本节提供配置 Okta 以启用 Zabbix 的 SAML 2.0 身份验证和用户配置的指南。
1. 前往 https://developer.okta.com/signup/ 并注册/登录您的帐户。
2. 在 Okta Web 界面中导航至 应用程序 → 应用程序。
3. 单击 创建应用程序集成。
选择“SAML 2.0”作为登录方法,然后单击 下一步。
4. 在常规设置中,填写应用程序名称,然后单击 下一步。
5. 在 SAML 配置中,输入下面提供的值,然后
单击 下一步。
http://<your-zabbix-url>/zabbix/index_sso.php?acs
acs
参数就不会在请求中被截断。还应标记 将其用于收件人 URL 和目标 URL 复选框。zabbix
6. 在下一个选项卡中,选择“我是软件供应商。我想将我的应用程序与 Okta 集成”,然后按“完成”。
7. 导航到新创建的应用程序的“分配”选项卡,然后单击“分配”按钮,然后从下拉菜单中选择“分配给人员”。
8. 在出现的弹出窗口中,将应用程序分配给将使用 SAML 2.0 与 Zabbix 进行身份验证的人员,然后单击“保存并返回”。
9. 导航到“登录”选项卡,然后单击“查看设置说明”按钮。
安装说明将在新选项卡中打开;配置 Zabbix 时保持此选项卡打开。
1. 在 Zabbix 中,转到 SAML 设置 并根据 Okta 的设置说明填写配置选项:
Zabbix 字段 | Okta 中的设置字段 | 示例值 |
---|---|---|
IdP 实体 ID | 身份提供商发行者 | |
SSO 服务 URL | 身份提供商单点登录 URL | |
用户名属性 | 属性名称 | usrEmail |
SP 实体 ID | 受众 URI | zabbix |
组名称属性 | 属性名称 | groups |
用户名属性 | 属性名称 | user_name |
用户姓氏属性 | 属性名称 | user_lastname |
还需要配置用户组和媒体映射。
2. 将 Okta SAML 设置说明中提供的证书 下载到 ui/conf/certs 文件夹中,作为 idp.crt。
通过运行以下命令为其设置 644 权限:
chmod 644 idp.crt
3. 如果 Okta 中的 断言加密 已设置为“加密”,则 Zabbix 中也应勾选 加密 参数的 “断言”复选框。
4. 按“更新”按钮保存这些设置。
勾选 启用 SCIM 配置 选项。结果是,会出现一个新的 配置 选项卡。
api_scim.php
,例如:https://<your-zabbix-url>/zabbix/api_scim.php
email
HTTP 标头
如果遇到认证问题,请参阅 授权标头转发。
点击 测试连接器配置 以测试连接。如果一切正确,将显示成功消息。
在“配置”->“到应用”中,确保勾选以下复选框:
这将确保这些请求类型将被发送到 Zabbix。
点击 添加属性。为 显示名称、变量名称、外部名称 填入 SAML 属性名称,例如,user_name
。
外部命名空间 应与用户模式相同:urn:ietf:params:scim:schemas:core:2.0:User
前往“配置”->“到应用”->“属性映射”中的应用程序。点击底部的 显示未映射属性。新添加的属性将出现。
映射每个添加的属性。
在“分配”选项卡中添加用户。这些用户之前需要在 目录 -> 人员 中添加。所有这些分配将作为请求发送到 Zabbix。
在“推送组”选项卡中添加组。Zabbix SAML 设置中的用户组映射模式必须与这里指定的组匹配。如果没有匹配,用户无法在 Zabbix 中创建。
每当进行任何更改时,都会发送有关组成员的信息。