11 Configuración de SAML con Okta

Esta sección describe cómo configurar Okta para habilitar la autenticación SAML 2.0 para Zabbix.

Configuración correcta

1. Vaya a https://okta.com y regístrese o inicie sesión en su cuenta.

2. En la interfaz web de Okta, navegue hasta Aplicaciones → Aplicaciones y presione el botón "Agregar aplicación" ().

3. Presione el botón "Crear nueva aplicación" (). En una ventana emergente, seleccione Plataforma: Web, Método de inicio de sesión: SAML 2.0 y presione el botón "Crear".

4. Complete los campos en la pestaña Configuración general (la primera pestaña que aparece) según sus preferencias y presione "Siguiente".

5. En la pestaña Configurar SAML ingrese los valores proporcionados a continuación, luego presione "Siguiente".

• En la sección GENERAL:
  • URL de inicio de sesión único: https://<tu-url-zabbix>/ui/index_sso.php?acs
    La casilla de verificación Utilice esto para la URL del destinatario y la URL de destino debe estar marcado)
  • URI de audiencia (ID de entidad SP): zabbix
    Tenga en cuenta que este valor se utilizará dentro de la aserción SAML como un identificador único de proveedor de servicios (si no coincide, el operación será rechazada). Es posible especificar una URL o cualquier cadena de datos en este campo.
  • Estado de retransmisión predeterminado:
    Deje este campo en blanco; si se requiere una redirección personalizada, puede agregarse en Zabbix en la configuración de Administración → Usuarios.
  • Rellena otros campos según tus preferencias.

• En la sección DECLARACIONES DE ATRIBUTOS (OPCIONAL) agregue un atributo declaración con:
  • Nombre: usrEmail
  • Formato del nombre: Sin especificar
  • Valor: user.email

6. En la siguiente pestaña, seleccione "Soy un proveedor de software. Me gustaría integrar mi aplicación con Okta" y presionar "Finalizar".

7. Ahora, navega a la pestaña Asignaciones y presiona el botón "Asignar". luego seleccione Asignar a personas en el menú desplegable.

8. En una ventana emergente que aparece, asigne la aplicación creada a las personas que usarán SAML 2.0 para autenticarse con Zabbix, luego presione "Guardar y regresar".

9. Navegue hasta la pestaña Iniciar sesión y presione "Ver configuración Botón "Instrucciones". Las instrucciones de configuración se mostrarán en una nueva pestaña; mantenga esta pestaña abierta mientras configura Zabbix.

Configuración de Zabbix

1. En Zabbix, vaya a la configuración de SAML en Administración → Sección de autenticación y copia de información de la configuración de Okta instrucciones en los campos correspondientes:

• URL de inicio de sesión único del proveedor de identidad → URL del servicio SSO
• Emisor del proveedor de identidad → ID de entidad IdP
• Atributo de nombre de usuario → Nombre del atributo (usrEmail)
• ID de entidad SP → URI de audiencia

2. Descargue el certificado proporcionado en las instrucciones de configuración de Okta página en la carpeta ui/conf/certs como idp.crt y establezca el permiso 644 mediante correr:

chmod 644 idp.crt

Tenga en cuenta que si ha actualizado a Zabbix 5.0 desde una versión anterior, También deberá agregar manualmente estas líneas al archivo zabbix.conf.php (ubicado en el directorio //ui/conf/ //):

// Utilizado para la autenticación SAML.
       $SSO['SP_KEY'] = 'conf/certs/sp.key'; // Ruta a tu clave privada.
       $SSO['SP_CERT'] = 'conf/certs/sp.crt'; // Ruta a tu clave pública.
       $SSO['IDP_CERT'] = 'conf/certs/idp.crt'; // Ruta a la clave pública del IdP.
       $SSO['SETTINGS'] = []; // Ajustes adicionales

Ver las instrucciones génericas de Autenticación SAML para más detalles.

3. Si Assertion Encryption se ha configurado en Encrypted en Okta, un La casilla de verificación "Aserciones" del parámetro Encrypt debe estar marcada en Zabbix también.

4. Presione el botón "Actualizar" para guardar esta configuración.