Овај одељак пружа смернице за конфигурисање јединственог пријављивања и додељивања корисника у Zabbix-у из Microsoft Entra ID-а (раније Microsoft Azure Active Directory) користећи SAML 2.0 аутентификацију.
1. Пријавите се у Microsoft Entra администраторски центар на Microsoft Entra ID. У сврху тестирања, можете креирати бесплатан пробни налог у Microsoft Entra ID.
2. У Microsoft Entra администраторском центру изаберите Апликације -> Пословне апликације -> Нова апликација -> Креирајте сопствену апликацију.
3. Додајте назив своје апликације и изаберите опцију Интегришите било коју другу апликацију.... Након тога, кликните на Креирај.
На страници ваше апликације идите на Подешавање јединственог пријављивања и кликните на Почетак рада. Затим изаберите SAML.
Уредите Основну SAML конфигурацију:
zabbix
;https://<путања-до-zabbix-ui>/index_sso.php?acs
:Имајте на уму да је „https“ обавезно. Да би ово функционисало са Zabbix-ом, потребно је додати у conf/zabbix.conf.php
следећи ред:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
3. Измените Атрибуте и тврдње. Морате додати све атрибуте које желите да проследите Zabbix-у (user_name, user_lastname, user_email, user_mobile, groups).
Имена атрибута су произвољна. Могу се користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у Zabbix SAML подешавањима.
Важно је у овом захтеву да се имена група (а не ИД-ови група) прослеђују Zabbix-у помоћу изабраног Изворног атрибута. У супротном, JIT обезбеђивање корисника неће правилно функционисати.
4. У SAML сертификатима преузмите Base64 сертификат који је обезбедио Entra ID и ставите га у conf/certs
Zabbix кориснички интерфејс инсталације.
Подесите дозволе 644 покретањем:
chmod 644 entra.cer.
Уверите се да conf/zabbix.conf.php
садржи ред:
$SSO['IDP_CERT'] = 'conf/certs/entra.cer';
5. Користите вредности из Подеси <назив ваше апликације> у Entra ID-у да бисте конфигурисали Zabbix SAML аутентификацију (погледајте следећи одељак):
1. У Zabbix-у, идите на SAML подешавања и попуните опције конфигурације на основу конфигурације Entra ID-а:
Zabbix field | Setup field in Entra ID | Sample value |
---|---|---|
*IdP entity ID** | Microsoft Entra идентификатор | |
SSO service URL | URL за пријаву | |
SLO service URL | URL за одјаву | |
SP entity ID | Идентификатор (ID ентитета) | |
Username attribute | Прилагођени атрибут (потврда) | user_email |
Group name attribute | Прилагођени атрибут (потврда) | groups |
User name attribute | Прилагођени атрибут (потврда) | user_name |
User last name attribute | Прилагођени атрибут (потврда) | user_lastname |
Такође је потребно конфигурисати мапирање корисничких група.
Мапирање медија је опционо. Кликните на Ажурирај да бисте сачували ова подешавања.
https://<путања-до-zabbix-ui>/api_scim.php
На дну листе Мапирање атрибута, омогућите Прикажи напредне опције, а затим кликните на Уреди листу атрибута за customappsso.
На дну листе атрибута, додајте сопствене атрибуте типа 'String':
Сачувајте листу.
3. Сада можете додати мапирања за додате атрибуте. На дну листе Мапирање атрибута кликните на Додај ново мапирање и креирајте мапирања као што је приказано испод:
Када се додају сва мапирања, сачувајте листу мапирања.
4. Као предуслов за обезбеђивање корисника у Zabbix-у, морате имати конфигурисане кориснике и групе у Entra ID-у.
Да бисте то урадили, идите у Microsoft Entra admin center, а затим додајте кориснике/групе на одговарајућим страницама Корисници и Групе.
5. Када се корисници и групе креирају у Entra ID-у, можете отићи у мени Корисници и групе ваше апликације и додати их у апликацију.
6. Идите у мени Provisioning ваше апликације и кликните на Start provisioning да бисте омогућили корисницима Zabbix.
Имајте на уму да захтев Users PATCH у Entra ID-у не подржава промене у медијима.