13 Настройка SAML с Okta

В этом разделе приведены рекомендации по настройке Okta для включения аутентификации SAML 2.0 и подготовки пользователей для Zabbix.

Настройка Okta

1. Перейдите по ссылке https://developer.okta.com/signup/ и зарегистрируйтесь/войдите в свою учетную запись.

2. В веб-интерфейсе Okta перейдите в Applications → Applications.

3. Нажмите Create App Integration.

Выберите "SAML 2.0" в качестве метода входа и нажмите Next.

4. В общих настройках укажите имя приложения и нажмите Next.

5. В настройках SAML введите значения, указанные ниже, затем нажмите Next.

  • В разделе General добавьте:

    • Single sign-on URL: http://<your-zabbix-url>/zabbix/index_sso.php?acs
      Обратите внимание на использование "http", а не "https", чтобы параметр acs не был обрезан в запросе. Также должен быть отмечен флажок Use this for Recipient URL and Destination URL.
    • Audience URI (SP Entity ID): zabbix
      Обратите внимание, что это значение будет использоваться в SAML assertion как уникальный идентификатор поставщика услуг (если оно не совпадает, операция будет отклонена). В этом поле можно указать URL или любую строку данных.
    • Default RelayState:
      Оставьте это поле пустым; если требуется пользовательское перенаправление, его можно добавить в Zabbix в настройках Users → Users.
    • Заполните остальные поля по своему усмотрению.

  • В разделе Attribute Statements/Group Attribute Statements добавьте:

Эти утверждения атрибутов вставляются в SAML assertion, которыми обмениваются с Zabbix.

Имена атрибутов, используемые здесь, приведены в качестве произвольных примеров. Вы можете использовать другие имена атрибутов, однако они должны соответствовать значению соответствующего поля в настройках Zabbix SAML.

Если вы хотите настроить вход в Zabbix по SAML без JIT-подготовки пользователей, тогда требуется только атрибут email.

Если планируется использовать зашифрованное соединение, сгенерируйте закрытый и открытый сертификаты шифрования, затем загрузите открытый сертификат в Okta. Форма загрузки сертификата появляется, когда для Assertion Encryption установлено значение "Encrypted" (нажмите Show Advanced Settings, чтобы найти этот параметр).

6. На следующей вкладке выберите "I'm a software vendor. I'd like to integrate my app with Okta" и нажмите Finish.

7. Перейдите на вкладку "Assignments" только что созданного приложения и нажмите кнопку Assign, затем выберите Assign to People в раскрывающемся списке.

8. Во всплывающем окне назначьте приложение пользователям, которые будут использовать SAML 2.0 для аутентификации в Zabbix, затем нажмите Save and go back.

9. Перейдите на вкладку "Sign On" и нажмите кнопку View Setup Instructions.

Инструкции по настройке откроются в новой вкладке; оставьте эту вкладку открытой во время настройки Zabbix.

Конфигурация Zabbix

1. В Zabbix перейдите в настройки SAML и заполните параметры конфигурации на основе инструкций по настройке от Okta:

Поле Zabbix Поле настройки в Okta Пример значения
IdP entity ID Identity Provider Issuer
SSO service URL Identity Provider Single Sign-On URL
Username attribute Attribute name usrEmail
SP entity ID Audience URI zabbix
Group name attribute Attribute name groups
User name attribute Attribute name user_name
User last name attribute Attribute name user_lastname

Также требуется настроить сопоставление групп пользователей и медиа.

2. Загрузите сертификат, указанный в инструкциях по настройке SAML в Okta, в папку ui/conf/certs под именем idp.crt.

Установите для него права 644, выполнив:

chmod 644 idp.crt

3. Если для Assertion Encryption в Okta установлено значение "Encrypted", в Zabbix также должен быть отмечен флажок "Assertions" для параметра Encrypt.

4. Нажмите кнопку "Update", чтобы сохранить эти настройки.

SCIM provisioning

1. Чтобы включить SCIM provisioning, перейдите в "General" -> "App Settings" приложения в Okta.

Установите флажок Enable SCIM provisioning. В результате появится новая вкладка Provisioning.

2. Перейдите на вкладку "Provisioning", чтобы настроить SCIM connection:

  • В SCIM connector base URL укажите путь к веб-интерфейсу Zabbix и добавьте к нему api_scim.php, то есть:
    https://<your-zabbix-url>/zabbix/api_scim.php
  • Unique identifier field for users: email
  • Authentication mode: HTTP header
  • В Authorization укажите действительный API token с правами Super admin

Если у вас возникают проблемы с аутентификацией, см. Authorization header forwarding.

3. Нажмите Test Connector Configuration, чтобы проверить connection. Если все верно, будет отображено сообщение об успешном выполнении.

4. В "Provisioning" -> "To App" убедитесь, что отмечены следующие флажки:

  • Create Users
  • Update User Attributes
  • Deactivate Users

Это гарантирует, что эти типы запросов будут отправляться в Zabbix.

5. Убедитесь, что все атрибуты, определенные в SAML, определены и в SCIM. Вы можете открыть редактор профиля для вашего приложения в "Provisioning" -> "To App", нажав Go to Profile Editor.

Нажмите Add Attribute. Заполните значения Display name, Variable name, External name именем атрибута SAML, например user_name.

External namespace должен совпадать со схемой пользователя: urn:ietf:params:scim:schemas:core:2.0:User

6. Перейдите в "Provisioning" -> "To App" -> "Attribute Mappings" вашего приложения. Внизу нажмите Show Unmapped Attributes. Появятся недавно добавленные атрибуты.

7. Сопоставьте каждый добавленный атрибут.

8. Добавьте пользователей на вкладке "Assignments". Предварительно пользователи должны быть добавлены в Directory -> People. Все эти назначения будут отправлены в Zabbix в виде запросов.

9. Добавьте группы на вкладке "Push Groups". Шаблон сопоставления групп пользователей в настройках Zabbix SAML должен соответствовать группе, указанной здесь. Если совпадения нет, пользователь не может быть создан в Zabbix.

Информация о членах группы отправляется каждый раз при внесении изменений.