Esta sección proporciona pautas para configurar Okta para habilitar la autenticación SAML 2.0 y el aprovisionamiento de usuarios para Zabbix.
1. Vaya a https://developer.okta.com/signup/ y regístrese/inicie sesión en su cuenta.
2. En la interfaz web de Okta, navegue a Applications → Applications.
3. Haga clic en Create App Integration.
Seleccione "SAML 2.0" como método de inicio de sesión y haga clic en Next.
4. En la configuración general, complete el nombre de la aplicación y haga clic en Next.
5. En la configuración de SAML, introduzca los valores proporcionados a continuación y luego haga clic en Next.
http://<your-zabbix-url>/zabbix/index_sso.php?acs
acs
no se elimine en la solicitud. La casilla Use this for Recipient URL and Destination URL también debe estar marcada.zabbix
Estas declaraciones de atributos se insertan en las aserciones SAML compartidas con Zabbix.
Los nombres de atributos utilizados aquí son ejemplos arbitrarios. Puede utilizar diferentes nombres de atributos; sin embargo, es necesario que coincidan con el valor del campo respectivo en la configuración SAML de Zabbix.
Si desea configurar el inicio de sesión SAML en Zabbix sin aprovisionamiento de usuario JIT, entonces solo se requiere el atributo de correo electrónico.
Si planea utilizar una conexión cifrada, genere los certificados de cifrado privados y públicos, luego cargue el certificado público en Okta. El formulario de carga de certificados aparece cuando Assertion Encryption se establece en "Encrypted" (haga clic en Show Advanced Settings para encontrar este parámetro).
6. En la siguiente pestaña, seleccione "I'm a software vendor. I'd like to integrate my app with Okta" y presione "Finish".
7. Navegue a la pestaña "Assignments" de la aplicación recién creada y haga clic en el botón Assign, luego seleccione "Assign to People" en el menú desplegable.
8. En la ventana emergente que aparece, asigne la aplicación a las personas que utilizarán SAML 2.0 para autenticarse con Zabbix, luego haga clic en Save and go back.
9. Navegue a la pestaña "Sign On" y haga clic en el botón View Setup Instructions.
Las instrucciones de configuración se abrirán en una nueva pestaña; mantenga esta pestaña abierta mientras configura Zabbix.
1. En Zabbix, vaya a la configuración de SAML y complete las opciones de configuración según las instrucciones de configuración de Okta:
Campo de Zabbix | Campo de configuración en Okta | Valor de ejemplo |
---|---|---|
IdP entity ID | Identity Provider Issuer | |
SSO service URL | Identity Provider Single Sign-On URL | |
Username attribute | Attribute name | usrEmail |
SP entity ID | Audience URI | zabbix |
Group name attribute | Attribute name | groups |
User name attribute | Attribute name | user_name |
User last name attribute | Attribute name | user_lastname |
También es necesario configurar el mapeo de grupo de usuarios y medios.
2. Descargue el certificado proporcionado en las instrucciones de configuración de SAML de Okta en la carpeta ui/conf/certs como idp.crt.
Asigne permisos 644 ejecutando:
3. Si Assertion Encryption se ha establecido en "Encrypted" en Okta, la casilla "Assertions" del parámetro Encrypt también debe estar marcada en Zabbix.
4. Pulse el botón "Actualizar" para guardar estos ajustes.
1. Para activar el aprovisionamiento SCIM, vaya a "General" -> "App Settings" de la aplicación en Okta.
Marque la casilla Enable SCIM provisioning. Como resultado, aparecerá una nueva pestaña Provisioning.
2. Vaya a la pestaña "Provisioning" para configurar una conexión SCIM:
api_scim.php
al final, es decir:https://<your-zabbix-url>/zabbix/api_scim.php
email
HTTP header
Si experimenta problemas de autenticación, consulte Authorization header forwarding.
3. Haga clic en Test Connector Configuration para probar la conexión. Si todo es correcto, se mostrará un mensaje de éxito.
4. En "Provisioning" -> "To App", asegúrese de marcar las siguientes casillas:
Esto asegurará que estos tipos de solicitudes se envíen a Zabbix.
5. Asegúrese de que todos los atributos definidos en SAML estén definidos en SCIM. Puede acceder al editor de perfiles de su aplicación en "Provisioning" -> "To App", haciendo clic en Go to Profile Editor.
Haga clic en Add Attribute. Complete los valores para Display name, Variable name, External name con el nombre del atributo SAML, por ejemplo, user_name
.
External namespace debe ser el mismo que el esquema de usuario: urn:ietf:params:scim:schemas:core:2.0:User
6. Vaya a "Provisioning" -> "To App" -> "Attribute Mappings" de su aplicación. Haga clic en Show Unmapped Attributes en la parte inferior. Aparecerán los atributos recién añadidos.
7. Asigne cada atributo añadido.
8. Añada usuarios en la pestaña "Assignments". Los usuarios deben haber sido añadidos previamente en Directory -> People. Todas estas asignaciones se enviarán como solicitudes a Zabbix.
9. Añada grupos en la pestaña "Push Groups". El patrón de mapeo de grupos de usuarios en la configuración SAML de Zabbix debe coincidir con un grupo especificado aquí. Si no hay coincidencia, el usuario no podrá ser creado en Zabbix.
La información sobre los miembros del grupo se envía cada vez que se realiza algún cambio.