Ова секција пружа смернице за конфигурисање јединственог пријављивања и обезбеђивања корисника у Zabbix-у са Microsoft Entra IDијем (раније Microsoft Azure Active Directory) користећи SAML 2.0 аутентификацију.
1. Пријавите се у Microsoft Entra центар администрације на Microsoft Entra ID. У сврху тестирања, можете креирати бесплатни пробни налог у Microsoft Entra ID-ију.
2. У Microsoft Entra администраторском центру изаберите Апликације -> Предузетничке Апликације -> Нова апликација -> Креирање сопственњ апликацијњ.
3. Додајте назив своје апликације и изаберите опцију Интегришите било коју другу апликацију.... Након тога кликните на Креирање.
1. На страници ваше апликације идите на Подешавање једнократне пријаве и кликните на Започните. Затим изаберите SAML.
2. Измените Основну SAML конфигурацију:
zabbix
; – У URL одговору (Assertion Consumer Service URL) поставите Zabbix крајњу тачку за једнократно пријављивање: https://<path-to-zabbix-ui>/index_sso.php?acs
:Имајте на уму да је "https" обавезан. Да би то функционисало са Zabbix-ом, потребно је у conf/zabbix.conf.php
додати следећу линију:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
3. Измените Атрибуте и потраживања. Морате додати све атрибуте које желите да проследите Zabbix-у (user_name, user_lastname, user_email, user_mobile, groups).
Имена атрибута су произвољна. Могу се користити различита имена атрибута, међутим, потребно је да одговарају одговарајућој вредности поља у Zabbix SAML подешавањима.
У овој тврдњи је важно да се имена група (утолико пре него ID-ијеви група) прослеђују Zabbix-у помоћу изабраног атрибута Изворног атрибута. У супротном JIT корисничка провизија неће радити исправно.
4. У SAML сертификатима преузмите Base64 сертификат који обезбеђује Entra ID и ставите га у conf/certs
Zabbix кориснички интерфејс инсталације.
Поставите му 644 дозволе тако што ћете покренути:
Уверите се да conf/zabbix.conf.php
садржи линију:
$SSO['IDP_CERT'] = 'conf/certs/entra.cer';
5. Користите вредности из Подешавање <your app name> у Entra ID-ију да бисте конфигурисали Zabbix SAML аутентификацију (погледајте следећу секцију):
1. У Zabbix-у идите на SAML подешавања и попуните опције конфигурације на основу конфигурације Entra ID-ија:
Zabbix field | Setup field in Entra ID | Sample valueIdP |
---|---|---|
* ID IdP ентитета* | Мицрософт Ентра идентификатор | |
* URL SSO сервиса* | URL за пријаву | |
* URL SLO сервиса* | URL за одјаву | |
* ID SP ентитета* | Идентификатор (ID ентитета) | |
Атрибут корисничког имена | Прилагођени атрибут (захтев) | user_email |
Атрибут имена групе | Прилагођени атрибут (захтев) | groups |
Атрибут корисничког имена | Прилагођени атрибут (захтев) | user_name |
Атрибут презимена корисника | Прилагођени атрибут (захтев) | user_lastname |
Такође је потребно конфигурисати мапирање корисничких група. Мапирање медија је опционо.
Кликните на Ажурирај да бисте сачували ова подешавања.
1. На вашој страници апликације Entra ID, из главног менија отворите страницу Провизија. Кликните на Започните, а затим изаберите Аутоматски режим обезбеђивања:
– У Tenant URL поставите следећу вредност: https://<path-to-zabbix-ui>/api_scim.php
- У Тајном токену унесите Zabbix API токен са дозволама Супер администратора. - Кликните на Тестирај везу да видите да ли је веза успостављена.
2. Сада можете додати све атрибуте који ће бити прослеђени SCIM-у у Zabbix-у. Да бисте то урадили, кликните на Мапирања, а затим на Provision Microsoft Entra ID Users.
На дну листе мапирања атрибута омогућите Прикажи напредне опције, а затим кликните на Уреди листу атрибута за customappsso.
На дну листе атрибута додајте своје атрибуте са типом 'String':
Сачувајте листу.
3. Сада можете додати мапирања за додате атрибуте. На дну листе мапирања атрибута кликните на Додај ново мапирање и креирајте мапирања као што је приказано испод:
Када се додају сва мапирања, сачувајте листу мапирања.
4. Као предуслов за доделу корисника у Zabbix, морате имати кориснике и групе конфигурисане у Entra ID-ију.
Да бисте то урадили, идите на Microsoft Entra admin center, а затим додајте кориснике/групе на одговарајуће странице корисника и група.
5. Када су корисници и групе креирани у Entra AD, можете да одете у мени Корисници и групе ваше апликације и додате их у апликацију.
6. Идите на мени Обезбеђивања у вашој апликацији и кликните на Покрени обезбеђивања да би корисници започели провизију Zabbix.
Имајте на уму да захтев Users PATCH у Entra ID-ију не подржава промене у медијама.