Documentation
Table of Contents
12 Подешавање SAML-ом са Okta-ом
Овај одељак пружа смернице за конфигурисање Okta како би се омогућила SAML 2.0 аутентификација и додељивање корисника за Zabbix.
Конфигурација Окте
1. Идите на https://developer.okta.com/signup/ и региструјте се/пријавите се на свој налог.
2. У веб интерфејсу Окте идите на Апликације → Апликације.
3. Кликните на Креирај интеграцију апликације.
Изаберите "SAML 2.0" као метод пријављивања и кликните на Даље.
У општим подешавањима, унесите назив апликације и кликните на Даље.
У SAML конфигурацији, унесите вредности наведене испод, а затим кликните на Даље.
У Опште додајте:
Single sign-on URL:
http://<your-zabbix-url>/zabbix/index_sso.php?acs
Обратите пажњу на употребу "http", а не "http", како параметарacsне би био изостављен у захтеву.Поље за потврду Користи ово за Recipient URL и Destination URL такође треба да буде означено.Audience URI (SP Entity ID):
zabbix
Обратите пажњу да ће се ова вредност користити у SAML тврдњи као јединствени идентификатор добављача услуга (ако се не подудара, операција ће бити одбијена). У овом пољу је могуће навести URL или било који низ података.Default RelayState:
Оставите ово поље празно; Ако је потребно прилагођено преусмеравање, може се додати у Zabbix-у у подешавањима Корисници → Корисници.Попуните остала поља према вашим жељама.
У Изјаве о атрибутима/Изјаве о групним атрибутима додајте:
Ове изјаве о атрибутима се убацују у SAML тврдње које се деле са Zabbix-ом.
Имена атрибута која се овде користе су произвољни примери. Можете користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у SAML подешавањима Zabbix-а.
Ако желите да конфигуришете SAML пријаву у Zabbix без JIT обезбеђивања корисника, онда је потребан само атрибут е-поште.
Ако планирате да користите шифровану везу, генеришите приватне и јавне сертификате за шифровање, а затим отпремите јавни сертификат у Okta. Образац за отпремање сертификата се појављује када је Шифровање тврдње подешено на "Шифровано" (кликните на Прикажи напредна подешавања да бисте пронашли овај параметар).
6. У следећој картици изаберите "Ја сам продавац софтвера". Желим да интегришем своју апликацију са Октом“ и притисните "Заврши".
7. Идите на картицу „Додељивања“ новокреиране апликације и кликните на дугме Додели, а затим из падајућег менија изаберите "Додели људима".
8. У искачућем прозору који се појави, доделите апликацију људима који ће користити SAML 2.0 за аутентификацију са Zabbix-ом, а затим кликните на Сачувај и врати се.
9. Идите на картицу "Пријави се" и кликните на дугме Прикажи упутства за подешавање.
Упутства за подешавање ће се отворити у новој картици; Држите ову картицу отвореном док конфигуришете Zabbix.
Конфигурација Zabbix-а
1. У Zabbix-у, идите на SAML подешавања и попуните опције конфигурације на основу упутстава за подешавање од Okta:
| Zabbix field | Setup field in Okta | Sample value |
|---|---|---|
| IdP entity ID | Издавалац добављача идентитета | |
| SSO service URL | URL за једнократну пријаву добављача идентитета | |
| Username attribute | Назив атрибута | usrEmail |
| SP entity ID | URI публике | zabbix |
| Group name attribute | Назив атрибута | groups |
| User name attribute | Атрибут име | корисничко_име |
| User last name attribute | Назив атрибута | корисничко_презиме |
Такође је потребно конфигурисати мапирање корисничке групе и медија.
2. Преузмите сертификат дат у упутствима за подешавање Окта САМЛ-а у фолдер ui/conf/certs као idp.crt.
Подесите 644 дозволе за њега покретањем:
chmod 644 idp.crt3.
Ако је Assertion Encryption подешено на "Encrypted" у Окти, поље за потврде „Assertions“ параметра Encrypt требало би да буде означено и у Забиксу.
4. Притисните дугме "Ажурирај" да бисте сачували ова подешавања.
Обезбеђивање SCIM-а
- Да бисте укључили обезбеђивање SCIM-а, идите на "Опште" -> "Подешавања апликације“ апликације у Окти.
Означите поље за потврду Омогући обезбеђивање SCIM-а. Као резултат тога, појавиће се нова картица Обезбеђивање.
2. Идите на картицу „Обезбеђивање“ да бисте подесили SCIM везу:
- У Основна URL адреса SCIM конектора наведите путању до Zabbix корисничког интерфејса и додајте
api_scim.phpна њу, тј.:
https://<ваш-заббикс-урл>/zabbix/api_scim.php - Поље за јединствени идентификатор за кориснике:
е-пошта - Режим аутентификације:
HTTP заглавље - У Ауторизација унесите важећи API токен са правима супер администратора
Ако користите Apache, можда ћете морати да промените подразумевану конфигурацију Apache-а у /etc/apache2/apache2.conf додавањем следеће линије:
SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1
У супротном, Apache не шаље заглавље за ауторизацију у захтеву.
Кликните на Тестирај конфигурацију конектора да бисте тестирали везу. Ако је све исправно, приказаће се порука о успеху.
У "Обезбеђивање" -> "Апликацији", обавезно означите следеће кућице:
- Креирај кориснике
- Ажурирај атрибуте корисника
- Деактивирај кориснике
Ово ће осигурати да ће ови типови захтева бити послати Zabbix-у.
- Уверите се да су сви атрибути дефинисани у SAML-у дефинисани у SCIM-у. Можете приступити уређивачу профила за вашу апликацију у "Обезбеђивање" -> "Апликацији", кликом на Иди на уређивач профила.
Кликните на Додај атрибут. Попуните вредности за Приказано име, Назив променљиве, Спољашње име са именом SAML атрибута, на пример, korisničko_ime.
Спољашњи именски простор треба да буде исти као и шема корисника: urn:ietf:params:scim:schemas:core:2.0:User
Идите на "Provisioning" -> "To App" -> "Attribute Mappings" ваше апликације. Кликните на Show Unmapped Attributes на дну. Појављују се новододати атрибути.
Мапирајте сваки додати атрибут.
Додајте кориснике на картици „Assignments“. Корисници које је претходно потребно додати у Directory -> People. Све ове доделе ће бити послате као захтеви Zabbix-у.
Додајте групе на картици „Push Groups“. Шаблон мапирања корисничких група у Zabbix SAML подешавањима мора да се подудара са групом наведеном овде. Ако нема подударања, корисник не може бити креиран у Zabbix-у.
Информације о члановима групе се шаљу сваки пут када се изврши нека промена.