SAML 인증 에 대한 Ops Manager 사용자 구성
SAML(Security AssertionMarkup Language) 서비스를 실행하는 ID 제공자(IdP)를 사용하여 Ops Manager 사용자 인증 및 권한 부여를 관리할 수 있습니다. 인증된 세션 없이 Ops Manager로 이동하려고 하면 Ops Manager는 로그인할 수 있는 IdP 로 사용자를 보냅니다. 인증이 완료되면 Ops Manager 애플리케이션으로 돌아갑니다.
이 튜토리얼에서는 다음 방법을 설명합니다.
Ops Manager에 대한 SAML 인증 구성
SAML 그룹을 MongoDB Ops Manager 조직 역할 및 프로젝트 역할에 매핑합니다.
고려 사항
SAML 활성화 후에도 사용자가인증된 상태로 유지
SAML 인증을 사용하도록 Ops Manager 인스턴스를 변경하면 모든 사용자는 현재 세션에 로그인된 상태로 유지됩니다. 인증 변경 후 Ops Manager에 로그인하려는 사용자는 SAML IdP 로 리디렉션됩니다.
2단계 구성
SAML 인스턴스를 설정할 때 일부 순환 로직이 적용됩니다. 작동하는 통합을 만들려면 다음을 수행하세요.
IdP 에는 서비스 제공자의 값이 필요하며
서비스 제공자는 IdP 의 값이 필요합니다.
이 통합을 시작하려면 이 튜토리얼의 필수 구성 요소와 절차를 따르세요.
전제 조건
SAML 통합을 구성하려면 SAML IdP 에 대해 다음 조치를 수행해야 합니다.
SAML IdP 를 설치합니다.
Ops Manager 인스턴스가 네트워크를 통해 IdP 에 액세스할 수 있는지 확인합니다.
SAML IdP 에서 다음을 수행해야 합니다.
Ops Manager 전역 소유자에 매핑되는 SAML 사용자를 생성합니다.
Ops Manager Global Owner 에 매핑할 수 있는 SAML 그룹을 생성합니다.
Global Owner SAML 사용자에게 SAML 그룹을 할당합니다.
Ops Manager를 나타내는 Ops Manager용 새 애플리케이션을 만듭니다.
이 새 애플리케이션에 대한 초기 Ops Manager SAML 값을 구성합니다.
다음 필드에 자리 표시자 값을 설정합니다:
SP Entity ID or Issuer
Audience URI
Assertion Consumer Service (ACS) URL
IdP 에서 다음 필드에 실제 값을 설정합니다.
필드공통 값Signature AlgorithmIdP 에는 다음 값 중 하나 이상이 있을 수 있습니다.
rsa-sha1
dsa-sha1
rsa-sha256
rsa-sha384
rsa-sha512
Name IDEmail Address
Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
다음 속성 값에 대해 속성 이름을 사용하여 속성을 생성합니다.
이메일 주소
이름
성
사용자 그룹
서명된 SAML 응답 및 어설션을 요구하도록 IdP 를 구성합니다.
이 값을 저장합니다.
절차
SAML 인증을 구성하려면 다음을 수행합니다.
Ops Manager 에서 필요한 SAML IdP 설정 값을 설정합니다.
다음 SAML 필드에 대해 IdP 의 값을 입력합니다.
필드 | 필요성 | 작업 | 기본값 |
---|---|---|---|
ID 제공자 URI | 필수 사항 | 싱글 사인온을 조정할 때 사용할 IdP 의 URI 를 입력합니다. 이 URI 는 SAML IdP 의 IdP Entity ID or Issuer 입니다. 이 URI 는 SAML 응답의 | none |
SSO 엔드포인트 URL | 필수 사항 | IdP 의 싱글 사인온 URL 을 입력합니다. 이 URL 은 IdP 의 SAML Login URL 입니다. | none |
SLO 엔드포인트 URL | 옵션 | Ops Manager 사용자가 Ops Manager에서 로그아웃할 때 Ops Manager 사용자가 IdP 에서 로그아웃하도록 하려면 호출할 SAML IdP URL 을 입력합니다. 이 값은 IdP 의 SAML Logout URL 입니다. | none |
ID 제공자 X509 인증서 | 필수 사항 | 이 필드에 IdP 의 X.509 인증서를 붙여넣습니다. IdP 는 PEM 형식으로 인증서를 제공합니다. 이 값은 IdP 의 X.509 Certificate 입니다. 이는 SAML 응답 및 어설션에 서명하는 데 사용하는 것과 동일한 X.509 Certificate 이어야 합니다. | none |
ID 제공자 서명 알고리즘 | 필수 사항 | IdP 와 주고받는 서명을 암호화하는 데 사용되는 알고리즘을 선택합니다. 허용되는 값은 다음과 같습니다.
이 값은 IdP 의 Signature Algorithm 입니다. | none |
암호화된 어설션 필요 | 옵션 | IdP 가 Ops Manager로 전송되는 어설션을 암호화할지 여부를 선택합니다. | false |
전역 역할 소유자 그룹 | 필수 사항 | 모든 그룹에 대한 전체 액세스 권한 및 모든 관리 권한을 포함하여 이 배포서버에 대한 전체 권한을 가진 그룹의 이름을 SAML 그룹 멤버 속성에 입력합니다. 이 그룹은 이 Ops Manager 인스턴스에 대해 필수 구성 요소의 일부로 이 그룹을 IdP 설정에 추가했습니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다. | none |
사용자 이름에 대한 SAML 속성 | 필수 사항 | 사용자 이름이 포함된 SAML 속성의 이름을 입력합니다. | none |
사용자 성에 대한 SAML 속성 | 필수 사항 | 사용자의 성이 포함된 SAML 속성의 이름을 입력합니다. | none |
사용자 이메일의 SAML 속성 | 필수 사항 | 사용자의 이메일 주소가 포함된 SAML 속성의 이름을 입력합니다. | none |
SAML 그룹 멤버 속성 | 필수 사항 | Ops Manager가 프로젝트 및 조직에 역할을 매핑하는 데 사용하는 그룹 목록이 포함된 SAML 속성의 이름을 입력합니다. | groups |
필요한 선택적 SAML IdP 설정을 Ops Manager 에 추가합니다.
다음 SAML 필드에 대해 IdP 의 값을 입력합니다.
필드 | 필요성 | 작업 | 기본값 |
---|---|---|---|
SP 인증서 PEM 키 파일의 경로 | 옵션 | 서비스 제공자가 요청에 서명하는 데 사용하는 PEM형식의 인증서의 절대 파일 경로를 입력합니다. 이 인증서에는 개인 키와 공개 키가 포함됩니다. 이 필드를 비워 둘 경우:
| none |
SP 인증서 PEM 키 파일의 비밀번호 | 조건부 | SP PEM 파일의 개인 키를 암호화한 경우 이 필드에 비밀번호를 입력합니다. | none |
전역 자동화 관리자 역할 | 옵션 | 구성원에게 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다. | none |
전역 백업 관리자 역할 | 옵션 | 구성원에게 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다. | none |
전역 모니터링 관리자 역할 | 옵션 | 구성원에게 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다. | none |
전역 사용자 관리자 역할 | 옵션 | 구성원에게 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다. | none |
전역 읽기 전용 역할 | 옵션 | 구성원에게 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다. | none |
SAML 그룹을 프로젝트 역할과 연결합니다.
SAML 그룹을 새 프로젝트의 역할과 연결하려면 다음을 수행합니다.
참고
새 프로젝트를 생성하려면 전역 역할을 가지고 있어야 합니다.
Admin > General > Projects를 클릭합니다.
Create a New Project를 클릭합니다.
Project Name에 새 Ops Manager 프로젝트의 이름을 입력합니다.
각 프로젝트 역할에 해당하는 SAML 그룹을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(
;;
)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.Add Project를 클릭합니다.
기존 프로젝트의 역할과 SAML 그룹의 연결을 업데이트하려면 다음 안내를 따르세요.
Admin > General > Projects를 클릭합니다.
프로젝트의 Actions 열에서 을 클릭한 다음 Edit SAML Settings을 클릭합니다.
각 프로젝트 역할에 해당하는 SAML 그룹을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(
;;
)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.Save Changes를 클릭합니다.
선택 사항: LDAP 그룹을 조직 역할과 연결합니다.
SAML 그룹을 새 조직의 역할과 연결하려면 다음을 수행합니다.
참고
새 조직을 생성하려면 전역 역할을 가지고 있어야 합니다.
Admin > General > Organizations를 클릭합니다.
Create a New Organization를 클릭합니다.
Organization Name에 새 Ops Manager 조직의 이름을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(
;;
)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.Add Organization를 클릭합니다.
기존 조직의 역할과 SAML 그룹의 연결을 업데이트하려면 다음을 수행합니다.
Admin > General > Organizations를 클릭합니다.
Edit Org 버튼을 클릭합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(
;;
)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.Save Changes를 클릭합니다.
Ops Manager 메타데이터를 내보냅니다.
SAML 구성을 저장하면 Download the Metadata XML File 링크가 나타납니다.
이 링크를 클릭하여 SAMLSP 메타데이터 XML 파일을 다운로드합니다.
이 메타데이터 파일은 다음 예시와 유사해야 합니다.
1 <?xml version="1.0"?> 2 <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a"> 3 <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> 4 <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/> 5 <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> 6 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/> 7 </md:SPSSODescriptor> 8 </md:EntityDescriptor>
SAML SP 메타데이터를 IdP 로 가져옵니다.
IdP 가 옵션을 제공하는 경우 메타데이터를 IdP 로 가져옵니다. Ops Manager는 IdP 에 대한 서비스 제공자(SP) 역할을 합니다.
메타데이터 XML 파일의 다음 값을 IdP 에 제공합니다.
필드 | 공통 값 |
---|---|
SP Entity ID or Issuer | <OpsManagerHost>:<Port> |
Audience URI | <OpsManagerHost>:<Port> |
Assertion Consumer Service (ACS) URL | <OpsManagerHost>:<Port>/saml/assert |
Single Logout URL | <OpsManagerHost>:<Port>/saml/logout |
이러한 값 중 하나 이상이 누락된 경우 이전 표에 나열된 지침을 사용하여 해당 값을 설정합니다.
이 값을 IdP 에 저장합니다.