10 Configuración de SAML con Microsoft Azure AD

Descripción general

Esta sección proporciona pautas para configurar el inicio de sesión único y el aprovisionamiento de usuarios en Zabbix. desde Microsoft Azure Active Directory mediante autenticación SAML 2.0.

Configuración de Microsoft Azure

Creando aplicación

1. Inicie sesión en su cuenta en Microsoft Azure. Para fines de prueba, puede crear una cuenta de prueba gratuita en Microsoft Azure.

2. En el menú principal (ver parte superior izquierda de la pantalla), seleccione Azure Active Directory.

3. Seleccione Aplicaciones empresariales -> Agregar nueva aplicación -> Crea tu propia aplicación.

4. Añada el nombre de su aplicación y seleccione la opción Integrar cualquier otra aplicación.... Después de eso, haga clic en Crear.

Configurar el inicio de sesión único

1. En la página de su solicitud, vaya a Configurar el inicio de sesión único y haga clic en Comenzar. Luego seleccione SAML.

2. Editar Configuración básica de SAML:

  • En Identificador (ID de entidad) establezca un nombre único para identificar su aplicación en Azure Active Directory, por ejemplo, zabbix;
  • En URL de respuesta (URL de servicio al consumidor de afirmaciones) establezca el punto final de inicio de sesión único de Zabbix: https://<zabbix-instance-url>/zabbix/index_sso.php?acs:

Tenga en cuenta que este campo requiere "https". Para que eso funcione con Zabbix, es necesario agregar a conf/zabbix.conf.php la siguiente línea:

$SSO['SETTINGS'] = ['use_proxy_headers' => verdadero];

3. Editar Atributos y reclamaciones. Debe agregar todos los atributos que desea pasar a Zabbix (nombre_usuario, apellido_usuario, correo electrónico_usuario, móvil_usuario, grupos).

Los nombres de los atributos son arbitrarios. Se pueden usar diferentes nombres de atributos; sin embargo, es necesario que coincidan con el valor del campo respectivo en la configuración de Zabbix SAML.

  • Haga clic en Agregar nuevo reclamo para agregar un atributo:

  • Haga clic en Agregar un reclamo de grupo para agregar un atributo para pasar grupos a Zabbix:

4. En Certificados SAML descargue el certificado proporcionado por Azure y colóquelo en conf/certs de la instalación del frontend de Zabbix.

Establezca permisos 644 ejecutando:

chmod 644 azure.cer

Asegúrese de que conf/zabbix.conf.php contenga la línea:

$SSO['IDP_CERT'] = 'conf/certs/azure.cer';

5. Utilice los valores de Configurar <nombre de su aplicación> en Azure para configurar la autenticación SAML de Zabbix (consulte la siguiente sección):

Configuración de Zabbix

1. En Zabbix, vaya a configuración de SAML y complete las opciones de configuración según la configuración de Azure:

Campo Zabbix Campo de configuración en Azure Valor de muestra
ID de entidad IdP Identificador de Azure AD
URL del servicio SSO URL de inicio de sesión
URL del servicio SLO URL de cierre de sesión
Atributo de nombre de usuario Atributo personalizado (reclamo) user_email
Atributo de nombre de grupo Atributo personalizado (reclamo) grupos
Atributo de nombre de usuario Atributo personalizado (reclamo) user_name
Atributo de apellido de usuario Atributo personalizado (reclamo) user_lastname

También es necesario configurar la asignación de grupos de usuarios. El mapeo de medios es opcional.

Haga clic en Actualizar para guardar esta configuración.

Aprovisionamiento de usuarios SCIM

1. En la página de su aplicación Azure AD, desde el menú principal abra la página Aprovisionamiento. Haga clic en Comenzar y luego seleccione Modo de aprovisionamiento automático:

  • En URL del inquilino, establezca el siguiente valor: https://<zabbix-instance-url>/zabbix/api_scim.php
  • En Token secreto, ingrese un token API de Zabbix con permisos de superadministrador.
  • Haga clic en Probar conexión para ver si se establece la conexión.

Guarde la configuración.

2. Ahora puede agregar todos los atributos que se pasarán con SCIM a Zabbix. Para hacerlo, haga clic en Asignaciones y luego en Aprovisionar usuarios de Azure Active Directory.

En la parte inferior de la lista Asignación de atributos, habilite Mostrar opciones avanzadas y luego haga clic en Editar lista de atributos para aplicaciones personalizadas.

En la parte inferior de la lista de atributos, agregue sus propios atributos con el tipo 'Cadena':

Guarde la lista.

3. Ahora puede agregar asignaciones para los atributos agregados. En la parte inferior de la lista Asignación de atributos, haga clic en Agregar nueva asignación y cree asignaciones como se muestra a continuación:

Cuando se agreguen todas las asignaciones, guarde la lista de asignaciones.

4. Como requisito previo para el aprovisionamiento de usuarios en Zabbix, debe tener usuarios y grupos configurados en Azure.

Para hacerlo, seleccione Azure Active Directory en el menú principal de Azure (ver parte superior izquierda de la pantalla) y luego agregue usuarios/grupos en las páginas respectivas de Usuarios y Grupos.

5. Cuando se hayan creado usuarios y grupos en Azure AD, puede ir al menú Usuarios y grupos de su aplicación y agregarlos a la aplicación.

6. Vaya al menú Aprovisionamiento de su aplicación y haga clic en Iniciar aprovisionamiento para aprovisionar a los usuarios en Zabbix.

Tenga en cuenta que la solicitud PATCH de usuarios en Azure no admite cambios en los medios.