11 SAML конфигурисање са Microsoft Entra ID-ијем

Преглед

Ова секција пружа смернице за конфигурисање јединственог пријављивања и обезбеђивања корисника у Zabbix-у са Microsoft Entra IDијем (раније Microsoft Azure Active Directory) користећи SAML 2.0 аутентификацију.

Microsoft Entra ID конфигурација

Креирање апликације

1. Пријавите се у Microsoft Entra центар администрације на Microsoft Entra ID. У сврху тестирања, можете креирати бесплатни пробни налог у Microsoft Entra ID-ију.

2. У Microsoft Entra администраторском центру изаберите Апликације -> Предузетничке Апликације -> Нова апликација -> Креирање сопственњ апликацијњ.

3. Додајте назив своје апликације и изаберите опцију Интегришите било коју другу апликацију.... Након тога кликните на Креирање.

Подешавање једнократне пријаве

1. На страници ваше апликације идите на Подешавање једнократне пријаве и кликните на Започните. Затим изаберите SAML.

2. Измените Основну SAML конфигурацију:

  • У Идентификатору (ID ентитета) поставите јединствено име за идентификацију ваше апликације са Microsoft Entra ID, на пример, zabbix; – У URL одговору (Assertion Consumer Service URL) поставите Zabbix крајњу тачку за једнократно пријављивање: https://<path-to-zabbix-ui>/index_sso.php?acs:

Имајте на уму да је "https" обавезан. Да би то функционисало са Zabbix-ом, потребно је у conf/zabbix.conf.php додати следећу линију:

$SSO['SETTINGS'] = ['use_proxy_headers' => true];

3. Измените Атрибуте и потраживања. Морате додати све атрибуте које желите да проследите Zabbix-у (user_name, user_lastname, user_email, user_mobile, groups).

Имена атрибута су произвољна. Могу се користити различита имена атрибута, међутим, потребно је да одговарају одговарајућој вредности поља у Zabbix SAML подешавањима.

  • Кликните на Додај нови захтев да додате атрибут:

  • Кликните на Додај захтев групе да додате атрибут за прослеђивање група у Zabbix:

У овој тврдњи је важно да се имена група (утолико пре него ID-ијеви група) прослеђују Zabbix-у помоћу изабраног атрибута Изворног атрибута. У супротном JIT корисничка провизија неће радити исправно.

4. У SAML сертификатима преузмите Base64 сертификат који обезбеђује Entra ID и ставите га у conf/certs Zabbix кориснички интерфејс инсталације.

Поставите му 644 дозволе тако што ћете покренути:

chmod 644 entra.cer

Уверите се да conf/zabbix.conf.php садржи линију:

$SSO['IDP_CERT'] = 'conf/certs/entra.cer';

5. Користите вредности из Подешавање <your app name> у Entra ID-ију да бисте конфигурисали Zabbix SAML аутентификацију (погледајте следећу секцију):

Zabbix конфигурација

1. У Zabbix-у идите на SAML подешавања и попуните опције конфигурације на основу конфигурације Entra ID-ија:

Zabbix field Setup field in Entra ID Sample valueIdP
* ID IdP ентитета* Мицрософт Ентра идентификатор
* URL SSO сервиса* URL за пријаву
* URL SLO сервиса* URL за одјаву
* ID SP ентитета* Идентификатор (ID ентитета)
Атрибут корисничког имена Прилагођени атрибут (захтев) user_email
Атрибут имена групе Прилагођени атрибут (захтев) groups
Атрибут корисничког имена Прилагођени атрибут (захтев) user_name
Атрибут презимена корисника Прилагођени атрибут (захтев) user_lastname

Такође је потребно конфигурисати мапирање корисничких група. Мапирање медија је опционо.

Кликните на Ажурирај да бисте сачували ова подешавања.

Обезбеђивање SCIM корисника

1. На вашој страници апликације Entra ID, из главног менија отворите страницу Провизија. Кликните на Започните, а затим изаберите Аутоматски режим обезбеђивања:

– У Tenant URL поставите следећу вредност: https://<path-to-zabbix-ui>/api_scim.php - У Тајном токену унесите Zabbix API токен са дозволама Супер администратора. - Кликните на Тестирај везу да видите да ли је веза успостављена.

2. Сада можете додати све атрибуте који ће бити прослеђени SCIM-у у Zabbix-у. Да бисте то урадили, кликните на Мапирања, а затим на Provision Microsoft Entra ID Users.

На дну листе мапирања атрибута омогућите Прикажи напредне опције, а затим кликните на Уреди листу атрибута за customappsso.

На дну листе атрибута додајте своје атрибуте са типом 'String':

Сачувајте листу.

3. Сада можете додати мапирања за додате атрибуте. На дну листе мапирања атрибута кликните на Додај ново мапирање и креирајте мапирања као што је приказано испод:

Када се додају сва мапирања, сачувајте листу мапирања.

4. Као предуслов за доделу корисника у Zabbix, морате имати кориснике и групе конфигурисане у Entra ID-ију.

Да бисте то урадили, идите на Microsoft Entra admin center, а затим додајте кориснике/групе на одговарајуће странице корисника и група.

5. Када су корисници и групе креирани у Entra AD, можете да одете у мени Корисници и групе ваше апликације и додате их у апликацију.

6. Идите на мени Обезбеђивања у вашој апликацији и кликните на Покрени обезбеђивања да би корисници започели провизију Zabbix.

Имајте на уму да захтев Users PATCH у Entra ID-ију не подржава промене у медијама.