本节提供有关通过使用 SAML 20 身份验证,从 OneLogin 配置单点登录和向 Zabbix 进行用户配置的指南。
登录到您的 OneLogin 账户。出于测试目的,您可以在 OneLogin 中create一个免费的开发者账户。
在 OneLogin 网络界面中,导航至 Applications → Applications。
点击 "Add App" 并搜索相应的应用程序。本页面中的指南基于 SCIM Provisioner with SAML (SCIM v2 Enterprise, full SAML) 应用程序示例。
首先,您可能需要自定义应用程序的显示名称。您还可以添加图标和应用程序详细信息。完成后,点击 Save。
http://<zabbix-instance-url>/zabbix/index_sso.php?acs 设置为以下字段的值:请注意使用 "http" 而不是 "https",以便请求中不会截断 acs 参数。

也可以使用 "https"。要使 Zabbix 支持该方式,需要在 conf/zabbix.conf.php 中添加以下行:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
其他选项保留默认值。
https://<zabbix-instance-url>/zabbix/api_scim.phpuser_name、user_lastname、user_email 和 user_mobile:{
"schemas": [
"urn:ietf:params:scim:schemas:core:2. 0:User"
],
"userName": "{$parameters.scimusername}",
"name": {
"familyName": "{$user.lastname}",
"givenName": "{$user.firstname}"
},
"user_name": "{$user.firstname}",
"user_lastname": "{$user.lastname}",
"user_mobile": "{$user.phone}",
"user_email": "{$user.email}"
}
属性名称是任意的。可以使用不同的属性名称,但必须与 Zabbix SAML 设置中的相应字段值匹配。
请注意,为了使用户配置生效,OneLogin 需要在响应中收到一个包含 'givenName' 和 'familyName' 的 '名称' 属性,即使服务提供商未要求该属性。因此,需要在应用程序配置部分的模式中指定此内容。
点击 Enable 激活连接。


user_name、user_lastname、user_email 和 user_mobile:
添加参数时,请确保同时标记 Include in SAML assertion 和 Include in User Provisioning 选项。
; 分隔。OneLogin 中的用户角色将用于在 Zabbix 中创建用户组:
验证参数列表:


您可以使用正则表达式将特定角色作为组传递。角色名称不应包含 ;,因为 OneLogin 在发送包含多个角色的属性时会使用它作为分隔符。

| Zabbix 字段 | OneLogin 中的设置字段 | 示例值 |
|---|---|---|
| IdP entity ID | Issuer URL (see SSO tab of your application in OneLogin) |
|
| SSO service URL | SAML 2. 0 Endpoint (HTTP) (see SSO tab of your application in OneLogin) |
|
| SLO service URL | SLO Endpoint (HTTP) (see SSO tab of your application in OneLogin) |
|
| Username attribute | Custom parameter | user_email |
| Group name attribute | Custom parameter | group |
| User name attribute | Custom parameter | user_name |
| User last name attribute | Custom parameter | user_lastname |
还需要配置用户组映射。媒体映射是可选的。点击 Update 保存这些设置。
conf/certs 目录下,命名为 idp.crt。通过运行以下命令设置 644 权限:
您可以在 OneLogin 中访问证书下载页面:Applications -> SSO -> 在当前证书下点击 View details。
可以使用不同的证书名称和位置。在这种情况下,请确保在 conf/zabbix.conf.php 中添加以下行:
$SSO['IDP_CERT'] = 'path/to/certname.crt';
启用用户调配功能后,现在可以在 OneLogin 中添加/update 用户及其角色,并立即将其调配到 Zabbix。
例如,您可以 create 一个新用户:

将其添加到用户角色和用于调配用户的程序中:

保存用户时,系统会将该用户调配到 Zabbix。在 应用程序 -> 用户 中,您可以查看当前应用程序用户的调配状态:

如果调配成功,可以在 Zabbix 用户列表中看到该用户。
