11 Configuració de SAML amb Okta

Aquesta secció descriu com configurar Okta per activar l'autenticació SAML 2.0 per Zabbix.

Configuració d'Okta

1. Aneu a https://okta.com i enregistreu-vos o connecteu-vos al vostre compte.

2. A la interfície Web d'Okta, accediu a Aplicacions → Aplicacions i premeu el botó "Afegir una aplicació" ().

3. Premeu el botó "Crear una nova aplicació" (). A la finestra contextual, trieu Plataforma: Web, Mètode de connexió: SAML 2.0, i premeu el botó "Crear".

4. Ompliu els camps de la pestanya Paràmetres generals (la primera pestanya que apareix) segons les vostres preferències, i premeu "Següent".

5. A la pestanya Configurar SAML, entreu els valors que hi ha aquí sota, i després premeu "Següent".

• A la secció GENERAL :
  • URL d'autenticació única : https://<votre-url-zabbix>/ui/index_sso.php?acs
    Heu de marcar la casella *Emprar aquest per URL de destinatari i URL de destinació.
  • Audiència URI (SP Entity ID): zabbix
    Veieu que aquest valor s'emprarà a l'asserció SAML com a únic identificador de proveïdor del servei (si no es correspon pas, la operació serà rebutjada). És possible especificar una URL o tota una cadena de dades en aquest camp.
  • Default RelayState:
    Deixeu aquest camp buix; si es demana una redirecció personal, es pot afegir a Zabbix als paràmetres Administració → Usuaris.
  • Ompliu els altres camps segons les vostres preferències.

• A la secció ATRIBUTS DECLARATS (OPCIONAL), afegiu una declaració d'atribut amb:
  • Nom : usrEmail
  • Format Nom : No especificat
  • Valor : user.email

6. A la pestanya següent, trieu "sóc un editor de programari. Vull integrar la meva aplicació amb Okta" i premeu "Acabar".

7. Ara, accediu a la pestanya Assignacions i premeu el botó "Assignar", després trieu "Assignar a persones" al menú desplegable.

8. A una finestra contextual que apareixerà, assigneu l'aplicació creada a les persones que emprearan SAML 2.0 per autenticar amb Zabbix, i després premeu "Registrar i anar enrere".

9. Accediu a la pestanya "Connexió" i premeu el botó "Afegir les instruccions de configuració". Les instruccions de configuració s'afegiran a una nova pestanya: deseu aquesta pestanya oberta mentre configureu Zabbix.

Configuració de Zabbix

1. Al Zabbix, accediu als paràmetres SAML de la secció Administració → Autenticació i copieu la informació de les instruccions de configuració d'Okta als camps corresponents:

• URL del servei SSO → URL del servei SSO
• ID d'entitat de l'IdP → ID d'entitat IdP
• Atribut del nom d'usuari → Nom d'atribut (usrEmail)
• ID d'entitat del SP → URI d'audiència

2. Descarregueu el certificat de la pàgina d'instruccions de configuració d'Okta a la carpeta ui/conf/certs com a idp.crt i establiu-li els permisos 644 executant:

chmod 644 idp.crt

Veieu que heu actualitzat a Zabbix 5.0 des d'una versió més antiga, haureu d'afegir manualment aquestes línies a l'arxiu zabbix.conf.php (que és dins la carpeta /ui/conf/):

// Emprat per l'autenticació SAML.
       $SSO['SP_KEY'] = 'conf/certs/sp.key' ; // Camí de la clau privada.
       $SSO['SP_CERT'] = 'conf/certs/sp.crt' ; // Camí de la clau pública.
       $SSO['IDP_CERT'] = 'conf/certs/idp.crt' ; // Camí d'accés a la clau pública IdP.
       $SSO['SETTINGS'] = [] ; // Paràmetres addicionals

Veieu les instruccions genèriques Autenticació SAML per tindre més detalls.

3. Si s'ha definit Assertion Encryption com a Xifrat a Okta, la casella "Assercions" del paràmetre Xifrat s'ha de marcar igualment a Zabbix.

4. Feu clic al botó "Actualitzar" per enregistrar els paràmetres.