SAML

Przegląd

Uwierzytelnianie SAML 2.0 authentication może być używane do logowania do Zabbix.

Jeśli skonfigurowano tylko logowanie SAML, użytkownik musi również istnieć w Zabbix, jednak jego hasło Zabbix nie będzie używane. Jeśli uwierzytelnienie zakończy się powodzeniem, Zabbix dopasuje lokalną nazwę użytkownika do atrybutu nazwy użytkownika zwróconego przez SAML.

Provisioning użytkowników

Można skonfigurować provisioning użytkowników JIT (just-in-time) dla użytkowników SAML. W takim przypadku nie jest wymagane, aby użytkownik istniał już w Zabbix. Konto użytkownika może zostać utworzone, gdy użytkownik zaloguje się do Zabbix po raz pierwszy.

Jeśli provisioning JIT jest włączony, na karcie Authentication należy określić grupę użytkowników dla użytkowników, którym odebrano provisioning.

Oprócz provisioningu JIT można również włączyć i skonfigurować provisioning SCIM (System for Cross-domain Identity Management) — ciągłe zarządzanie kontami użytkowników dla tych użytkowników, którzy zostali utworzeni przez provisioning użytkowników. Provisioning SCIM wymaga tokena API Zabbix (z uprawnieniami Super admin) do uwierzytelniania w Zabbix.

Na przykład, jeśli użytkownik zostanie przeniesiony z jednej grupy SAML do innej, użytkownik zostanie również przeniesiony z jednej grupy do innej w Zabbix; jeśli użytkownik zostanie usunięty z grupy SAML, użytkownik zostanie również usunięty z grupy w Zabbix i, jeśli nie należy do żadnej innej grupy, zostanie dodany do grupy użytkowników dla użytkowników, którym odebrano provisioning.

Jeśli SCIM jest włączony i skonfigurowany, użytkownik SAML zostanie provisionowany w momencie zalogowania się do Zabbix i będzie stale aktualizowany na podstawie zmian w SAML. Istniejący już użytkownicy SAML nie będą provisionowani, a aktualizowani będą tylko użytkownicy provisionowani. Należy pamiętać, że do użytkownika zostaną dodane tylko prawidłowe media, gdy użytkownik zostanie provisionowany lub zaktualizowany.

Jeśli SCIM nie jest włączony, użytkownik SAML zostanie provisionowany (a później zaktualizowany) w momencie zalogowania się do Zabbix.

Jeśli uwierzytelnianie SAML jest włączone, użytkownicy będą mogli wybrać logowanie lokalne lub przez logowanie jednokrotne SAML. Jeśli używany jest provisioning JIT, możliwe jest tylko logowanie jednokrotne.

Konfigurowanie dostawcy tożsamości

Aby pracować z Zabbix, dostawca tożsamości SAML (onelogin.com, auth0.com, okta.com itp.) musi zostać skonfigurowany w następujący sposób:

  • Assertion Consumer URL należy ustawić na <path_to_zabbix_ui>/index_sso.php?acs
  • Single Logout URL należy ustawić na <path_to_zabbix_ui>/index_sso.php?sls

Przykłady <path_to_zabbix_ui>: https://example.com/zabbix/ui, http://another.example.com/zabbix, http://<any_public_ip_address>/zabbix

Konfigurowanie Zabbixa

Aby korzystać z uwierzytelniania SAML we frontendzie, należy zainstalować php-openssl.

Aby używać uwierzytelniania SAML, Zabbix powinien być skonfigurowany w następujący sposób:

1. Udostępnij prywatny klucz SP i certyfikaty. Aby aktywować SAML we frontendzie, należy podać certyfikat IdP (wklejając go lub wybierając plik). Jeśli wybrano opcje Sign lub Encrypt, należy podać certyfikat SP oraz prywatny klucz SP.

Jeśli w pliku zabbix.conf.php ustawiono $SSO['CERT_STORAGE'] = 'database', podczas konfiguracji SAML we frontendzie można wkleić tekst certyfikatu lub przesłać plik certyfikatu — pliki nie są wymagane w systemie plików.

Jeśli w pliku zabbix.conf.php ustawiono $SSO['CERT_STORAGE'] = 'file', certyfikat musi być dostępny w systemie plików (domyślnie w ui/conf/certs lub w ścieżce skonfigurowanej w zabbix.conf.php), a frontend nie będzie przechowywać certyfikatów w bazie danych. Należy pamiętać, że jeśli $SSO['CERT_STORAGE'] nie jest ustawione lub jest zakomentowane, przyjmowane jest przechowywanie w plikach.

