Custom attribute (claim) | groups |
Атрибут имени пользователя (User name attribute) |
Custom attribute (claim) | user_name |
Атрибут фамилии пользователя (User last name attribute) |
Custom attribute (claim) | user_lastname |
Также необходимо настроить соответствие группе пользователей. Cоответствие способов оповещений является необязательным.
Нажмите Update (Обновить), чтобы сохранить эти настройки.
1. На странице приложения Entra ID в главном меню откройте страницу Provisioning. Нажмите Get started (Начать), а затем выберите режим Provisioning Mode=Automatic:
https://<путь-к-веб-интерфейсу-zabbix>/api_scim.php
2. Теперь вы можете добавить все атрибуты, которые будут передаваться с SCIM в Zabbix. Для этого нажмите Mappings, а затем Provision Microsoft Entra ID Users.
Внизу списка Attribute Mapping (Соответствие атрибутов) включите Show advanced options (Показать дополнительные параметры), а затем нажмите Edit attribute list for customappsso.
Внизу списка атрибутов добавьте собственные атрибуты с типом «String»:
Сохраните список.
3. Теперь вы можете добавлять соответствия для добавленных атрибутов. В нижней части списка Attribute Mapping нажмите Add New Mapping (Добавить новое соответствие) и создайте соответствия, как показано ниже:
Когда все соответствия будут добавлены, сохраните список соответствий.
4. В качестве предварительного условия для инициализации пользователей в Zabbix у вас должны быть настроены пользователи и группы в Entra ID.
Для этого перейдите в Microsoft Entra admin center (Центр администрирования Microsoft Entra), а затем добавьте пользователей/группы на страницах Users (Пользователи) и Groups (Группы) соответственно.
5. Когда пользователи и группы созданы в Entra AD, вы можете перейти в меню Users and groups (Пользователи и группы) вашего приложения и добавить их в приложение.
6. Перейдите в меню Provisioning вашего приложения и нажмите Start provisioning, чтобы инициализировать пользователей в Zabbix.
Обратите внимание, что запрос Users PATCH в Entra ID не поддерживает изменения в настройках оповещений.