Overview
Puede usar OpenID Connect(OIDC) para administrar la autenticación y autorización de usuarios de Ops Manager con un proveedor de identidad (IdP) externo.Al intentar acceder a Ops Manager sin una sesión autenticada, Ops Manager le redirige a su IdP para iniciar sesión. Tras la autenticación, regresa a Ops Manager.
Este tutorial describe cómo:
Configura la autenticación OIDC para Ops Manager.
Asignar grupos de OIDC a Ops Manager Roles de la organización y roles del proyecto.
Administre las asignaciones de roles de la organización y del proyecto con la API pública.
Considerations
Utilice HTTPS para OIDC
Se recomienda encarecidamente usar HTTPS para Ops Manager en general, y especialmente para OIDC. Algunas integraciones de IdP podrían no funcionar correctamente si Ops Manager no usa HTTPS.
Requisitos previos
Para configurar la integración de OIDC, debe realizar las siguientes acciones en su IdP:
Procedimiento
Para configurar la autenticación OIDC:
Configure los ajustes de conexión de OIDC.
Especifique valores para los campos obligatorios y luego configure campos opcionales según sea necesario.
La siguiente tabla asigna los campos de la interfaz de usuario de Ops Manager a los campos del archivo de configuración.
Campo de interfaz de usuario de Ops Manager | Campo de archivo de configuración | Requerido | Descripción |
|---|---|---|---|
Issuer URI |
| Sí | URL del documento de descubrimiento de metadatos OIDC o URI del emisor. |
Client ID |
| Sí | Identificador de cliente asignado a Ops Manager por el IdP. |
Client Secret |
| Sí | Secreto de cliente asignado a Ops Manager por el IdP. |
Custom CA Certificate (PEM) |
| No | Certificado o certificados de CA con codificación PEM en los que confiar al conectarse al IdP. Úselo cuando su IdP utilice un certificado de CA autofirmado o privado. Puede concatenar varios certificados. |
Enable PKCE (Proof Key for Code Exchange) |
| Sí | Habilitación de PKCE para el flujo de código de autorización. Recomendado y habilitado de forma predeterminada. Deshabilítelo solo si su proveedor de identidad (IdP) no admite PKCE para clientes confidenciales. Valor |
Requested Scopes |
| No | Lista de alcance que Ops Manager solicita desde el punto final de autorización. |
Service Provider Base URL |
| No | URL base del proveedor de servicios OIDC. Si no se establece este valor, Ops Manager |
Global Role Owner Groups |
| Sí | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de Propietario Global. Los Propietarios Globales tienen privilegios completos sobre esta implementación, incluidos todos los permisos administrativos. |
Global Automation Admin Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de administrador de automatización global. |
Global Backup Admin Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de administrador de respaldo global. |
Global Monitoring Admin Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de administrador de monitoreo global. |
Global User Admin Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de administrador de usuarios global. |
Global Read Only Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de solo lectura global. |
OIDC Claim for User First Name |
| No | Reclamo que contiene el nombre del usuario. Valor predeterminado: |
OIDC Claim for User Last Name |
| No | Reclamo que contiene el apellido del usuario. Valor por defecto: |
OIDC Claim for User Email |
| No | Declaración que contiene la dirección de correo electrónico del usuario. Valor por defecto: |
OIDC Claim for Group Member |
| No | Reclamo que contiene la lista de grupos que Ops Manager utiliza para asignar roles a proyectos y organizaciones. Valor predeterminado: |
Cómo funcionan las asignaciones de roles
Las asignaciones de roles de OIDC funcionan de la misma manera que las asignaciones de roles de SAML. Se asignan grupos de IdP a roles de Ops Manager para organizaciones y proyectos. Cuando un usuario inicia sesión, Ops Manager le asigna roles según su pertenencia al grupo.
Asignaciones de roles de la organización
Las asignaciones de roles de la organización asocian grupos de IdP con roles de la organización.
Los campos de mapeo de la organización incluyen:
Grupos OIDC para el rol de propietario de la organización
Grupos OIDC para el rol de creador de proyectos de la organización
Grupos OIDC para la función de solo lectura de la organización
Grupos OIDC para el rol de miembro de la organización
Asignaciones de roles de proyecto
Las asignaciones de roles del proyecto asocian grupos de IdP con roles del proyecto.
Los campos de mapeo del proyecto incluyen:
Grupos OIDC para el rol de propietario del proyecto
Grupos OIDC para rol de solo lectura
Rol de administrador de grupos OIDC para automatización
Grupos OIDC para la función de administrador de respaldo
Grupos OIDC para supervisar la función de administrador
Grupos OIDC para el rol de administrador de usuarios
Grupos OIDC para el rol de administrador de acceso a datos
Grupos OIDC para acceso a datos, función de lectura y escritura
Grupos OIDC para acceso a datos (función de solo lectura)
Administrar asignaciones de roles con la API pública
Puede administrar las asignaciones de roles de IdP mediante programación utilizando el idpGroupMappings campo en las siguientes API públicas:
Conseguir organizaciones.
Conseguir proyectos.
Crear y actualizar organizaciones.
Crear y actualizar proyectos.
El idpGroupMappings campo es una matriz que asigna los roles de Ops Manager a los grupos de IdP.
{ "idpGroupMappings": [ { "idpGroups": [ "name_of_your_idp_group", "another_name_of_idp_group" ], "roleName": "GROUP_USER_ADMIN" } ] }
Los siguientes valores son válidos para la organización roleName:
ORG_OWNERORG_GROUP_CREATORORG_BILLING_ADMINORG_READ_ONLYORG_MEMBER
Los siguientes valores son válidos para el proyecto roleName:
GROUP_OWNERGROUP_READ_ONLYGROUP_AUTOMATION_ADMINGROUP_BACKUP_ADMINGROUP_MONITORING_ADMINGROUP_USER_ADMINGROUP_BILLING_ADMINGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CHARTS_ADMINGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITOR
Cierre de sesión del canal secundario
Ops Manager admite el cierre de sesión del canal secundario de OIDC. Cuando su IdP envía un token de cierre de sesión, Ops Manager invalida la sesión del usuario.
Endpoint
POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout
Solicitud
Envíe una solicitud codificada de formulario con el parámetro logout_token que contenga un JWT firmado.
Requisitos
Incluye un
subválido (asunto) claim.Puede incluir el reclamo
sid(ID de sesión) para la invalidación de sesión específica.
Ops Manager no permite el cierre de sesión iniciado por el proveedor de servicios. Para cerrar sesión, los usuarios deben cerrar sesión en el IdP.