Domyślnie Zabbix będzie szukać w następujących lokalizacjach:

  • ui/conf/certs/sp.key - plik prywatnego klucza SP
  • ui/conf/certs/sp.crt - plik certyfikatu SP
  • ui/conf/certs/idp.crt - plik certyfikatu IDP

Materiały certyfikacyjne mogą być importowane we frontendzie przez wklejenie tekstu lub przesłanie plików. Chociaż w niektórych środowiskach dozwolony jest import bez szyfrowania dla wygody, zdecydowanie zaleca się korzystanie z szyfrowanego transportu (na przykład włączenie HTTPS/TLS dla frontend Zabbixa). Gdy certyfikaty/klucze SAML są przechowywane w bazie danych, należy włączyć TLS/SSL dla połączeń z bazą danych, aby chronić ruch między aplikacją a bazą danych.
Szyfruj kopie zapasowe bazy danych, które mogą zawierać certyfikaty SAML lub klucze prywatne, oraz ogranicz dostęp do plików kopii zapasowych i do tabel bazy danych przechowujących materiały SAML. Ogranicz uprawnienia użytkownika bazy danych do minimum niezbędnego.

2. Wszystkie najważniejsze ustawienia można skonfigurować we frontendzie Zabbixa. Możliwe jest jednak określenie dodatkowych ustawień w pliku konfiguracyjnym.

Parametry konfiguracyjne dostępne we frontendzie Zabbixa:

Parameter Description
Enable SAML authentication Zaznacz pole wyboru, aby włączyć uwierzytelnianie SAML.
Enable JIT provisioning Zaznacz pole wyboru, aby włączyć aprowizację użytkowników JIT.
IDP entity ID Unikalny identyfikator encji w dostawcy tożsamości SAML.
SSO service URL Adres URL, na który użytkownicy zostaną przekierowani podczas logowania.
SLO service URL Adres URL, na który użytkownicy zostaną przekierowani podczas wylogowywania. Jeśli pozostanie puste, usługa SLO nie będzie używana.
Username attribute Atrybut SAML używany jako nazwa użytkownika podczas logowania do Zabbixa.
Lista obsługiwanych wartości jest określana przez dostawcę tożsamości.

Przykłady:
uid
userprincipalname
samaccountname
username
userusername
urn:oid:0.9.2342.19200300.100.1.1
urn:oid:1.3.6.1.4.1.5923.1.1.1.13
urn:oid:0.9.2342.19200300.100.1.44
SP entity ID Unikalny identyfikator dostawcy usług (jeśli nie będzie zgodny, operacja zostanie odrzucona).
Można podać adres URL lub dowolny ciąg danych.
SP name ID format Zażądaj określonego formatu name ID w odpowiedzi.

Przykłady:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
IdP certificate Zawartość certyfikatu dostawcy usług (SP) dla konfiguracji usługi SAML single sign-on (SSO).
SP private key Zawartość prywatnego klucza dostawcy usług (SP) dla konfiguracji usługi SAML single sign-on (SSO). Zapewnia bezpieczne uwierzytelnianie i wymianę danych z dostawcą tożsamości (IdP).
SP certificate Zawartość certyfikatu dostawcy usług (SP) dla konfiguracji usługi SAML single sign-on (SSO).
Sign Zaznacz pola wyboru, aby wybrać encje, dla których ma być włączony podpis SAML:
Messages
Assertions
AuthN requests
Logout requests
Logout responses
Encrypt Zaznacz pola wyboru, aby wybrać encje, dla których ma być włączone szyfrowanie SAML:
Name ID
Assertions
Case-sensitive login Odznacz pole wyboru, aby wyłączyć rozróżnianie wielkości liter podczas logowania nazwami użytkowników (domyślnie włączone).
Wyłączenie rozróżniania wielkości liter umożliwia na przykład logowanie jako "admin", nawet jeśli użytkownik Zabbixa to "Admin" lub "ADMIN".
Należy pamiętać, że jeśli rozróżnianie wielkości liter jest wyłączone i istnieje wielu użytkowników Zabbixa o podobnych nazwach użytkowników (np. Admin i admin), logowanie dla tych użytkowników będzie zawsze odrzucane z następującym komunikatem o błędzie: "Authentication failed: supplied credentials are not unique."
Configure JIT provisioning Zaznacz to pole wyboru, aby wyświetlić opcje związane z aprowizacją użytkowników JIT.
Group name attribute Określ atrybut nazwy grupy dla aprowizacji użytkowników JIT.
User name attribute Określ atrybut nazwy użytkownika dla aprowizacji użytkowników JIT.
User last name attribute Określ atrybut nazwiska użytkownika dla aprowizacji użytkowników JIT.
User group mapping Mapuj wzorzec grupy użytkowników SAML na grupę użytkowników Zabbixa i rolę użytkownika.
Jest to wymagane do określenia, jaką grupę/rolę otrzyma aprowizowany użytkownik w Zabbiksie.
Kliknij Add, aby dodać mapowanie.
Pole SAML group pattern obsługuje symbole wieloznaczne. Nazwa grupy musi odpowiadać istniejącej grupie.
Jeśli użytkownik SAML pasuje do kilku grup użytkowników Zabbixa, stanie się członkiem wszystkich z nich.
Jeśli użytkownik pasuje do kilku ról użytkowników Zabbixa, otrzyma najwyższy poziom uprawnień spośród nich.
Media type mapping Mapuj atrybuty mediów SAML użytkownika (np. e-mail) na media użytkownika Zabbixa do wysyłania powiadomień.
Enable SCIM provisioning Zaznacz to pole wyboru, aby włączyć aprowizację SCIM 2.0.

