This is a translation of the original English documentation page. Help us make it better.

12 Подешавање SAML-ом са Okta-ом

Овај одељак пружа смернице за конфигурисање Okta како би се омогућила SAML 2.0 аутентификација и додељивање корисника за Zabbix.

Конфигурација Окте

1. Идите на https://developer.okta.com/signup/ и региструјте се/пријавите се на свој налог.

2. У веб интерфејсу Окте идите на Апликације → Апликације.

3. Кликните на Креирај интеграцију апликације.

Изаберите "SAML 2.0" као метод пријављивања и кликните на Даље.

  1. У општим подешавањима, унесите назив апликације и кликните на Даље.

  2. У SAML конфигурацији, унесите вредности наведене испод, а затим кликните на Даље.

  • У Опште додајте:

  • Single sign-on URL: http://<your-zabbix-url>/zabbix/index_sso.php?acs
    Обратите пажњу на употребу "http", а не "http", како параметар acs не би био изостављен у захтеву.Поље за потврду Користи ово за Recipient URL и Destination URL такође треба да буде означено.

  • Audience URI (SP Entity ID): zabbix
    Обратите пажњу да ће се ова вредност користити у SAML тврдњи као јединствени идентификатор добављача услуга (ако се не подудара, операција ће бити одбијена). У овом пољу је могуће навести URL или било који низ података.

  • Default RelayState:
    Оставите ово поље празно; Ако је потребно прилагођено преусмеравање, може се додати у Zabbix-у у подешавањима Корисници → Корисници.

  • Попуните остала поља према вашим жељама.

  • У Изјаве о атрибутима/Изјаве о групним атрибутима додајте:

Ове изјаве о атрибутима се убацују у SAML тврдње које се деле са Zabbix-ом.

Имена атрибута која се овде користе су произвољни примери. Можете користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у SAML подешавањима Zabbix-а.

Ако желите да конфигуришете SAML пријаву у Zabbix без JIT обезбеђивања корисника, онда је потребан само атрибут е-поште.

Ако планирате да користите шифровану везу, генеришите приватне и јавне сертификате за шифровање, а затим отпремите јавни сертификат у Okta. Образац за отпремање сертификата се појављује када је Шифровање тврдње подешено на "Шифровано" (кликните на Прикажи напредна подешавања да бисте пронашли овај параметар).

6. У следећој картици изаберите "Ја сам продавац софтвера". Желим да интегришем своју апликацију са Октом“ и притисните "Заврши".

7. Идите на картицу „Додељивања“ новокреиране апликације и кликните на дугме Додели, а затим из падајућег менија изаберите "Додели људима".

8. У искачућем прозору који се појави, доделите апликацију људима који ће користити SAML 2.0 за аутентификацију са Zabbix-ом, а затим кликните на Сачувај и врати се.

9. Идите на картицу "Пријави се" и кликните на дугме Прикажи упутства за подешавање.

Упутства за подешавање ће се отворити у новој картици; Држите ову картицу отвореном док конфигуришете Zabbix.

Конфигурација Zabbix-а

1. У Zabbix-у, идите на SAML подешавања и попуните опције конфигурације на основу упутстава за подешавање од Okta:

Zabbix field Setup field in Okta Sample value
IdP entity ID Издавалац добављача идентитета
SSO service URL URL за једнократну пријаву добављача идентитета
Username attribute Назив атрибута usrEmail
SP entity ID URI публике zabbix
Group name attribute Назив атрибута groups
User name attribute Атрибут име корисничко_име
User last name attribute Назив атрибута корисничко_презиме

Такође је потребно конфигурисати мапирање корисничке групе и медија.

2. Преузмите сертификат дат у упутствима за подешавање Окта САМЛ-а у фолдер ui/conf/certs као idp.crt.

Подесите 644 дозволе за њега покретањем:

chmod 644 idp.crt3.

Ако је Assertion Encryption подешено на "Encrypted" у Окти, поље за потврде „Assertions“ параметра Encrypt требало би да буде означено и у Забиксу.

4. Притисните дугме "Ажурирај" да бисте сачували ова подешавања.

Обезбеђивање SCIM-а

  1. Да бисте укључили обезбеђивање SCIM-а, идите на "Опште" -> "Подешавања апликације“ апликације у Окти.

Означите поље за потврду Омогући обезбеђивање SCIM-а. Као резултат тога, појавиће се нова картица Обезбеђивање.

2. Идите на картицу „Обезбеђивање“ да бисте подесили SCIM везу:

  • У Основна URL адреса SCIM конектора наведите путању до Zabbix корисничког интерфејса и додајте api_scim.php на њу, тј.:
    https://<ваш-заббикс-урл>/zabbix/api_scim.php
  • Поље за јединствени идентификатор за кориснике: е-пошта
  • Режим аутентификације: HTTP заглавље
  • У Ауторизација унесите важећи API токен са правима супер администратора

Ако користите Apache, можда ћете морати да промените подразумевану конфигурацију Apache-а у /etc/apache2/apache2.conf додавањем следеће линије:

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

У супротном, Apache не шаље заглавље за ауторизацију у захтеву.

  1. Кликните на Тестирај конфигурацију конектора да бисте тестирали везу. Ако је све исправно, приказаће се порука о успеху.

  2. У "Обезбеђивање" -> "Апликацији", обавезно означите следеће кућице:

  • Креирај кориснике
  • Ажурирај атрибуте корисника
  • Деактивирај кориснике

Ово ће осигурати да ће ови типови захтева бити послати Zabbix-у.

  1. Уверите се да су сви атрибути дефинисани у SAML-у дефинисани у SCIM-у. Можете приступити уређивачу профила за вашу апликацију у "Обезбеђивање" -> "Апликацији", кликом на Иди на уређивач профила.

Кликните на Додај атрибут. Попуните вредности за Приказано име, Назив променљиве, Спољашње име са именом SAML атрибута, на пример, korisničko_ime.

Спољашњи именски простор треба да буде исти као и шема корисника: urn:ietf:params:scim:schemas:core:2.0:User

  1. Идите на "Provisioning" -> "To App" -> "Attribute Mappings" ваше апликације. Кликните на Show Unmapped Attributes на дну. Појављују се новододати атрибути.

  2. Мапирајте сваки додати атрибут.

  1. Додајте кориснике на картици „Assignments“. Корисници које је претходно потребно додати у Directory -> People. Све ове доделе ће бити послате као захтеви Zabbix-у.

  2. Додајте групе на картици „Push Groups“. Шаблон мапирања корисничких група у Zabbix SAML подешавањима мора да се подудара са групом наведеном овде. Ако нема подударања, корисник не може бити креиран у Zabbix-у.

Информације о члановима групе се шаљу сваки пут када се изврши нека промена.