3 SAML

概览

可以使用SAML 2.0 身份验证 登录Zabbix。

如果仅配置了SAML登录，则用户也必须存在于Zabbix中，但不会使用其Zabbix密码。如果身份验证成功，则Zabbix将会将本地用户名与SAML返回的用户名属性进行匹配。

用户供应

可以为SAML用户配置 JIT（即时）用户供应。在这种情况下，不需要用户已经存在于Zabbix中。用户账户可以在用户首次登录Zabbix时创建。

除了JIT供应外，还可以启用和配置SCIM（跨域身份管理系统）配备 - 用于对用户供应创建的用户进行持续的用户账户管理。SCIM供应需要一个Zabbix API令牌（具有超级管理员权限）用于Zabbix的身份验证。

例如，如果用户从一个SAML组移到另一个组，用户在Zabbix中也将从一个组移到另一个组； 如果用户从SAML组中移除，用户在Zabbix中也将从该组中移除，并且如果不属于任何其他组，则添加到未激活用户组中。

如果启用并配置了SCIM，SAML用户将在用户首次登录Zabbix时进行配备，并根据SAML中的更改持续更新。 已存在的SAML用户不会被配备，只有配备过的用户才会被更新。 请注意，只有在用户配备或更新时才会添加有效的媒体。

如果未启用SCIM，SAML用户将在用户首次登录Zabbix时进行配备（并稍后进行更新）。

设置身份提供者

为了与Zabbix配合使用，需要按照以下方式配置SAML身份提供者（如 onelogin.com, auth0.com, okta.com 等）：

• 声明用户URL 应设置为 <path_to_zabbix_ui>/index_sso.php?acs
• 单点退出URL 应设置为 <path_to_zabbix_ui>/index_sso.php?sls

<path_to_zabbix_ui> 示例：https://example.com/zabbix/ui, http://another.example.com/zabbix, http://<any_public_ip_address>/zabbix

设置Zabbix

配置Zabbix以使用SAML身份验证应按以下方式进行：

1. 私钥和证书 应存储在 ui/conf/certs/ 目录下，除非在 zabbix.conf.php 中提供了自定义路径。

默认情况下，Zabbix将查找以下位置：

• ui/conf/certs/sp.key - SP私钥文件
• ui/conf/certs/sp.crt - SP证书文件
• ui/conf/certs/idp.crt - IDP证书文件

2. 所有最重要的设置都可以在Zabbix前端中配置。但是，也可以在 配置文件 中指定额外的设置。

在Zabbix前端中可用的配置参数：

查看以下示例，了解如何配置用于登录和用户供应到Zabbix的SAML身份提供者：

• Microsoft Azure AD
• Okta
• Onelogin

SCIM供应注意事项

对于SCIM供应，请在身份提供者端指定到 Zabbix 前端的路径，并将 api_scim.php 添加到路径末尾，例如：

https://<your-zabbix-url>/zabbix/api_scim.php

在身份提供者中，需要将在 Zabbix 中使用的用户属性（用户名、用户姓名、用户姓氏和媒体属性）添加为自定义属性。如果需要，外部命名空间应与用户模式相同：urn:ietf:params:scim:schemas:core:2.0:User。

高级设置

可以在 Zabbix 前端配置文件 (zabbix.conf.php) 中配置额外的 SAML 参数：

• $SSO['SP_KEY'] = '<SP 私钥文件路径>';
• $SSO['SP_CERT'] = '<SP 证书文件路径>';
• $SSO['IDP_CERT'] = '<IDP 证书文件路径>';
• $SSO['SETTINGS']

只能设置以下选项作为 $SSO['SETTINGS'] 的一部分：

• strict
• baseurl
• compress
• contactPerson
• organization
• sp（仅限于此列表中指定的选项）
  • attributeConsumingService
  • x509certNew
• idp（仅限于此列表中指定的选项）
  • singleLogoutService（仅限一个选项）
    • responseUrl
  • certFingerprint
  • certFingerprintAlgorithm
  • x509certMulti
• security（仅限于此列表中指定的选项）
  • signMetadata
  • wantNameId
  • requestedAuthnContext
  • requestedAuthnContextComparison
  • wantXMLValidation
  • relaxDestinationValidation
  • destinationStrictlyMatches
  • rejectUnsolicitedResponsesWithInResponseTo
  • signatureAlgorithm
  • digestAlgorithm
  • lowercaseUrlencoding

所有其他选项将从数据库中获取，并且无法被覆盖。debug 选项将被忽略。

此外，如果 Zabbix UI 处于代理或负载均衡器之后，可以使用自定义的 use_proxy_headers 选项：

• false（默认）- 忽略该选项；
• true - 使用 X-Forwarded-* HTTP 头来构建基础 URL。

如果使用负载均衡器连接到 Zabbix 实例，其中负载均衡器使用 TLS/SSL 而 Zabbix 不使用，必须按照以下方式指定 'baseurl'、'strict' 和 'use_proxy_headers' 参数：

$SSO['SETTINGS']=['strict' => false, 'baseurl' => "https://zabbix.example.com/zabbix/", 'use_proxy_headers' => true]

配置示例：

$SSO['SETTINGS'] = [
           'security' => [
               'signatureAlgorithm' => 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha384',
               'digestAlgorithm' => 'http://www.w3.org/2001/04/xmldsig-more#sha384',
               // ...
           ],
           // ...
       ];

Frontend configuration with Kerberos/ADFS

The Zabbix frontend configuration file (zabbix.conf.php) can be used to configure SSO with Kerberos authentication and ADFS:

$SSO['SETTINGS'] = [
           'security' => [
               'requestedAuthnContext' => [
                   'urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos',
               ],
               'requestedAuthnContextComparison' => 'exact'
           ]
       ]; 

In this case, in the SAML configuration SP name ID field set:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified