Configurar usuários do Ops Manager para AutenticaçãoSAML
Nesta página
Você pode usar um provedor de identidade (IdP) que executa o serviço Security Assertion Marque a Language (SAML) para managed a autenticação e a autorização do usuário do Ops Manager. Quando você tenta navegar até o Ops Manager sem uma sessão autenticada, o Ops Manager envia você para o IdP , onde você faz login. Depois de autenticar, você retorna ao aplicativo do Ops Manager.
Este tutorial descreve como:
Configurar autenticação SAML para o Ops Manager
Mapear grupos SAML para MongoDB Ops Manager Roles da organização do e Roles do projeto.
Considerações
Os usuários permanecem autenticados após a ativação do SAML
Depois de alterar sua instância do Ops Manager para usar a autenticação SAML , todos os usuários permanecem conectados à sessão atual. Após a alteração de autenticação, os usuários que tentam fazer login no Ops Manager são redirecionados para o IdP do SAML.
Configuração de dois estágios
Alguma lógica circular se aplica ao configurar uma instância SAML . Para criar uma integração de trabalho:
O IdP precisa de valores do Provedor de Serviços e
O provedor de serviços precisa de valores do IdP.
Para iniciar essa integração, siga os Pré-requisitos e, em seguida, o Procedimento deste tutorial.
Pré-requisitos
Para configurar a integração do SAML , você deve executar a seguinte ação para seu IdP do SAML:
Instale seu SAML IdP.
Verifique se a instância do Ops Manager pode acessar seu IdP pela rede.
No SAML IdP, você deve:
Crie um usuário SAML que mapeie para o seu Proprietário Global do Ops Manager.
Crie um grupo SAML que você possa mapear para o seu Ops Manager Global Owner.
Atribua o grupo SAML do Global Owner ao seu usuário SAML .
Crie um novo aplicativo para o Ops Manager representando o Ops Manager.
Configurar os valores iniciais do SAML do Ops Manager para este novo aplicativo:
Definir valores de espaço reservado para os seguintes campos:
SP Entity ID or Issuer
Audience URI
Assertion Consumer Service (ACS) URL
Definir valores reais para os seguintes campos em seu IdP:
CampoValor comumSignature AlgorithmSeu IdP pode ter um ou mais dos seguintes valores:
rsa-sha1
dsa-sha1
rsa-sha256
rsa-sha384
rsa-sha512
Name IDEmail Address
Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Criar atributos com Nomes de Atributo para os seguintes Valores de Atributo:
Endereço de e-mail
Nome
Sobrenome
Grupos de usuários
Configure seu IdP para exigir respostas e afirmações SAML assinadas.
Salve esses valores.
Procedimento
Para configurar a autenticação SAML :
Defina os valores de configuração do SAML IdP necessários no Ops Manager.
Digite os valores do IdP para os seguintes campos SAML :
Campo | necessidade | em ação | Default |
---|---|---|---|
URI do fornecedor de identidade | Obrigatório | Digite o URI para o seu IdP que você usa para coordenar seu login único. Esse URI é o IdP Entity ID or Issuer do SAML IdP. Esse URI deve ser igual ao | none |
URL do ponto de conexão SSO | Obrigatório | Digite a URL de login único para seu IdP. Essa URL é a SAML Login URL do seu IdP. | none |
URL do ponto de conexão SLO | Opcional | Digite a URL do SAML IdP a ser chamada se quiser que o usuário do Ops Manager desconecte-se do IdP quando o usuário do Ops Manager sair do Ops Manager. Este é o SAML Logout URL do seu IdP. | none |
Certificado x509 do fornecedor de identidade | Obrigatório | Cole o Certificado X.509 do seu IdP neste campo. O IdP fornece o certificado no formato PEM . Certifique-se de incluir todo o conteúdo do certificado, incluindo e começando com Este é o X.509 Certificate do seu IdP. Este deve ser o mesmo X.509 Certificate que você usa para assinar respostas e afirmações SAML. | none |
Algoritmo de assinatura do fornecedor de identidade | Obrigatório | Selecione o algoritmo usado para criptografar a assinatura enviada de e para o IdP. Os valores aceitos são:
Este é o Signature Algorithm do seu IdP. | none |
Exigir afirmações criptografadas | Opcional | Selecione se seu IdP criptografa ou não as afirmações enviadas ao Ops Manager. | false |
Grupo de proprietários de role global | Obrigatório | Digite o nome do grupo no Atributo de Membro do Grupo SAML que tem privilégios totais sobre esta implantação, incluindo acesso total a todos os grupos e todas as permissões administrativas. Este grupo tem o role Você adicionou esse grupo às suas configurações de IdP como parte dos seus pré-requisitos. Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo. | none |
Atributo SAML para nome do usuário | Obrigatório | Digite o nome do atributo SAML que contém o nome do usuário | none |
Atributo SAML para sobrenome de usuário | Obrigatório | Digite o nome do atributo SAML que contém o sobrenome do usuário | none |
Atributo SAML para e-mail do usuário | Obrigatório | Digite o nome do atributo SAML que contém o endereço de e-mail do usuário. | none |
Atributo de membro do grupo SAML | Obrigatório | Digite o nome do atributo SAML que contém a lista de grupos que o Ops Manager usa para mapear roles para projeto e organização. | groups |
Adicione quaisquer configurações opcionais de IdP SAML necessárias ao Ops Manager.
