Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

SAML autenticación para Ops Manager

Puede usar un proveedor de identidad (IdP) queejecute elservicio SAML (Lenguaje de marcado para aserciones de seguridad) para administrar la autenticación y la autorización de usuarios de Ops Manager. Al intentar acceder a Ops Manager sin una sesión autenticada, Ops Manager le redirige al IdP donde inicia sesión. Tras la autenticación, regresa a la aplicación de Ops Manager.

Este tutorial describe cómo:

  • Configure la autenticación SAML para Ops Manager

  • Asignar grupos SAML a Ops Manager Roles de organización y roles de proyecto.

Considerations

Los usuarios siguen autenticados después de la activación de SAML

Una vez que cambies tu instancia de Ops Manager para usar la autenticación SAML, todos los usuarios permanecen conectados durante la sesión actual. Después del cambio de autenticación, los usuarios que intenten iniciar sesión en Ops Manager serán redirigidos al SAML proveedor de identidad.

Configuración de dos etapas

Se aplica cierta lógica circular al configurar una instancia SAML. Para crear una integración funcional:

  • El proveedor de identidad necesita valores del Proveedor de Servicios y

  • El proveedor de servicios necesita valores del proveedor de identidad.

Para iniciar esta integración, sigue los requisitos previos y luego el procedimiento de este tutorial.

Requisitos previos

Para configurar la integración de SAML, debe realizar las siguientes acciones para su SAML proveedor de identidad:

  1. Instale su SAML proveedor de identidad.

  2. Verifica que tu instancia de Ops Manager pueda acceder a tu Proveedor de Identidad (IdP) a través de la red.

  3. En el IdP SAML, debes:

    1. Cree un usuario SAML que se asigne a su propietario global de Ops Manager.

    2. Crea un grupo SAML que puedas asignar a tu Ops Manager Global Owner.

    3. Asigne el grupo Global Owner SAML a su usuario SAML.

    4. Cree una nueva aplicación para Ops Manager que represente a Ops Manager.

    5. Configura los valores iniciales de SAML de Ops Manager para esta nueva aplicación:

      1. Establezca valores de marcador de posición para los siguientes campos:

        • SP Entity ID or Issuer

        • Audience URI

        • Assertion Consumer Service (ACS) URL

      2. Establece valores reales para los siguientes campos en tu proveedor de identidad:

        Campo
        Valor común

        Signature Algorithm

        Su IdP podría tener uno o más de los siguientes valores:

        • rsa-sha1

        • dsa-sha1

        • rsa-sha256

        • rsa-sha384

        • rsa-sha512

        Name ID

        Email Address

        Name ID Format

        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      3. Cree atributos con Nombres de atributos para los siguientes Valores de atributos:

        • Dirección de correo electrónico

        • Nombre

        • Apellidos

        • Grupos de Usuarios

      4. Configure su IdP para requerir respuestas y afirmaciones SAML firmadas.

      5. Guarde estos valores.

Procedimiento

Para configurar la autenticación SAML:

1

Inicie sesión en su proveedor de identidad.

2

Copy SAML IdP values.

Desde tu proveedor de identidad, haz clic en la aplicación de Ops Manager:

  1. Encuentre los valores de metadatos de Ops Manager.

  2. Copie los siguientes valores a un archivo temporal:

    • SAML Login URL

    • SAML Logout URL

    • X.509 Certificate (para el proveedor de identidad)

    • IdP Entity ID or Issuer

    • Signature Algorithm

3

Ve a la pestaña User Authentication de la página Ops Manager Config.

Abra la aplicación Ops Manager y navegue a:. Admin General Ops Manager Config User Authentication

4

Configura la opción User Authentication en SAML.

5

Configure los valores requeridos de configuración de SAML proveedor de identidad en Ops Manager.

Escribe los valores del IdP para los siguientes campos SAML:

Campo
Necesidad
Acción
predeterminado

URI del proveedor de identidad

Requerido

Escribe el URI de tu proveedor de identidad que utilizas para coordinar tu inicio de sesión único.

Esta URI es la IdP Entity ID or Issuer del IdP SAML.

Esta URI debe ser la misma que Issuer URI en la respuesta SAML.

