Overview
Puede usar OpenID Connect(OIDC) para administrar la autenticación y autorización de usuarios de Ops Manager con un proveedor de identidad (IdP) externo.Al intentar acceder a Ops Manager sin una sesión autenticada, Ops Manager le redirige a su IdP para iniciar sesión. Tras la autenticación, regresa a Ops Manager.
Este tutorial describe cómo:
Configura la autenticación OIDC para Ops Manager.
Asignar grupos de OIDC a Ops Manager Roles de organización y roles de proyecto.
Gestiona las asignaciones de roles de organización y proyecto con la API pública.
Considerations
Utilice HTTPS para OIDC
Se recomienda encarecidamente usar HTTPS para Ops Manager en general, y especialmente para OIDC. Algunas integraciones de IdP podrían no funcionar correctamente si Ops Manager no usa HTTPS.
Requisitos previos
Para configurar la integración de OIDC, debe realizar las siguientes acciones en su proveedor de identidad:
Procedimiento
Para configurar la autenticación OIDC:
Configure los ajustes de conexión de OIDC.
Especifica valores para los campos obligatorios y luego establece los campos opcionales según sea necesario.
La siguiente tabla asigna los campos de la interfaz de usuario de Ops Manager a los campos del archivo de configuración.
Campo de la IU de Ops Manager | Campo de archivo de configuración | Requerido | Descripción |
|---|---|---|---|
Issuer URI |
| Sí | URI del emisor o URL del documento de descubrimiento de metadatos OIDC. |
Client ID |
| Sí | Identificador de cliente asignado a Ops Manager por el proveedor de identidad. |
Client Secret |
| Sí | Secreto de cliente asignado a Ops Manager por el IdP. |
Custom CA Certificate (PEM) |
| No | Certificado o certificados CA codificados en PEM en los que confiar al conectarse al proveedor de identidad. Use esto cuando su proveedor de identidad utilice un certificado CA privado o autofirmado. Puedes concatenar múltiples certificados. |
Enable PKCE (Proof Key for Code Exchange) |
| Sí | Habilitación de PKCE para el flujo de código de autorización. Se recomienda y está habilitado por defecto. Desactiva sólo si tu proveedor de identidad no es compatible con PKCE para clientes confidenciales. Valor por defecto: |
Requested Scopes |
| No | Lista de alcance que Ops Manager solicita desde el endpoint de autorización. |
Service Provider Base URL |
| No | URL base para el proveedor de servicios OIDC. Si no configuras este valor, Ops Manager utiliza |
Global Role Owner Groups |
| Sí | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de Propietario Global. Los Propietarios Globales tienen privilegios completos sobre esta implementación, incluidos todos los permisos administrativos. |
Global Automation Admin Groups |
| No | Lista separada por comas de grupos de proveedor de identidad cuyos miembros reciben el rol de Administrador Global de Automatización. |
Global Backup Admin Groups |
| No | Lista separada por comas de grupos de IdP cuyos nodos tienen asignado el rol de administrador global de copias de seguridad. |
Global Monitoring Admin Groups |
| No | Lista separada por comas de los grupos de proveedor de identidad cuyos miembros tienen asignado el rol de Administrador global de supervisión. |
Global User Admin Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de administrador de usuarios global. |
Global Read Only Groups |
| No | Lista separada por comas de grupos de IdP cuyos miembros tienen asignado el rol de solo lectura global. |
OIDC Claim for User First Name |
| No | Reclamo que contiene el nombre del usuario. Valor predeterminado: |
OIDC Claim for User Last Name |
| No | Reclamo que contiene el apellido del usuario. Valor por defecto: |
OIDC Claim for User Email |
| No | Declaración que contiene la dirección de correo electrónico del usuario. Valor por defecto: |
OIDC Claim for Group Member |
| No | Reclamo que contiene la lista de grupos que Ops Manager utiliza para asignar roles a proyectos y organizaciones. Valor por defecto: |
Cómo funcionan los mapeos de roles
Los mapeos de roles de OIDC funcionan de la misma manera que los mapeos de roles de SAML. Se puedes mapear los grupos proveedor de identidad a los roles de Ops Manager para las organizaciones y los proyectos. Cuando un usuario inicia sesión, Ops Manager asigna roles en función de la pertenencia del usuario a un grupo.
Asignaciones de roles de la organización
Las asignaciones de roles de la organización asocian grupos de IdP con roles de la organización.
Los campos de mapeo de la organización incluyen:
Grupos OIDC para el rol de propietario de la organización
Grupos OIDC para el rol de creador de proyecto de organización
Grupos OIDC para la función de solo lectura de la organización
Grupos OIDC para el rol de miembro de la organización
Asignaciones de roles de proyecto
Las asignaciones de roles de proyecto asocian los grupos de proveedor de identidad con los roles del proyecto.
Los campos de mapeo del proyecto incluyen:
Grupos OIDC para el rol de propietario del proyecto
Grupos OIDC para rol de solo lectura
Grupos OIDC para el rol de Administrador de automatización
Grupos OIDC para la función de administrador de respaldo
Grupos OIDC para el rol de administrador de supervisión
Grupos OIDC para el rol de administrador de usuarios
Grupos OIDC para el rol de administrador de acceso a datos
OIDC Groups para acceso a los datos Read guardar rol
Grupos OIDC para acceso a datos (función de solo lectura)
Administrar asignaciones de roles con la API pública
Puedes gestionar los mapeos de roles de proveedor de identidad programáticamente usando el campo idpGroupMappings en las siguientes API públicas:
Obtén organizaciones.
Conseguir proyectos.
Crear y actualizar organizaciones.
Crear y actualizar proyectos.
El idpGroupMappings campo es un arreglo que asigna los roles de Ops Manager a los grupos de proveedor de identidad.
{ "idpGroupMappings": [ { "idpGroups": [ "name_of_your_idp_group", "another_name_of_idp_group" ], "roleName": "GROUP_USER_ADMIN" } ] }
Los siguientes valores son válidos para la organización roleName:
ORG_OWNERORG_GROUP_CREATORORG_BILLING_ADMINORG_READ_ONLYORG_MEMBER
Los siguientes valores son válidos para el proyecto roleName:
GROUP_OWNERGROUP_READ_ONLYGROUP_AUTOMATION_ADMINGROUP_BACKUP_ADMINGROUP_MONITORING_ADMINGROUP_USER_ADMINGROUP_BILLING_ADMINGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CHARTS_ADMINGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITOR
Cierre de sesión en segundo plano
Ops Manager admite el cierre de sesión por canal secundario OIDC. Cuando tu proveedor de identidad envía un token de cierre de sesión, Ops Manager invalida la sesión del usuario.
Endpoint
POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout
Solicitud
Envía una solicitud codificada en formulario con el parámetro logout_token que contenga un JWT firmado.
Requisitos
Incluye un
subválido (asunto) claim.Puede incluir el reclamo
sid(ID de sesión) para la invalidación de sesión específica.
Ops Manager no permite el cierre de sesión iniciado por el proveedor de servicios. Para cerrar sesión, los usuarios deben cerrar sesión en el IdP.