Esta sección proporciona pautas para configurar el inicio de sesión único y el aprovisionamiento de usuarios en Zabbix desde Microsoft Entra ID (anteriormente Microsoft Azure Active Directory) utilizando la autenticación SAML 2.0.
1. Inicie sesión en el centro de administración de Microsoft Entra en Microsoft Entra ID. Para fines de prueba, puede crear una cuenta de prueba gratuita en Microsoft Entra ID.
2. En el centro de administración de Microsoft Entra seleccione Aplicaciones -> Aplicaciones empresariales -> Nueva aplicación -> Cree su propia aplicación.
3. Añada el nombre de su aplicación y seleccione la opción Integrar cualquier otra aplicación.... Después de eso, haga clic en Crear.
1. En la página de tu aplicación, ve a Configurar inicio de sesión único y haz clic en Comenzar. Luego selecciona SAML.
2. Edita la Configuración básica de SAML:
zabbix
;https://<ruta-a-la-interfaz-zabbix>/index_sso.php?acs
:Ten en cuenta que se requiere "https". Para que esto funcione con Zabbix, es necesario añadir la siguiente línea a conf/zabbix.conf.php
:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
3. Edita Atributos y reclamaciones. Debes añadir todos los atributos que desees pasar a Zabbix (user_name, user_lastname, user_email, user_mobile, groups).
Los nombres de los atributos son arbitrarios. Se pueden usar diferentes nombres de atributos, sin embargo, es necesario que coincidan con el valor del campo respectivo en la configuración SAML de Zabbix.
Es importante en esta reclamación que los nombres de los grupos (en lugar de los IDs de grupo) se pasen a Zabbix mediante el Atributo de origen seleccionado. De lo contrario, el aprovisionamiento de usuarios JIT no funcionará correctamente.
4. En Certificados SAML descarga el certificado Base64 proporcionado por Entra ID y colócalo en conf/certs
de la instalación del frontend de Zabbix.
Asígnale permisos 644 ejecutando:
Asegúrate de que conf/zabbix.conf.php
contenga la línea:
$SSO['IDP_CERT'] = 'conf/certs/entra.cer';
5. Utiliza los valores de Configurar <el nombre de tu aplicación> en Entra ID para configurar la autenticación SAML de Zabbix (ver la siguiente sección):
1. En Zabbix, vaya a la configuración de SAML y complete las opciones de configuración basándose en la configuración de Entra ID:
Campo de Zabbix | Campo de configuración en Entra ID | Valor de ejemplo |
---|---|---|
IdP entity ID | Identificador de Microsoft Entra | |
SSO service URL | URL de inicio de sesión | |
SLO service URL | URL de cierre de sesión | |
SP entity ID | Identificador (Entity ID) | |
Username attribute | Atributo personalizado (claim) | user_email |
Group name attribute | Atributo personalizado (claim) | groups |
User name attribute | Atributo personalizado (claim) | user_name |
User last name attribute | Atributo personalizado (claim) | user_lastname |
También es necesario configurar la asignación de grupos de usuarios. La asignación de medios es opcional.
Haga clic en Actualizar para guardar estos ajustes.
1. En la página de tu aplicación Entra ID, desde el menú principal abre la página de Aprovisionamiento. Haz clic en Comenzar y luego selecciona el modo de aprovisionamiento Automático:
https://<ruta-a-zabbix-ui>/api_scim.php
2. Ahora puedes añadir todos los atributos que se pasarán con SCIM a Zabbix. Para ello, haz clic en Asignaciones y luego en Aprovisionar usuarios de Microsoft Entra ID.
En la parte inferior de la lista de asignación de atributos, habilita Mostrar opciones avanzadas y luego haz clic en Editar lista de atributos para customappsso.
En la parte inferior de la lista de atributos, añade tus propios atributos con tipo 'String':
Guarda la lista.
3. Ahora puedes añadir asignaciones para los atributos añadidos. En la parte inferior de la lista de asignación de atributos, haz clic en Agregar nueva asignación y crea asignaciones como se muestra a continuación:
Cuando se hayan añadido todas las asignaciones, guarda la lista de asignaciones.
4. Como requisito previo para el aprovisionamiento de usuarios en Zabbix, debes tener usuarios y grupos configurados en Entra ID.
Para ello, ve al Centro de administración de Microsoft Entra y luego añade usuarios/grupos en las respectivas páginas de Usuarios y Grupos.
5. Cuando los usuarios y grupos hayan sido creados en Entra ID, puedes ir al menú Usuarios y grupos de tu aplicación y añadirlos a la aplicación.
6. Ve al menú Aprovisionamiento de tu aplicación y haz clic en Iniciar aprovisionamiento para que los usuarios se aprovisionen en Zabbix.
Ten en cuenta que la solicitud PATCH de Usuarios en Entra ID no admite cambios en los medios.
Pueden producirse problemas de autenticación con los navegadores MicroSoft Edge cuando un usuario, al intentar iniciar sesión en Zabbix mediante SAML, ya ha iniciado sesión con el perfil de MicroSoft Edge. Como señal de este problema, el usuario podría ser capaz de iniciar sesión en Zabbix utilizando MicroSoft Edge en modo privado.
Para evitar problemas de autenticación en este caso, puede ser necesario establecer requestedAuthnContext
a "false" en el archivo de configuración del frontend de Zabbix (zabbix.conf.php).