14 Konfiguracja SAML z OneLogin

Przegląd

Ta sekcja zawiera wytyczne dotyczące konfigurowania logowania jednokrotnego oraz aprowizacji użytkowników w Zabbix z OneLogin przy użyciu uwierzytelniania SAML 2.0.

Konfiguracja OneLogin

Tworzenie aplikacji

1. Zaloguj się na swoje konto w OneLogin. Do celów testowych możesz utworzyć bezpłatne konto deweloperskie w OneLogin.

2. W interfejsie webowym OneLogin przejdź do Applications > Applications.

3. Kliknij "Add App" i wyszukaj odpowiednią aplikację. Wytyczne na tej stronie opierają się na przykładzie aplikacji SCIM Provisioner with SAML (SCIM v2 Enterprise, full SAML).

4. Na początek możesz chcieć dostosować nazwę wyświetlaną swojej aplikacji. Możesz także dodać ikonę i szczegóły aplikacji. Następnie kliknij Save.

Konfiguracja SSO/SCIM provisioning

1. W Configuration > Application details ustaw punkt końcowy logowania jednokrotnego Zabbix http://<zabbix-instance-url>/zabbix/index_sso.php?acs jako wartość tych pól:

  • ACS (Consumer) URL Validator
  • ACS (Consumer) URL

Zwróć uwagę na użycie http, a nie https, aby parametr acs nie został obcięty w żądaniu.

Możliwe jest również użycie https. Aby to działało z Zabbix, należy dodać do conf/zabbix.conf.php następującą linię:

$SSO['SETTINGS'] = ['use_proxy_headers' => true];

Pozostałe opcje pozostaw z ich domyślnymi wartościami.

2. W Configuration > API connection ustaw następujące wartości:

  • SCIM Base URL: https://<zabbix-instance-url>/zabbix/api_scim.php
  • SCIM JSON Template: powinien zawierać wszystkie niestandardowe atrybuty, które chcesz przekazać do Zabbix przez SCIM, takie jak user_name, user_lastname, user_email i user_mobile:
{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User"
  ],
  "userName": "{$parameters.scimusername}",
  "name": {
    "familyName": "{$user.lastname}",
    "givenName": "{$user.firstname}"
  },
   "user_name": "{$user.firstname}",
   "user_lastname": "{$user.lastname}",
   "user_mobile": "{$user.phone}",
   "user_email": "{$user.email}"
}

Nazwy atrybutów są dowolne. Można użyć innych nazw atrybutów, jednak muszą one odpowiadać odpowiedniej wartości pola w ustawieniach Zabbix SAML.

Zwróć uwagę, że aby provisioning użytkowników działał, OneLogin musi otrzymać w odpowiedzi atrybut name z givenName i familyName, nawet jeśli nie był on wymagany przez dostawcę usług. Dlatego konieczne jest określenie tego w schemacie w części konfiguracji aplikacji.

  • SCIM Bearer Token: wprowadź token API Zabbix z uprawnieniami Super admin.

Kliknij Enable, aby aktywować połączenie.

3. Na stronie Provisioning włącz opcję Provisioning:

4. Strona Parameters zawiera listę domyślnych parametrów:

  • Upewnij się, że wartość scimusername odpowiada wartości logowania użytkownika w OneLogin (np. adresowi e-mail);
  • Zaznacz opcję Include in User Provisioning dla parametru Groups;
  • Kliknij "+" , aby utworzyć niestandardowe parametry wymagane dla asercji SAML i provisioning użytkowników, takie jak user_name, user_lastname, user_email i user_mobile:

Podczas dodawania parametru upewnij się, że zaznaczone są zarówno opcje Include in SAML assertion, jak i Include in User Provisioning.

  • Dodaj parametr group, który odpowiada rolom użytkowników w OneLogin. Role użytkowników będą przekazywane jako ciąg znaków, rozdzielony średnikiem ;. Role użytkowników OneLogin będą używane do tworzenia grup użytkowników w Zabbix:

Sprawdź listę parametrów:

5. Na stronie Rules utwórz mapowania ról użytkowników do domyślnego parametru Groups.

Możesz użyć wyrażenia regularnego, aby przekazywać określone role jako grupy. Nazwy ról nie powinny zawierać ;, ponieważ OneLogin używa tego znaku jako separatora podczas wysyłania atrybutu z kilkoma rolami.

6. Pobierz certyfikat IdP. Ustaw dla niego uprawnienia 644, uruchamiając:

chmod 644 idp.crt

Konfiguracja Zabbix

1. W Zabbix przejdź do ustawień SAML i wypełnij opcje konfiguracji na podstawie konfiguracji OneLogin:

Pole Zabbix Pole konfiguracji w OneLogin Przykładowa wartość
IdP entity ID Issuer URL
(zobacz kartę SSO swojej aplikacji w OneLogin)
SSO service URL SAML 2.0 Endpoint (HTTP)
(zobacz kartę SSO swojej aplikacji w OneLogin)
SLO service URL SLO Endpoint (HTTP)
(zobacz kartę SSO swojej aplikacji w OneLogin)
Username attribute Niestandardowy parametr user_email
Group name attribute Niestandardowy parametr group
User name attribute Niestandardowy parametr user_name
User last name attribute Niestandardowy parametr user_lastname

Wymagana jest również konfiguracja mapowania grup użytkowników. Mapowanie mediów jest opcjonalne. Kliknij Update, aby zapisać te ustawienia.

2. Dodaj certyfikat Base64 udostępniony przez OneLogin.

Jeśli w zabbix.conf.php ustawiono $SSO['CERT_STORAGE'] = 'database', możesz wkleić tekst certyfikatu lub przesłać plik certyfikatu w frontend podczas konfiguracji SAML — pliki nie są wymagane w systemie plików.

Jeśli w zabbix.conf.php ustawiono $SSO['CERT_STORAGE'] = 'file', certyfikat musi być dostępny w systemie plików (domyślnie w ui/conf/certs lub w ścieżce skonfigurowanej w zabbix.conf.php), a frontend nie będzie przechowywać certyfikatów w bazie danych. Zwróć uwagę, że jeśli $SSO['CERT_STORAGE'] nie jest ustawione lub jest zakomentowane, przyjmowane jest przechowywanie w plikach, a certyfikaty są odczytywane z ui/conf/certs.

Certyfikat możesz pobrać w OneLogin w Applications > SSO > kliknij View details pod bieżącym certyfikatem.

3. Kliknij przycisk Update, aby zapisać te ustawienia.

Provisioning użytkowników SCIM

Po włączeniu provisioning użytkowników można teraz dodawać/aktualizować użytkowników oraz ich role w OneLogin, a następnie natychmiast provisionować ich do Zabbix.

Na przykład można utworzyć nowego użytkownika:

Dodaj go do roli użytkownika oraz aplikacji, która będzie provisionować użytkownika:

Po zapisaniu użytkownika zostanie on provisionowany do Zabbix. W Application > Users można sprawdzić status provisioning bieżących użytkowników aplikacji:

Jeśli provisioning zakończy się powodzeniem, użytkownik będzie widoczny na liście użytkowników Zabbix.