#11 SAML-configuratie met Okta

In dit gedeelte wordt beschreven hoe u Okta kunt configureren om SAML 2.0 in te schakelen authenticatie voor Zabbix.

Okta-configuratie

1. Ga naar https://okta.com en registreer of log in op uw account.

2. Navigeer in de Okta-web interface naar Applicaties → Applicaties en druk op de knop "Applicatie toevoegen" ().

3. Druk op de knop "Nieuwe app maken" (). Selecteer in een pop-upvenster Platform: Web, Aanmeld methode: SAML 2.0 en druk op de knop "Maken".

4. Vul de velden in op het tabblad Algemene instellingen (het eerste tabblad dat verschijnt) volgens uw voorkeuren en druk op "Volgende".

5. Voer in het tabblad SAML configureren de onderstaande waarden in en vervolgens druk op "Volgende".

  • In de sectie ALGEMEEN:
    • Single sign-on URL: https://<your-zabbix-url>/ui/index_sso.php?acs
      Het selectievakje Gebruik dit voor Ontvanger-URL en Bestemmings-URL moet worden gemarkeerd)
      • Doelgroep-URI (SP-entiteits-ID)*: zabbix
        Merk op dat deze waarde zal worden gebruikt binnen de SAML-bewering als een unieke serviceprovider-ID (indien niet overeenkomend, de bewerking wordt afgewezen). Het is mogelijk om een URL op te geven of een willekeurige reeks gegevens in dit veld.
    • Standaard relaisstatus:
      Laat dit veld leeg; als een aangepaste omleiding vereist is, kan dat: worden toegevoegd in Zabbix in de instellingen Beheer → Gebruikers.
    • Vul andere velden in volgens uw voorkeuren.

Als u van plan bent een versleutelde verbinding te gebruiken, genereer dan privé en openbare coderingscertificaten, upload vervolgens het openbare certificaat naar Okta. Certificaatuploadformulier verschijnt wanneer Assertion Encryption is ingesteld naar Encrypted (klik op Toon geavanceerde instellingen om deze parameter te vinden).

  • Voeg een attribuut toe in het gedeelte ATTRIBUTE STATEMENTS (OPTIONEEL) verklaring met:
    • Naam: usrE-mail
    • Naam formaat: Niet gespecificeerd
    • Waarde: gebruiker.e-mail

6. Selecteer op het volgende tabblad "Ik ben een softwareleverancier. Ik wil graag integreer mijn app met Okta" en druk op "Voltooien".

7. Navigeer nu naar het tabblad Opdrachten en druk op de knop "Toewijzen", selecteer vervolgens Toewijzen aan personen in de vervolgkeuzelijst.

8. In een pop-up die verschijnt, wijs de gemaakte app toe aan mensen die zullen gebruiken SAML 2.0 om te authenticeren met Zabbix en druk vervolgens op "Opslaan en teruggaan".

9. Navigeer naar het tabblad Aanmelden en druk op "Bekijk instellingen" Instructies" knop. Installatie-instructies worden weergegeven in een nieuw tabblad; houd dit tabblad open tijdens het configureren van Zabbix.

Zabbix-configuratie

1. Ga in Zabbix naar SAML-instellingen in het Beheer → Authenticatie sectie en kopieer informatie van Okta setup instructies in overeenkomstige velden:

  • URL voor eenmalige aanmelding van identiteitsprovider → URL voor SSO-service
  • Identiteitsprovider-uitgever → IdP-entiteits-ID
  • Gebruikersnaamkenmerk → Kenmerknaam (usrEmail)
  • SP entiteits-ID → Doelgroep-URI

2. Download het certificaat in de Okta-installatie-instructies pagina naar de ui/conf/certs-map als idp.crt, en stel permissie 644 in met rennen:

chmod 644 idp.crt

Houd er rekening mee dat als u een upgrade naar Zabbix 5.0 van een oudere versie hebt uitgevoerd, u zal deze regels ook handmatig moeten toevoegen aan het bestand zabbix.conf.php (bevindt zich in de //ui/conf/ // map):

// Gebruikt voor SAML-authenticatie.
       $SSO['SP_KEY'] = 'conf/certs/sp.key'; // Pad naar uw privésleutel.
       $SSO['SP_CERT'] = 'conf/certs/sp.crt'; // Pad naar uw openbare sleutel.
       $SSO['IDP_CERT'] = 'conf/certs/idp.crt'; // Pad naar openbare IdP-sleutel.
       $SSO['INSTELLINGEN'] = []; // Aanvullende instellingen

Zie generiek SAML Authenticatie instructies voor meer details.

3. Als Assertion Encryption is ingesteld op Encrypted in Okta, a checkbox "Assertions" van de Encrypt parameter moet gemarkeerd zijn in Zabbix ook.

4. Druk op de knop "Update" om deze instellingen op te slaan.

Om in te loggen met SAML, moet de gebruikersnaam in Zabbix overeenkomen de Okta-e-mail. Deze instellingen kunnen worden gewijzigd in de Administratie → Gebruikers-gedeelte van de Zabbix-webinterface.