Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança

Configurar usuários do Ops Manager para AutenticaçãoSAML

Nesta página

  • Considerações
  • Pré-requisitos
  • Procedimento

Você pode usar um provedor de identidade (IdP) que executa o serviço Security Assertion Marque a Language (SAML) para managed a autenticação e a autorização do usuário do Ops Manager. Quando você tenta navegar até o Ops Manager sem uma sessão autenticada, o Ops Manager envia você para o IdP , onde você faz login. Depois de autenticar, você retorna ao aplicativo do Ops Manager.

Este tutorial descreve como:

  • Configurar autenticação SAML para o Ops Manager

  • Mapear grupos SAML para MongoDB Ops Manager Roles da organização do e Roles do projeto.

Considerações

Os usuários permanecem autenticados após a ativação do SAML

Depois de alterar sua instância do Ops Manager para usar a autenticação SAML , todos os usuários permanecem conectados à sessão atual. Após a alteração de autenticação, os usuários que tentam fazer login no Ops Manager são redirecionados para o IdP do SAML.

Configuração de dois estágios

Alguma lógica circular se aplica ao configurar uma instância SAML . Para criar uma integração de trabalho:

  • O IdP precisa de valores do Provedor de Serviços e

  • O provedor de serviços precisa de valores do IdP.

Para iniciar essa integração, siga os Pré-requisitos e, em seguida, o Procedimento deste tutorial.

Pré-requisitos

Para configurar a integração do SAML , você deve executar a seguinte ação para seu IdP do SAML:

  1. Instale seu SAML IdP.

  2. Verifique se a instância do Ops Manager pode acessar seu IdP pela rede.

  3. No SAML IdP, você deve:

    1. Crie um usuário SAML que mapeie para o seu Proprietário Global do Ops Manager.

    2. Crie um grupo SAML que você possa mapear para o seu Ops Manager Global Owner.

    3. Atribua o grupo SAML do Global Owner ao seu usuário SAML .

    4. Crie um novo aplicativo para o Ops Manager representando o Ops Manager.

    5. Configurar os valores iniciais do SAML do Ops Manager para este novo aplicativo:

      1. Definir valores de espaço reservado para os seguintes campos:

        • SP Entity ID or Issuer

        • Audience URI

        • Assertion Consumer Service (ACS) URL

      2. Definir valores reais para os seguintes campos em seu IdP:

        Campo
        Valor comum
        Signature Algorithm

        Seu IdP pode ter um ou mais dos seguintes valores:

        • rsa-sha1

        • dsa-sha1

        • rsa-sha256

        • rsa-sha384

        • rsa-sha512

        Name ID
        Email Address
        Name ID Format
        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      3. Criar atributos com Nomes de Atributo para os seguintes Valores de Atributo:

        • Endereço de e-mail

        • Nome

        • Sobrenome

        • Grupos de usuários

      4. Configure seu IdP para exigir respostas e afirmações SAML assinadas.

      5. Salve esses valores.

Procedimento

Para configurar a autenticação SAML :

1

Faça login no seu IdP.

2

Copy SAML IdP values.

No seu IdP, clique no aplicativo Ops Manager :

  1. Encontre os valores de metadados do Ops Manager.

  2. Copie os seguintes valores para um arquivo temporário:

    • SAML Login URL

    • SAML Logout URL

    • X.509 Certificate (para o IdP)

    • IdP Entity ID or Issuer

    • Signature Algorithm

3

Navegue até a User Authentication aba da Ops Manager Config página .

Abra o aplicativo Ops Manager e navegue até: Admin General Ops Manager Config User Authentication.

4

Configure a User Authentication opção para SAML.

5

Defina os valores de configuração do SAML IdP necessários no Ops Manager.

Digite os valores do IdP para os seguintes campos SAML :

Campo
necessidade
em ação
Default
URI do fornecedor de identidade
Obrigatório

Digite o URI para o seu IdP que você usa para coordenar seu login único.

Esse URI é o IdP Entity ID or Issuer do SAML IdP.

Esse URI deve ser igual ao Issuer URI na resposta SAML.

none
URL do ponto de conexão SSO
Obrigatório

Digite a URL de login único para seu IdP.

Essa URL é a SAML Login URL do seu IdP.

none
URL do ponto de conexão SLO
Opcional

Digite a URL do SAML IdP a ser chamada se quiser que o usuário do Ops Manager desconecte-se do IdP quando o usuário do Ops Manager sair do Ops Manager.

Este é o SAML Logout URL do seu IdP.

none
Certificado x509 do fornecedor de identidade
Obrigatório

Cole o Certificado X.509 do seu IdP neste campo. O IdP fornece o certificado no formato PEM . Certifique-se de incluir todo o conteúdo do certificado, incluindo e começando com -----BEGIN CERTIFICATE----- e incluindo e terminando com -----END CERTIFICATE-----. O Ops Manager usa esse certificado para se verificar com o IdP.

Este é o X.509 Certificate do seu IdP.

Este deve ser o mesmo X.509 Certificate que você usa para assinar respostas e afirmações SAML.

none
Algoritmo de assinatura do fornecedor de identidade
Obrigatório

Selecione o algoritmo usado para criptografar a assinatura enviada de e para o IdP. Os valores aceitos são:

  • rsa-sha1

  • dsa-sha1

  • rsa-sha256

  • rsa-sha384

  • rsa-sha512

Este é o Signature Algorithm do seu IdP.

none
Exigir afirmações criptografadas
Opcional
Selecione se seu IdP criptografa ou não as afirmações enviadas ao Ops Manager.
false
Grupo de proprietários de role global
Obrigatório

Digite o nome do grupo no Atributo de Membro do Grupo SAML que tem privilégios totais sobre esta implantação, incluindo acesso total a todos os grupos e todas as permissões administrativas. Este grupo tem o role Global Owner para esta instância do Ops Manager.

Você adicionou esse grupo às suas configurações de IdP como parte dos seus pré-requisitos.

Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo.

none
Atributo SAML para nome do usuário
Obrigatório
Digite o nome do atributo SAML que contém o nome do usuário
none
Atributo SAML para sobrenome de usuário
Obrigatório
Digite o nome do atributo SAML que contém o sobrenome do usuário
none
Atributo SAML para e-mail do usuário
Obrigatório
Digite o nome do atributo SAML que contém o endereço de e-mail do usuário.
none
Atributo de membro do grupo SAML
Obrigatório
Digite o nome do atributo SAML que contém a lista de grupos que o Ops Manager usa para mapear roles para projeto e organização.
groups
6

Adicione quaisquer configurações opcionais de IdP SAML necessárias ao Ops Manager.

Digite os valores do IdP para os seguintes campos SAML :

Campo
necessidade
em ação
Default
Caminho para o arquivo de chave PEM do certificadoSP
Opcional

Digite o caminho do arquivo absoluto para o certificado formatado em PEMque o provedor de serviços usa para assinar solicitações. Este certificado inclui a chave privada e a chave pública.

Se este campo for deixado em branco:

  • O Ops Manager não assina solicitações de autenticação SAML para o IdP.

  • Não é possível criptografar afirmações SAML .

none
Senha para o arquivo de chave PEM do certificadoSP
Condicional
Se você criptografou a chave privada em seu arquivoSP PEM , digite sua senha neste campo.
none
Função de administrador de automação global
Opcional

Digite o nome do grupo cujos membros têm a função Global Automation Admin .

Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo.

none
Função de administrador de backup global
Opcional

Digite o nome do grupo cujos membros têm a função Global Backup Admin .

Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo.

none
Função de administrador de monitoramento global
Opcional

Digite o nome do grupo cujos membros têm a função Global Monitoring Admin .

Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo.

none
Função de administrador do usuário global
Opcional

Digite o nome do grupo cujos membros têm a função Global User Admin .

Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo.

none
Role global somente de leitura
Opcional

Digite o nome do grupo cujos membros têm a função Global Read Only .

Esse valor deve corresponder ao valor do atributo do membro do grupo enviado na resposta SAML . Se você usar o Azure AD como seu IdP, insira o ID de objeto do grupo nesse campo em vez do nome do grupo.

none
7

Clique Save.

8

Conecte-se como proprietário global.

Conecte-se ao Ops Manager como um usuário que faz parte do grupo SAML especificado no campo Ops Manager SAML Global Role Owner .

Após o login bem-sucedido, o Ops Manager exibe a página de seus projetos.

9

Associar grupos SAML a roles de projeto.

Para associar grupos SAML com roles em um novo projeto:

Observação

Você deve ter qualquer role global para criar um novo projeto.

  1. Clique em Admin > General > Projects.

  2. Clique em Create a New Project.

  3. Em Project Name, digite um nome para o novo projeto do gerente de operações.

  4. Insira os grupos SAML que correspondem a cada role do projeto.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  5. Clique em Add Project.

Para atualizar a associação de grupos SAML com roles em um projeto existente:

  1. Clique em Admin > General > Projects.

  2. Na coluna Actions de um projeto, clique em e depois em Edit SAML Settings.

  3. Insira os grupos SAML que correspondem a cada role do projeto.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  4. Clique em Save Changes.

10

Opcional: associar grupos LDAP a roles da organização.

Para associar grupos SAML com roles para uma nova organização:

Observação

Você deve ter qualquer papel global para criar uma nova organização.

  1. Clique em Admin > General > Organizations.

  2. Clique em Create a New Organization.

  3. Em Organization Name, digite um nome para a nova organização do Ops Manager.

  4. Insira os grupos SAML que correspondem a cada role da organização.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  5. Clique em Add Organization.

Para atualizar a associação de grupos SAML com roles para uma organização existente:

  1. Clique em Admin > General > Organizations.

  2. Clique no botão Edit Org.

  3. Insira os grupos SAML que correspondem a cada role da organização.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  4. Clique em Save Changes.

11

Adicione suas MongoDB deployments.

Especifique as configurações de autenticação SAML ao adicionar uma implantação MongoDB.

12

Exporte seus metadados do Ops Manager.

Após salvar a configuração SAML , um link para Download the Metadata XML File será exibido.

Clique neste link para baixar o arquivo HTML de metadados do SAMLSP .

Este arquivo de metadados deve ser semelhante a este exemplo:

1<?xml version="1.0"?>
2<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3  <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4    <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7  </md:SPSSODescriptor>
8</md:EntityDescriptor>
13

Importe os metadados SAML SP para o seu IdP.

Se o seu IdP oferecer a opção, importe seus metadados para o IdP. Ops Manager serve como o provedor de serviços (SP) para seu IdP.

Forneça os seguintes valores no arquivo HTML de metadados para IdP:

Campo
Valor comum
SP Entity ID or Issuer
<OpsManagerHost>:<Port>
Audience URI
<OpsManagerHost>:<Port>
Assertion Consumer Service (ACS) URL
<OpsManagerHost>:<Port>/saml/assert
Single Logout URL
<OpsManagerHost>:<Port>/saml/logout

Se um ou mais desses valores estiverem ausentes, use as diretrizes listadas na tabela anterior para definir esses valores.

Salve esses valores em seu IdP.

14

Teste a integração SAML entre o Ops Manager e seu IdP.

  1. Em uma janela privada do navegador, Go a instância do Ops Manager.

    Você é redirecionado para o seu IdP.

  2. Autentique-se com seu IdP.

    Você será redirecionado para sua instância do Ops Manager.

Voltar

Configurar LDAP para usuários do Ops Manager

Próximo

MongoDB deployments seguros com autenticação