Documentation
Table of Contents
13 SAML подешавање са OneLogin-ом
Преглед
Овај одељак пружа смернице за конфигурисање јединственог пријављивања и обезбеђивања корисника у Zabbix-у са OneLogin користећи SAML 2.0 аутентификацију.
OneLogin конфигурација
Креирање апликације
1. Пријавите се на свој налог на OneLogin-у. У сврху тестирања, можете креирати бесплатан налог програмера у OneLogin-у.
2. У веб интерфејсу OneLogin идите на Апликације → Апликације.
3. Кликните на "Додај апликацију" и потражите одговарајућу апликацију. Смернице на овој страници су засноване на примеру апликације * SCIM провизионисање са SAML-ом (SCIM v2 Enterprise, full SAML)*.
4. За почетак, можда ћете желети да прилагодите име за приказ ваше апликације. Можда ћете желети да додате иконе и детаље о апликацији. Након тога кликните на Сачувај.
Подешавање SSO/SCIM обезбеђивања
1. У Конфигурација -> Детаљи апликације, подесите крајњу тачку за једнократну пријаву Zabbix-а http://<zabbix-instance-url>/zabbix/index_sso.php?acs као вредност ових поља:
- ACS (Consumer) URL Validator
- ACS (Consumer) URL
Обратите пажњу на употребу „http“, а не „https“, како параметар acs не би био изостављен у захтеву.
Такође је могуће користити "https". Да би ово функционисало са Zabbix-ом, потребно је додати следећи ред у conf/zabbix.conf.php:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];Оставите остале опције са њиховим подразумеваним вредностима.
2.. У Конфигурација -> АПИ веза, подесите следеће вредности:
- SCIM основни URL:
https://<zabbix-instance-url>/zabbix/api_scim.php - SCIM JSON шаблон: треба да садржи све прилагођене атрибуте које желите да проследите Zabbix-у путем SCIM-а, као што су
user_name,user_lastname,user_emailиuser_mobile:
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"userName": "{$parameters.scimusername}",
"name": {
"familyName": "{$user.lastname}",
"givenName": "{$user.firstname}"
},
"user_name": "{$user.firstname}",
"user_lastname": "{$user.lastname}",
"user_mobile": "{$user.phone}",
"user_email": "{$user.email}"
}Имена атрибута су произвољна. Могу се користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у Zabbix SAML подешавањима.
Имајте на уму да би додељивање корисника функционисало, OneLogin мора као одговор да добије атрибут "name" са "givenName" и "familyName", чак и ако то није захтевао добављач услуге. Стога је потребно ово навести у шеми у делу за конфигурацију апликације.
- SCIM Bearer Token: унесите Zabbix API токен са дозволама супер администратора.
Кликните на Омогући да бисте активирали везу.
3. На страници Обезбеђивање омогућите опцију Обезбеђивање:
4. Страница Параметри садржи листу подразумеваних параметара:
- Уверите се да се „scimusername“ подудара са вредношћу за пријаву корисника у OneLogin-у (нпр. имејл);
- Означите опцију Укључи у обезбеђивање корисника за параметар "Групе";
- Кликните на „+“ да бисте креирали прилагођене параметре који су потребни за SAML тврдње и обезбеђивање корисника, као што су
user_name,user_lastname,user_emailиuser_mobile:
Када додајете параметар, обавезно означите обе опције Укључи у SAML тврдњу и Укључи у обезбеђивање корисника.
- Додајте параметар „група“ који одговара улогама корисника у OneLogin-у. Улоге корисника ће бити прослеђене као стринг, одвојене тачком-зарезом
;. Корисничке улоге OneLogin-а ће се користити за креирање корисничких група у Zabbix-у:
Проверите листу параметара:
5. На страници Правила, креирајте мапирања корисничких улога на подразумевани параметар Групе.
Можете користити регуларни израз да бисте проследили одређене улоге као групе. Имена улога не би требало да садрже ; јер га OneLogin користи као сепаратор када шаље атрибут са неколико улога.
Конфигурација Zabbix-а
1. У Zabbix-у, идите на SAML подешавања и попуните опције конфигурације на основу OneLogin конфигурације:
| Zabbix field | Setup field in OneLogin | Sample value |
|---|---|---|
| IdP entity ID | URL издаваоца (погледајте SSO картицу ваше апликације у OneLogin-у) |
|
| SSO service URL | SAML 2.0 крајња тачка (HTTP) (погледајте SSO картицу ваше апликације у OneLogin-у) |
|
| SLO service URL | SLO крајња тачка (HTTP) (погледајте SSO картицу ваше апликације у OneLogin) |
|
| Username attribute | Прилагођени параметар | user_email |
| Group name attribute | Прилагођени параметар | group |
| User name attribute | Прилагођени параметар | user_name |
| User last name attribute | Прилагођени параметар | user_lastname |
Такође је потребно конфигурисати мапирање групе корисника. Мапирање медија је опционо. Кликните на Ажурирај да бисте сачували ова подешавања.
2. Преузмите сертификат који је обезбедио OneLogin и поставите га у conf/certs Zabbix корисничком интерфејсу инсталације, као idp.crt.
Подесите 644 дозволе за њега покретањем:
chmod 644 idp.crt
Можете приступити преузимању сертификата у OneLogin-у у Апликације -> SSO -> кликните на Прикажи детаље испод тренутног сертификата.
Могуће је користити друго име и локацију сертификата. У том случају, обавезно додајте следећи ред у conf/zabbix.conf.php:
$SSO['IDP_CERT'] = 'путања/до/имесерта.crt';SCIM провизионисање корисника
Са омогућеним провизионисањем корисника, сада је могуће додати/ажурирати кориснике и њихове улоге у OneLogin-у и одмах их обезбедити за Zabbix.
На пример, можете креирати новог корисника:
Додајте га у корисничку улогу и апликацију која ће обезбедити корисника:
Када сачувате корисника, биће додељен Zabbix-у. У Апликација -> Корисници можете да проверите статус обезбеђивања тренутних корисника апликације:
Ако је успешно провизионисан, корисник се може видети на листи Zabbix корисника.
