Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

13 Configuración de SAML con Okta

Esta sección proporciona pautas para configurar Okta para habilitar la autenticación SAML 2.0 y el aprovisionamiento de usuarios para Zabbix.

Configuración de Okta

1. Vaya a https://developer.okta.com/signup/ y regístrese/inicie sesión en su cuenta.

2. En la interfaz web de Okta, navegue a Aplicaciones → Aplicaciones.

3. Haga clic en Crear integración de aplicación.

Seleccione "SAML 2.0" como el método de inicio de sesión y haga clic en Siguiente.

4. En la configuración general, complete el nombre de la aplicación y haga clic en Siguiente.

5. En la configuración de SAML, introduzca los valores proporcionados a continuación y luego haga clic en Siguiente.

  • En General agregue:
    • URL de inicio de sesión único: http://<su-zabbix-url>/zabbix/index_sso.php?acs
      Tenga en cuenta el uso de "http", y no "https", para que el parámetro acs no se elimine en la solicitud. La casilla Usar esto para la URL de destinatario y la URL de destino también debe estar marcada.
    • URI de audiencia (ID de entidad SP): zabbix
      Tenga en cuenta que este valor se utilizará dentro de la aserción SAML como un identificador único del proveedor de servicios (si no coincide, la operación será rechazada). Es posible especificar una URL o cualquier cadena de datos en este campo.
    • Estado de retransmisión predeterminado:
      Deje este campo en blanco; si se requiere una redirección personalizada, se puede agregar en Zabbix en la configuración de Usuarios > Usuarios.
    • Complete los demás campos según sus preferencias.
  • En Declaraciones de atributos/Declaraciones de atributos de grupo agregue:

Estas declaraciones de atributos se insertan en las aserciones SAML compartidas con Zabbix.

Los nombres de atributos utilizados aquí son ejemplos arbitrarios. Puede utilizar diferentes nombres de atributos, sin embargo, es necesario que coincidan con el valor del campo respectivo en la configuración SAML de Zabbix.

Si desea configurar el inicio de sesión SAML en Zabbix sin aprovisionamiento de usuario JIT, entonces solo se requiere el atributo de correo electrónico.

Si planea utilizar una conexión cifrada, genere los certificados de cifrado privados y públicos, luego cargue el certificado público en Okta. El formulario de carga de certificados aparece cuando Cifrado de aserción está configurado como "Cifrado" (haga clic en Mostrar configuración avanzada para encontrar este parámetro).

6. En la siguiente pestaña, seleccione "Soy un proveedor de software. Me gustaría integrar mi aplicación con Okta" y haga clic en Finalizar.

7. Navegue a la pestaña "Asignaciones" de la aplicación recién creada y haga clic en el botón Asignar, luego seleccione "Asignar a personas" en el menú desplegable.

8. En la ventana emergente que aparece, asigne la aplicación a las personas que utilizarán SAML 2.0 para autenticarse con Zabbix, luego haga clic en Guardar y volver.

9. Descargue el certificado IdP. Asigne permisos 644 ejecutando:

chmod 644 idp.crt

10. Navegue a la pestaña "Iniciar sesión" y haga clic en el botón Ver instrucciones de configuración.

Las instrucciones de configuración se abrirán en una nueva pestaña; mantenga esta pestaña abierta mientras configura Zabbix.

Configuración de Zabbix

1. En Zabbix, vaya a la configuración de SAML y complete las opciones de configuración según las instrucciones de configuración de Okta:

Campo de Zabbix Campo de configuración en Okta Valor de ejemplo
IdP entity ID Identity Provider Issuer
SSO service URL Identity Provider Single Sign-On URL
Username attribute Attribute name usrEmail
SP entity ID Audience URI zabbix
Group name attribute Attribute name groups
User name attribute Attribute name user_name
User last name attribute Attribute name user_lastname

También es necesario configurar el mapeo de grupos de usuarios y medios.

2. Añada el certificado Base64 proporcionado en las instrucciones de configuración de SAML de Okta.

Si $SSO['CERT_STORAGE'] = 'database' está configurado en zabbix.conf.php, puede pegar el texto del certificado o cargar el archivo del certificado en la interfaz durante la configuración de SAML; no se requieren archivos en el sistema de archivos.

Si $SSO['CERT_STORAGE'] = 'file' está configurado en zabbix.conf.php, el certificado debe estar disponible en el sistema de archivos (por defecto en ui/conf/certs o la ruta configurada en zabbix.conf.php) y la interfaz no almacenará los certificados en la base de datos. Tenga en cuenta que si $SSO['CERT_STORAGE'] no está configurado o está comentado, se asume el almacenamiento en archivos y los certificados se leen desde ui/conf/certs.

3. Si Assertion Encryption se ha configurado como "Encrypted" en Okta, la casilla "Assertions" del parámetro Encrypt también debe estar marcada en Zabbix.

4. Pulse el botón Actualizar para guardar estos ajustes.

Aprovisionamiento SCIM

1. Para activar el aprovisionamiento SCIM, vaya a "General" -> "Configuración de la aplicación" de la aplicación en Okta.

Marque la casilla Habilitar aprovisionamiento SCIM. Como resultado, aparecerá una nueva pestaña Aprovisionamiento.

2. Vaya a la pestaña "Aprovisionamiento" para configurar una conexión SCIM:

  • En URL base del conector SCIM especifique la ruta al frontend de Zabbix y añada api_scim.php al final, es decir:
    https://<su-zabbix-url>/zabbix/api_scim.php
  • Campo identificador único para usuarios: email
  • Modo de autenticación: Encabezado HTTP
  • En Autorización introduzca un token API válido con derechos de Superadministrador

Si tiene problemas de autenticación, consulte Reenvío del encabezado de autorización.

3. Haga clic en Probar configuración del conector para probar la conexión. Si todo es correcto, se mostrará un mensaje de éxito.

4. En "Aprovisionamiento" -> "A la aplicación", asegúrese de marcar las siguientes casillas:

  • Crear usuarios
  • Actualizar atributos de usuario
  • Desactivar usuarios

Esto asegurará que estos tipos de solicitudes se envíen a Zabbix.

5. Asegúrese de que todos los atributos definidos en SAML estén definidos en SCIM. Puede acceder al editor de perfiles de su aplicación en "Aprovisionamiento" -> "A la aplicación", haciendo clic en Ir al editor de perfiles.

Haga clic en Agregar atributo. Rellene los valores para Nombre para mostrar, Nombre de variable, Nombre externo con el nombre del atributo SAML, por ejemplo, user_name.

Espacio de nombres externo debe ser el mismo que el esquema de usuario: urn:ietf:params:scim:schemas:core:2.0:User

6. Vaya a "Aprovisionamiento" -> "A la aplicación" -> "Asignación de atributos" de su aplicación. Haga clic en Mostrar atributos no asignados en la parte inferior. Aparecerán los atributos recién añadidos.

7. Asigne cada atributo añadido.

8. Agregue usuarios en la pestaña "Asignaciones". Los usuarios deben haber sido añadidos previamente en Directorio -> Personas. Todas estas asignaciones se enviarán como solicitudes a Zabbix.

9. Agregue grupos en la pestaña "Enviar grupos". El patrón de asignación de grupos de usuarios en la configuración SAML de Zabbix debe coincidir con un grupo especificado aquí. Si no hay coincidencia, el usuario no podrá ser creado en Zabbix.

La información sobre los miembros del grupo se envía cada vez que se realiza algún cambio.