12 Configuració de SAML amb Okta

Aquesta secció descriu com configurar Okta per activar l'autenticació SAML 2.0 i aprovisionament d'usuaris per Zabbix.

Configuració d'Okta

1. Aneu a https://okta.com i enregistreu-vos o connecteu-vos al vostre compte.

2. A la interfície Web d'Okta, accediu a Aplicacions → Aplicacions.

3. Premeu el botó "Crear una nova aplicació".

().

Trieu SAML 2.0 com a mètode de connexió i premeu el botó Següent.

4. Ompliu els camps de la pestanya Paràmetres generals i premeu Next.

5. A la pestanya Configurar SAML, entreu els valors que hi ha aquí sota, i després premeu Next.

  • A la secció Generl :
    • URL d'autenticació única: http://<vostra-url-zabbix>/zabbix/index/_sso.php?acs
      Veieu que emprem "http" i no pas "https", doncs el paràmetre acs no es retalla a la petició. La casella Empreu aquesta URL com a Origen i Destí.
    • Audiència URI (SP Entity ID): zabbix
      Veieu que aquest valor s'emprarà a l'asserció SAML com a únic identificador de proveïdor del servei (si no es correspon pas, la operació serà rebutjada). És possible especificar una URL o tota una cadena de dades en aquest camp.
    • Default RelayState:
      Deixeu aquest camp buit; si es demana una redirecció personal, es pot afegir a Zabbix als paràmetres Usuaris → Usuaris.
    • Ompliu els altres camps segons les vostres preferències.
  • A Declaracions d'atributs/Declaracions d'atributs de grup, afegiu-hi:

Aquestes declaracions d'atributs s'insereixen a les afirmacions SAML compartides amb Zabbix.

Si voleu configurar l'inici de sessió SAML a Zabbix sense subministrament d'usuaris JIT, només cal l'atribut de correu electrònic.

Si voleu emprar una connexió xifrada, genereu els certificats de xifrat privats i públics, i pugeu el públic a Okta. El formulari de càrrega de certificat apareix quan Xifrat d'asserció s'estableix a Xifrat (cliqueu a Veure paràmetres avançats per trobar aquest paràmetres).

6. A la pestanya següent, trieu "sóc un editor de programari. Vull integrar la meva aplicació amb Okta" i premeu "Acabar".

7. Ara, accediu a la pestanya Assignacions i premeu el botó "Assignar", després trieu "Assignar a persones" al menú desplegable.

8. A una finestra contextual que apareixerà, assigneu l'aplicació creada a les persones que emprearan SAML 2.0 per autenticar amb Zabbix, i després premeu "Registrar i anar enrere".

9. Accediu a la pestanya "Connexió" i premeu el botó "Afegir les instruccions de configuració". Les instruccions de configuració s'afegiran a una nova pestanya: deseu aquesta pestanya oberta mentre configureu Zabbix.

Les instruccions de configuració s'obriran en una pestanya nova; mantingueu aquesta pestanya oberta mentre configureu Zabbix.

Configuració de Zabbix

1. A Zabbix, aneu a Configuració SAML i ompliu les opcions de configuració basades en la configuració d'Okta:

Camp Zabbix Camp de configuració a Okta Valor de mostra
ID de l'entitat d'IdP Emissor del proveïdor d'identitat
URL del servei SSO URL d'inici de sessió únic del proveïdor d'identitat
Atribut del nom d'usuari Nom de l'atribut usrEmail
ID d'entitat SP URI del públic zabbix
Atribut del nom del grup Nom de l'atribut grups
Atribut del nom d'usuari Nom de l'atribut nom_usuari
Atribut del cognom de l'usuari Nom de l'atribut cognom_usuari

També és necessari per configurar el grup d'usuaris i l'assignació de mitjans.

2. Baixeu el certificat proporcionat a les instruccions de configuració d'Okta SAML a la carpeta ui/conf/certs com a idp.crt.

Establiu-hi permisos 664 executant:

 chmod 644 idp.crt

3. Si Assertion Encryption s'ha establert com a "Encriptat" a Okta, la casella de selecció "Assercions" del paràmetre Encriptar hauria d'ésser marcada a Zabbix, també.

4. Premeu el botó "Actualitzar" per desar aquesta configuració.

Aprovisionament SCIM

1. Per activar l'aprovisionament SCIM, aneu a "General" -> "Configuració de l'aplicació" de l'aplicació a Okta.

Marqueu la casella de selecció Activar l'aprovisionament SCIM. Com a resultat, apareix una nova pestanya Aprovisionament.

2. Aneu a la pestanya "Aprovisionament" per configurar una connexió SCIM:

  • A URL base del connector SCIM especifiqueu el camí a la interfície Zabbix i afegiu-hi api_scim.php, és a dir:
    https://<your-zabbix-url>/zabbix/api_scim.php
  • Camp identificador únic per als usuaris: email
  • Mode d'autenticació: Capçalera HTTP
  • A Autorització introduïu un testimoni d'API vàlid amb drets de superadministrador

Si empreu Apache, potser haureu de canviar la configuració predeterminada d'Apache a /etc/apache2/apache2.conf afegint la línia següent:

 SetEnvIf Autorització "(.*)" HTTP_AUTHORIZATION=$1

En cas contrari, Apache no envia la capçalera d'autorització a la petició.

3. Feu clic a Provar la configuració del connector per provar la connexió. Si tot és correcte, es veurà un missatge exitós.

4. A "Aprovisionament" -> "A l'aplicació", assegureu-vos de marcar les caselles de selecció següents:

  • Crear usuaris
  • Actualitzar els atributs d'usuari
  • Desactivar usuaris

Això assegurarà que aquests tipus de petició s'enviaran a Zabbix.

5. Assegureu-vos que tots els atributs definits a SAML siguin definits a SCIM. Podeu accedir a l'editor de perfils de la vostra aplicació a "Aprovisionament" -> "A l'aplicació", fent clic a Anar a l'Editor de perfils.

Feu clic a Afegir un atribut. Ompliu els valors de Nom visible, Nom de la variable, Nom extern amb el nom d'atribut SAML, per exemple, nom_usuari.

L'espai de noms extern hauria de ser el mateix que l'esquema d'usuari: urn:ietf:params:scim:schemas:core:2.0:User

6. Aneu a "Aprovisionament" -> "A l'aplicació" -> "Assignacions d'atributs" de la vostra aplicació. Feu clic a Veure els atributs no assignats a la part inferior. Apareixen els nous atributs afegits.

7. Assignar cada atribut afegit.

8. Afegir usuaris a la pestanya "Tasques". Els usuaris prèviament s'han d'afegir a Directori -> Persones. Totes aquestes tasques s'enviaran com a peticions a Zabbix.

9. Afegiu grups a la pestanya "Push Groups". El patró de mapatge del grup d'usuaris a la configuració de Zabbix SAML ha de coincidir amb un grup especificat aquí. Si no hi ha cap coincidència, l'usuari no es pot crear a Zabbix.

La informació sobre els membres del grup s'envia cada vegada que es fa algun canvi.