Digite os valores do IdP para os seguintes campos SAML :
Campo | necessidade | em ação | Default |
---|---|---|---|
Caminho para o arquivo de chave PEM do certificadoSP | Opcional | Digite o caminho do arquivo absoluto para o certificado formatado em PEMque o provedor de serviços usa para assinar solicitações. Este certificado inclui a chave privada e a chave pública. Se este campo for deixado em branco:
| none |
Senha para o arquivo de chave PEM do certificadoSP | Condicional | Se você criptografou a chave privada em seu arquivoSP PEM , digite sua senha neste campo. | none |
Função de administrador de automação global | Opcional | Digite o nome do grupo cujos membros têm a função Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo. | none |
Função de administrador de backup global | Opcional | Digite o nome do grupo cujos membros têm a função Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo. | none |
Função de administrador de monitoramento global | Opcional | Digite o nome do grupo cujos membros têm a função Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo. | none |
Função de administrador do usuário global | Opcional | Digite o nome do grupo cujos membros têm a função Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo. | none |
Role global somente de leitura | Opcional | Digite o nome do grupo cujos membros têm a função Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo. | none |
Associar grupos SAML a roles de projeto.
Para associar grupos SAML com roles em um novo projeto:
Observação
Você deve ter qualquer role global para criar um novo projeto.
Clique em Admin > General > Projects.
Clique em Create a New Project.
Em Project Name, digite um nome para o novo projeto do gerente de operações.
Insira os grupos SAML que correspondem a cada role do projeto.
Importante
Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (
;;
). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.Clique em Add Project.
Para atualizar a associação de grupos SAML com roles em um projeto existente:
Clique em Admin > General > Projects.
Na coluna Actions de um projeto, clique em e depois em Edit SAML Settings.
Insira os grupos SAML que correspondem a cada role do projeto.
Importante
Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (
;;
). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.Clique em Save Changes.
Opcional: associar grupos LDAP a roles da organização.
Para associar grupos SAML com roles para uma nova organização:
Observação
Você deve ter qualquer papel global para criar uma nova organização.
Clique em Admin > General > Organizations.
Clique em Create a New Organization.
Em Organization Name, digite um nome para a nova organização do Ops Manager.
Insira os grupos SAML que correspondem a cada role da organização.
Importante
Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (
;;
). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.Clique em Add Organization.
Para atualizar a associação de grupos SAML com roles para uma organização existente:
Clique em Admin > General > Organizations.
Clique no botão Edit Org.
Insira os grupos SAML que correspondem a cada role da organização.
Importante
Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (
;;
). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.Clique em Save Changes.
Adicione suas MongoDB deployments.
Especifique as configurações de autenticação SAML ao adicionar uma implantação MongoDB.
Exporte seus metadados do Ops Manager.
Após salvar a configuração SAML , um link para Download the Metadata XML File será exibido.
Clique neste link para baixar o arquivo HTML de metadados do SAMLSP .
Este arquivo de metadados deve ser semelhante a este exemplo:
1 <?xml version="1.0"?> 2 <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a"> 3 <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> 4 <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/> 5 <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> 6 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/> 7 </md:SPSSODescriptor> 8 </md:EntityDescriptor>
Importe os metadados SAML SP para o seu IdP.
Se o seu IdP oferecer a opção, importe seus metadados para o IdP. Ops Manager serve como o provedor de serviços (SP) para seu IdP.
Forneça os seguintes valores no arquivo HTML de metadados para IdP:
Campo | Valor comum |
---|---|
SP Entity ID or Issuer | <OpsManagerHost>:<Port> |
Audience URI | <OpsManagerHost>:<Port> |
Assertion Consumer Service (ACS) URL | <OpsManagerHost>:<Port>/saml/assert |
Single Logout URL | <OpsManagerHost>:<Port>/saml/logout |
Se um ou mais desses valores estiverem ausentes, use as diretrizes listadas na tabela anterior para definir esses valores.
Salve esses valores em seu IdP.