This is a translation of the original English documentation page. Help us make it better.

13 SAML подешавање са OneLogin-ом

Преглед

Овај одељак пружа смернице за конфигурисање јединственог пријављивања и обезбеђивања корисника у Zabbix-у са OneLogin користећи SAML 2.0 аутентификацију.

OneLogin конфигурација

Креирање апликације

1. Пријавите се на свој налог на OneLogin-у. У сврху тестирања, можете креирати бесплатан налог програмера у OneLogin-у.

2. У веб интерфејсу OneLogin идите на Апликације → Апликације.

3. Кликните на "Додај апликацију" и потражите одговарајућу апликацију. Смернице на овој страници су засноване на примеру апликације * SCIM провизионисање са SAML-ом (SCIM v2 Enterprise, full SAML)*.

4. За почетак, можда ћете желети да прилагодите име за приказ ваше апликације. Можда ћете желети да додате иконе и детаље о апликацији. Након тога кликните на Сачувај.

Подешавање SSO/SCIM обезбеђивања

1. У Конфигурација -> Детаљи апликације, подесите крајњу тачку за једнократну пријаву Zabbix-а http://<zabbix-instance-url>/zabbix/index_sso.php?acs као вредност ових поља:

  • ACS (Consumer) URL Validator
  • ACS (Consumer) URL

Обратите пажњу на употребу „http“, а не „https“, како параметар acs не би био изостављен у захтеву.

Такође је могуће користити "https". Да би ово функционисало са Zabbix-ом, потребно је додати следећи ред у conf/zabbix.conf.php:

$SSO['SETTINGS'] = ['use_proxy_headers' => true];

Оставите остале опције са њиховим подразумеваним вредностима.

2.. У Конфигурација -> АПИ веза, подесите следеће вредности:

  • SCIM основни URL: https://<zabbix-instance-url>/zabbix/api_scim.php
  • SCIM JSON шаблон: треба да садржи све прилагођене атрибуте које желите да проследите Zabbix-у путем SCIM-а, као што су user_name, user_lastname, user_email и user_mobile:
{
            "schemas": [
            "urn:ietf:params:scim:schemas:core:2.0:User"
            ],
            "userName": "{$parameters.scimusername}",
            "name": {
            "familyName": "{$user.lastname}",
            "givenName": "{$user.firstname}"
            },
            "user_name": "{$user.firstname}",
            "user_lastname": "{$user.lastname}",
            "user_mobile": "{$user.phone}",
            "user_email": "{$user.email}"
       }

Имена атрибута су произвољна. Могу се користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у Zabbix SAML подешавањима.

Имајте на уму да би додељивање корисника функционисало, OneLogin мора као одговор да добије атрибут "name" са "givenName" и "familyName", чак и ако то није захтевао добављач услуге. Стога је потребно ово навести у шеми у делу за конфигурацију апликације.

  • SCIM Bearer Token: унесите Zabbix API токен са дозволама супер администратора.

Кликните на Омогући да бисте активирали везу.

3. На страници Обезбеђивање омогућите опцију Обезбеђивање:

4. Страница Параметри садржи листу подразумеваних параметара:

  • Уверите се да се „scimusername“ подудара са вредношћу за пријаву корисника у OneLogin-у (нпр. имејл);
  • Означите опцију Укључи у обезбеђивање корисника за параметар "Групе";
  • Кликните на „+“ да бисте креирали прилагођене параметре који су потребни за SAML тврдње и обезбеђивање корисника, као што су user_name, user_lastname, user_email и user_mobile:

Када додајете параметар, обавезно означите обе опције Укључи у SAML тврдњу и Укључи у обезбеђивање корисника.

  • Додајте параметар „група“ који одговара улогама корисника у OneLogin-у. Улоге корисника ће бити прослеђене као стринг, одвојене тачком-зарезом ;. Корисничке улоге OneLogin-а ће се користити за креирање корисничких група у Zabbix-у:

Проверите листу параметара:

5. На страници Правила, креирајте мапирања корисничких улога на подразумевани параметар Групе.

Можете користити регуларни израз да бисте проследили одређене улоге као групе. Имена улога не би требало да садрже ; јер га OneLogin користи као сепаратор када шаље атрибут са неколико улога.

Конфигурација Zabbix-а

1. У Zabbix-у, идите на SAML подешавања и попуните опције конфигурације на основу OneLogin конфигурације:

Zabbix field Setup field in OneLogin Sample value
IdP entity ID URL издаваоца
(погледајте SSO картицу ваше апликације у OneLogin-у)
SSO service URL SAML 2.0 крајња тачка (HTTP)
(погледајте SSO картицу ваше апликације у OneLogin-у)
SLO service URL SLO крајња тачка (HTTP)
(погледајте SSO картицу ваше апликације у OneLogin)
Username attribute Прилагођени параметар user_email
Group name attribute Прилагођени параметар group
User name attribute Прилагођени параметар user_name
User last name attribute Прилагођени параметар user_lastname

Такође је потребно конфигурисати мапирање групе корисника. Мапирање медија је опционо. Кликните на Ажурирај да бисте сачували ова подешавања.

2. Преузмите сертификат који је обезбедио OneLogin и поставите га у conf/certs Zabbix корисничком интерфејсу инсталације, као idp.crt.

Подесите 644 дозволе за њега покретањем:

chmod 644 idp.crt

Можете приступити преузимању сертификата у OneLogin-у у Апликације -> SSO -> кликните на Прикажи детаље испод тренутног сертификата.

Могуће је користити друго име и локацију сертификата. У том случају, обавезно додајте следећи ред у conf/zabbix.conf.php:

$SSO['IDP_CERT'] = 'путања/до/имесерта.crt';

SCIM провизионисање корисника

Са омогућеним провизионисањем корисника, сада је могуће додати/ажурирати кориснике и њихове улоге у OneLogin-у и одмах их обезбедити за Zabbix.

На пример, можете креирати новог корисника:

Додајте га у корисничку улогу и апликацију која ће обезбедити корисника:

Када сачувате корисника, биће додељен Zabbix-у. У Апликација -> Корисници можете да проверите статус обезбеђивања тренутних корисника апликације:

Ако је успешно провизионисан, корисник се може видети на листи Zabbix корисника.