Przykłady konfiguracji dostawców tożsamości SAML do logowania i aprowizacji użytkowników w Zabbiksie:

Uwagi dotyczące provisioningu SCIM

W przypadku provisioningu SCIM należy określić ścieżkę do frontend Zabbix i dodać do niej api_scim.php po stronie dostawcy tożsamości, tj.:

https://<path-to-zabbix-ui>/api_scim.php

Atrybuty użytkownika używane w Zabbix (nazwa użytkownika, imię użytkownika, nazwisko użytkownika oraz atrybuty mediów) należy dodać jako atrybuty niestandardowe, a w razie potrzeby zewnętrzna przestrzeń nazw powinna być taka sama jak w schemacie użytkownika: urn:ietf:params:scim:schemas:core:2.0:User.

Zaawansowane ustawienia

Dodatkowe parametry SAML można skonfigurować w pliku konfiguracyjnym frontend Zabbixa (zabbix.conf.php):

  • $SSO['SP_KEY'] = '<ścieżka do pliku prywatnego klucza SP>';
  • $SSO['SP_CERT'] = '<ścieżka do pliku certyfikatu SP>';
  • $SSO['IDP_CERT'] = '<ścieżka do pliku certyfikatu IDP>';
  • $SSO['SETTINGS']

Tablica $SSO['SETTINGS'] musi mieć taką samą strukturę, jakiej oczekuje biblioteka SAML PHP Toolkit (dostarczana z Zabbixem). Pełny opis dostępnych opcji konfiguracji znajduje się w oficjalnej dokumentacji biblioteki.

W ramach $SSO['SETTINGS'] można ustawić tylko następujące opcje:

  • strict
  • baseurl
  • compress
  • contactPerson
  • organization
  • sp (tylko opcje określone na tej liście)
    • attributeConsumingService
    • x509certNew
  • idp (tylko opcje określone na tej liście)
    • singleLogoutService (tylko jedna opcja)
      • responseUrl
    • certFingerprint
    • certFingerprintAlgorithm
    • x509certMulti
  • security (tylko opcje określone na tej liście)
    • signMetadata
    • wantNameId
    • requestedAuthnContext
    • requestedAuthnContextComparison
    • wantXMLValidation
    • relaxDestinationValidation
    • destinationStrictlyMatches
    • rejectUnsolicitedResponsesWithInResponseTo
    • signatureAlgorithm
    • digestAlgorithm
    • lowercaseUrlencoding

Wszystkie pozostałe opcje będą pobierane z bazy danych i nie można ich nadpisać. Opcja debug będzie ignorowana.

Dodatkowo, jeśli interfejs Zabbixa znajduje się za proxy lub load balancerem, można użyć niestandardowej opcji use_proxy_headers:

  • false (domyślnie) - zignoruj opcję;
  • true - użyj nagłówków HTTP X-Forwarded-* do budowania adresu URL bazowego.

Jeśli do połączenia z instancją Zabbixa używany jest load balancer, a load balancer korzysta z TLS/SSL, a Zabbix nie, należy wskazać parametry baseurl, strict i use_proxy_headers w następujący sposób:

$SSO['SETTINGS'] = [
    'strict' => false,
    'baseurl' => 'https://zabbix.example.com/zabbix/',
    'use_proxy_headers' => true
];

Przykład konfiguracji:

$SSO['SETTINGS'] = [
    'security' => [
        'signatureAlgorithm' => 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha384'
        'digestAlgorithm' => 'http://www.w3.org/2001/04/xmldsig-more#sha384',
        // ...
    ],
    // ...
];
Konfiguracja frontend z Kerberos/ADFS

Plik konfiguracyjny frontend Zabbixa (zabbix.conf.php) można wykorzystać do skonfigurowania SSO z uwierzytelnianiem Kerberos i ADFS:

$SSO['SETTINGS'] = [
    'security' => [
        'requestedAuthnContext' => [
            'urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos',
        ],
        'requestedAuthnContextComparison' => 'exact'
    ]
]; 

W tym przypadku w polu SP name ID konfiguracji SAML ustaw:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified