Esta sección proporciona pautas para configurar el inicio de sesión único y el aprovisionamiento de usuarios en Zabbix desde Microsoft Entra ID (anteriormente Microsoft Azure Active Directory) mediante la autenticación SAML 2.0.
1. Inicie sesión en el centro de administración de Microsoft Entra en Microsoft Entra ID. Para fines de prueba, puede crear una cuenta de prueba gratuita en Microsoft Entra ID.
2. En el centro de administración de Microsoft Entra, seleccione Aplicaciones -> Aplicaciones empresariales -> Nueva aplicación -> Cree su propia aplicación.
3. Agregue el nombre de su aplicación y seleccione la opción Integrar cualquier otra aplicación.... Después de eso, haga clic en Crear.
1. En la página de su solicitud, vaya a Configurar el inicio de sesión único y haga clic en Comenzar. Luego seleccione SAML.
2. Editar Configuración básica de SAML:
zabbix
;https://<zabbix-instance-url>/zabbix/index_sso.php?acs
:Tenga en cuenta que este campo requiere "https". Para que eso funcione con Zabbix, es necesario agregar a conf/zabbix.conf.php
la siguiente línea:
$SSO['SETTINGS'] = ['use_proxy_headers' => verdadero];
3. Editar Atributos y reclamaciones. Debe agregar todos los atributos que desea pasar a Zabbix (nombre_usuario, apellido_usuario, correo electrónico_usuario, móvil_usuario, grupos).
Los nombres de los atributos son arbitrarios. Se pueden usar diferentes nombres de atributos; sin embargo, es necesario que coincidan con el valor del campo respectivo en la configuración de Zabbix SAML.
4. En Certificados SAML descargue el certificado proporcionado por Azure y colóquelo en conf/certs
de la instalación del frontend de Zabbix.
Establezca permisos 644 ejecutando:
Asegúrese de que conf/zabbix.conf.php
contenga la línea:
$SSO['IDP_CERT'] = 'conf/certs/azure.cer';
5. Utilice los valores de Configurar <nombre de su aplicación> en Azure para configurar la autenticación SAML de Zabbix (consulte la siguiente sección):
1. En Zabbix, vaya a configuración de SAML y complete las opciones de configuración según la configuración de Azure:
Campo Zabbix | Campo de configuración en Azure | Valor de muestra |
---|---|---|
ID de entidad IdP | Identificador de Azure AD | |
URL del servicio SSO | URL de inicio de sesión | |
URL del servicio SLO | URL de cierre de sesión | |
Atributo de nombre de usuario | Atributo personalizado (reclamo) | user_email |
Atributo de nombre de grupo | Atributo personalizado (reclamo) | grupos |
Atributo de nombre de usuario | Atributo personalizado (reclamo) | user_name |
Atributo de apellido de usuario | Atributo personalizado (reclamo) | user_lastname |
También es necesario configurar la asignación de grupos de usuarios. El mapeo de medios es opcional.
Haga clic en Actualizar para guardar esta configuración.
1. En la página de su aplicación Azure AD, desde el menú principal abra la página Aprovisionamiento. Haga clic en Comenzar y luego seleccione Modo de aprovisionamiento automático:
https://<zabbix-instance-url>/zabbix/api_scim.php
Guarde la configuración.
2. Ahora puede agregar todos los atributos que se pasarán con SCIM a Zabbix. Para hacerlo, haga clic en Asignaciones y luego en Aprovisionar usuarios de Azure Active Directory.
En la parte inferior de la lista Asignación de atributos, habilite Mostrar opciones avanzadas y luego haga clic en Editar lista de atributos para aplicaciones personalizadas.
En la parte inferior de la lista de atributos, agregue sus propios atributos con el tipo 'Cadena':
Guarde la lista.
3. Ahora puede agregar asignaciones para los atributos agregados. En la parte inferior de la lista Asignación de atributos, haga clic en Agregar nueva asignación y cree asignaciones como se muestra a continuación:
Cuando se agreguen todas las asignaciones, guarde la lista de asignaciones.
4. Como requisito previo para el aprovisionamiento de usuarios en Zabbix, debe tener usuarios y grupos configurados en Azure.
Para hacerlo, seleccione Azure Active Directory en el menú principal de Azure (ver parte superior izquierda de la pantalla) y luego agregue usuarios/grupos en las páginas respectivas de Usuarios y Grupos.
5. Cuando se hayan creado usuarios y grupos en Azure AD, puede ir al menú Usuarios y grupos de su aplicación y agregarlos a la aplicación.
6. Vaya al menú Aprovisionamiento de su aplicación y haga clic en Iniciar aprovisionamiento para aprovisionar a los usuarios en Zabbix.
Tenga en cuenta que la solicitud PATCH de usuarios en Azure no admite cambios en los medios.