Aquesta secció ofereix directrius per configurar l'inici de sessió únic i el subministrament d'usuaris a Zabbix des de Microsoft Active Directory mitjançant l'autenticació SAML 2.0.
1. Inicieu sessió al vostre compte de Microsoft Azure. Amb finalitats de prova, podeu crear un compte de prova de franc a Microsoft Azure.
2. Al menú principal (veieu la part superior esquerra de la pantalla) trieu Azure Active Directory.
3. Trieu Aplicacions empresarials -> Afegir una aplicació nova -> Creeu la vostra pròpia aplicació.
4. Afegiu el nom de la vostra aplicació i trieu l'opció Integra qualsevol altra aplicació.... Després d'això, feu clic a Crear.
1. A la pàgina de la vostra aplicació, aneu a Configurar l'inici de sessió únic i feu clic a Comença. A continuació, seleccioneu SAML.
2. Editeu Configuració bàsica de SAML:
zabbix
;https://<zabbix-instance-url>/zabbix/index_sso.php?acs
:Tingueu en compte que aquest camp requereix "https". Perquè això funcioni amb Zabbix, cal afegir a conf/zabbix.conf.php
la línia següent:
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
3. Editeu Atributs i reclamacions. Heu d'afegir tots els atributs que vulgueu passar a Zabbix (nom_usuari, cognom_usuari, correu electrònic_usuari, mòbil_usuari, grups).
Els noms dels atributs són arbitraris. Es poden emprar diferents noms d'atributs, però cal que coincideixin amb el valor del camp respectiu a la configuració de Zabbix SAML.
4. A SAML Certificates, descarregueu el certificat proporcionat per Azure i col·loqueu-lo a conf/certs
de la instal·lació de la interfície Zabbix.
Establiu-hi permisos 664 executant:
Assegureu-vos que conf/zabbix.conf.php
contingui la línia:
$SSO['IDP_CERT'] = 'conf/certs/azure.cer';
5. Empreu els valors de Configurar <nom de l'aplicació> a Azure per configurar l'autenticació SAML de Zabbix (vegeu la secció següent):
1. A Zabbix, aneu a Configuració SAML i ompliu les opcions de configuració basades en la configuració d'Azure:
Camp Zabbix | Camp de configuració a Azure | Valor de mostra |
---|---|---|
Identificador d'entitat d'IdP | Identificador d'Azure AD | |
URL del servei SSO | URL d'inici de sessió | |
URL del servei SLO | URL de tancament | |
Atribut nom d'usuari | Atribut personalitzat (reclamació) | email_usuari |
Atribut del nom del grup | Atribut personalitzat (reclamació) | grups |
Atribut del nom d'usuari | Atribut personalitzat (reclamació) | nom_usuari |
Atribut del cognom de l'usuari | Atribut personalitzat (reclamació) | cognom_usuari |
També és necessari per configurar l'assignació de grups d'usuaris. El mapatge de mitjans és opcional.
Feu clic a Actualitzar per desar aquesta configuració.
1. A la pàgina de l'aplicació Azure AD, des del menú principal obriu la pàgina Aprovisionament. Feu clic a Començar i, a continuació, trieu Mode d'aprovisionament automàtic:
https://<zabbix-instance-url>/zabbix/api_scim.php
Deseu la configuració.
2. Ara podeu afegir tots els atributs que es passaran amb SCIM a Zabbix. Per fer-ho, feu clic a Mapatges i després a Aprovisionar usuaris d'Azure Active Directory.
A la part inferior de la llista de mapatge d'atributs, activeu Veure les opcions avançades i feu clic a Editar la llista d'atributs per a customappsso.
A la part inferior de la llista d'atributs, afegiu els vostres propis atributs de tipus "Cadena":
Deseu la llista.
3. Ara podeu afegir mapes per als atributs afegits. A la part inferior de la llista de mapes d'atributs, feu clic a Afegirun mapa nou i creeu mapes tal com es mostra a continuació:
Quan s'afegeixin tots els mapes, deseu la llista de mapes.
4. Com a requisit previ per a l'aprovisionament d'usuaris a Zabbix, heu de tindre usuaris i grups configurats a Azure.
Per fer-ho, trieu Azure Active Directory al menú principal d'Azure (veieu la part superior esquerra de la pantalla) i, a continuació, afegiu usuaris/grups a les pàgines d'usuaris i grups respectius.
5. Quan s'hagin creat usuaris i grups a Azure AD, podeu anar al menú Usuaris i grups de la vostra aplicació i afegir-los a l'aplicació.
6. Aneu al menú Aprovisionament de la vostra aplicació i feu clic a Començar l'aprovisionament perquè els usuaris s'aprovisionin a Zabbix.
Tingueu en compte que la petició de PATCH d'usuaris a Azure no admet els canvis als suports.