Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

12 Configuración de SAML con Microsoft Entra ID

Descripción general

Esta sección proporciona pautas para configurar el inicio de sesión único y el aprovisionamiento de usuarios en Zabbix desde Microsoft Entra ID (anteriormente Microsoft Azure Active Directory) utilizando la autenticación SAML 2.0.

Configuración de Microsoft Entra ID

Creando una aplicación

1. Inicie sesión en el centro de administración de Microsoft Entra en Microsoft Entra ID. Para fines de prueba, puede crear una cuenta de prueba gratuita en Microsoft Entra ID.

2. En el centro de administración de Microsoft Entra seleccione Aplicaciones -> Aplicaciones empresariales -> Nueva aplicación -> Cree su propia aplicación.

3. Añada el nombre de su aplicación y seleccione la opción Integrar cualquier otra aplicación.... Después de eso, haga clic en Crear.

Configuración del inicio de sesión único

1. En la página de tu aplicación, ve a Configurar inicio de sesión único y haz clic en Comenzar. Luego selecciona SAML.

2. Edita la Configuración básica de SAML:

  • En Identificador (ID de entidad) establece un nombre único para identificar tu aplicación en Microsoft Entra ID, por ejemplo, zabbix;
  • En URL de respuesta (URL del servicio de consumidor de aserciones) establece el endpoint de inicio de sesión único de Zabbix: https://<ruta-a-la-interfaz-zabbix>/index_sso.php?acs:

Ten en cuenta que se requiere "https". Para que esto funcione con Zabbix, es necesario añadir la siguiente línea a conf/zabbix.conf.php:

$SSO['SETTINGS'] = ['use_proxy_headers' => true];

3. Edita Atributos y reclamaciones. Debes añadir todos los atributos que desees pasar a Zabbix (user_name, user_lastname, user_email, user_mobile, groups).

Los nombres de los atributos son arbitrarios. Se pueden usar diferentes nombres de atributos, sin embargo, es necesario que coincidan con el valor del campo respectivo en la configuración SAML de Zabbix.

  • Haz clic en Agregar nueva reclamación para añadir un atributo:

  • Haz clic en Agregar una reclamación de grupo para añadir un atributo que pase los grupos a Zabbix:

Es importante en esta reclamación que los nombres de los grupos (en lugar de los IDs de grupo) se pasen a Zabbix mediante el Atributo de origen seleccionado. De lo contrario, el aprovisionamiento de usuarios JIT no funcionará correctamente.

4. En Certificados SAML descarga el certificado Base64 proporcionado por Entra ID y colócalo en conf/certs de la instalación del frontend de Zabbix.

Asígnale permisos 644 ejecutando:

chmod 644 entra.cer

Asegúrate de que conf/zabbix.conf.php contenga la línea:

$SSO['IDP_CERT'] = 'conf/certs/entra.cer';

5. Utiliza los valores de Configurar <el nombre de tu aplicación> en Entra ID para configurar la autenticación SAML de Zabbix (ver la siguiente sección):

Configuración de Zabbix

1. En Zabbix, vaya a la configuración de SAML y complete las opciones de configuración basándose en la configuración de Entra ID:

Campo de Zabbix Campo de configuración en Entra ID Valor de ejemplo
IdP entity ID Identificador de Microsoft Entra
SSO service URL URL de inicio de sesión
SLO service URL URL de cierre de sesión
SP entity ID Identificador (Entity ID)
Username attribute Atributo personalizado (claim) user_email
Group name attribute Atributo personalizado (claim) groups
User name attribute Atributo personalizado (claim) user_name
User last name attribute Atributo personalizado (claim) user_lastname

También es necesario configurar la asignación de grupos de usuarios. La asignación de medios es opcional.

Haga clic en Actualizar para guardar estos ajustes.

Aprovisionamiento de usuarios SCIM

1. En la página de tu aplicación Entra ID, desde el menú principal abre la página de Aprovisionamiento. Haz clic en Comenzar y luego selecciona el modo de aprovisionamiento Automático:

  • En URL del inquilino, establece el siguiente valor: https://<ruta-a-zabbix-ui>/api_scim.php
  • En Token secreto, introduce un token de la API de Zabbix con permisos de Superadministrador.
  • Haz clic en Probar conexión para comprobar si la conexión se ha establecido.

2. Ahora puedes añadir todos los atributos que se pasarán con SCIM a Zabbix. Para ello, haz clic en Asignaciones y luego en Aprovisionar usuarios de Microsoft Entra ID.

En la parte inferior de la lista de asignación de atributos, habilita Mostrar opciones avanzadas y luego haz clic en Editar lista de atributos para customappsso.

En la parte inferior de la lista de atributos, añade tus propios atributos con tipo 'String':

Guarda la lista.

3. Ahora puedes añadir asignaciones para los atributos añadidos. En la parte inferior de la lista de asignación de atributos, haz clic en Agregar nueva asignación y crea asignaciones como se muestra a continuación:

Cuando se hayan añadido todas las asignaciones, guarda la lista de asignaciones.

4. Como requisito previo para el aprovisionamiento de usuarios en Zabbix, debes tener usuarios y grupos configurados en Entra ID.

Para ello, ve al Centro de administración de Microsoft Entra y luego añade usuarios/grupos en las respectivas páginas de Usuarios y Grupos.

5. Cuando los usuarios y grupos hayan sido creados en Entra ID, puedes ir al menú Usuarios y grupos de tu aplicación y añadirlos a la aplicación.

6. Ve al menú Aprovisionamiento de tu aplicación y haz clic en Iniciar aprovisionamiento para que los usuarios se aprovisionen en Zabbix.

Ten en cuenta que la solicitud PATCH de Usuarios en Entra ID no admite cambios en los medios.

Resolución de problemas

Pueden producirse problemas de autenticación con los navegadores MicroSoft Edge cuando un usuario, al intentar iniciar sesión en Zabbix mediante SAML, ya ha iniciado sesión con el perfil de MicroSoft Edge. Como señal de este problema, el usuario podría ser capaz de iniciar sesión en Zabbix utilizando MicroSoft Edge en modo privado.

Para evitar problemas de autenticación en este caso, puede ser necesario establecer requestedAuthnContext a "false" en el archivo de configuración del frontend de Zabbix (zabbix.conf.php).

$SSO['SETTINGS'] = [
           'security' => [
               'requestedAuthnContext' => false
           ]
       ];