Ninguno

URL del endpoint SSO

Requerido

Escriba la URL de inicio de sesión único para su IdP.

Esta URL es el SAML Login URL de tu proveedor de identidad.

Ninguno

SLO Endpoint URL

Opcional

Escriba la URL de SAML proveedor de identidad que desea utilizar para cerrar la sesión de un usuario de Ops Manager en su proveedor de identidad cuando un usuario de Ops Manager cierra su sesión de Ops Manager.

Esta es la SAML Logout URL de tu proveedor de identidad.

Ninguno

Certificado X509 del proveedor de identidad

Requerido

Pega el certificado X.509 de tu proveedor de identidad en este campo. El proveedor de identidad proporciona el certificado en formato PEM. Asegúrate de incluir todo el contenido del certificado, incluyendo y comenzando con -----BEGIN CERTIFICATE----- e incluyendo y terminando con -----END CERTIFICATE-----. Ops Manager utiliza este certificado para verificarse con el proveedor de identidad.

Esta es la X.509 Certificate de tu proveedor de identidad.

Este debe ser el mismo X.509 Certificate que utiliza para firmar respuestas y afirmaciones SAML.

Ninguno

Algoritmo de Firma del Proveedor de Identidad

Requerido

Seleccione el algoritmo utilizado para cifrar la firma enviada desde y hacia el proveedor de identidad. Los valores aceptados son:

  • rsa-sha1

  • dsa-sha1

  • rsa-sha256

  • rsa-sha384

  • rsa-sha512

Esta es la Signature Algorithm de tu proveedor de identidad.

Ninguno

Requerir aserciones cifradas

Opcional

Seleccione si su proveedor de identidad cifra o no las aserciones que envía a Ops Manager.

false

Grupo de propietarios de roles globales

Requerido

Escriba el nombre del grupo en el atributo "Miembro del grupo SAML" que tiene privilegios completos sobre esta implementación, incluyendo acceso total a todos los grupos y todos los permisos administrativos. Este grupo tiene el rol para esta instancia de Ops Global Owner Manager.

Agregó este grupo a su configuración de IdP como parte de sus requisitos previos.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

SAML Atributo para el nombre de usuario.

Requerido

Escriba el nombre del Atributo SAML que contiene el Primer Nombre del Usuario

Ninguno

SAML Atributo para el apellido del usuario

Requerido

Escriba el nombre del atributo SAML que contiene el apellido del usuario

Ninguno

SAML Atributo para el correo electrónico del usuario

Requerido

Escriba el nombre del atributo SAML que contiene la dirección de correo electrónico del usuario.

Ninguno

Atributo de miembrodel grupo SAML

Requerido

Escribe el nombre del atributo SAML que contiene la lista de grupos que usa Ops Manager para asignar roles a Proyectos y Organizaciones.

groups

6

Agrega cualquier ajuste opcional necesario de SAML proveedor de identidad a Ops Manager.

Escribe los valores del IdP para los siguientes campos SAML:

Campo
Necesidad
Acción
predeterminado

Ruta al archivo de clave PEM del certificado SP

Opcional

Escriba la ruta absoluta del archivo del certificado con formato PEMque el proveedor de servicios utiliza para firmar las solicitudes. Este certificado incluye las claves privada y pública.

Si este campo queda vacío:

  • Ops Manager no firma las solicitudes de autenticación SAML para el proveedor de identidad.

  • No puedes cifrar las aserciones SAML.

Ninguno

Contraseña para el archivo de clave PEM del certificado SP

Condicional

Si has cifrado la llave privada en tu archivo SP PEM, introduce su contraseña en este campo.

Ninguno

Rol de administrador de automatización global

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Automation Admin rol.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de administrador global de copias de seguridad

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Backup Admin rol.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de Administrador de supervisión Global

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Monitoring Admin rol.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol global de administrador de usuarios

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global User Admin rol.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol global de solo lectura

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Read Only rol.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

7

Haga clic en Save.

8

Iniciar sesión como propietario global.

Inicia sesión en Ops Manager como un usuario que forme parte del grupo SAML especificado en el campo Ops Manager SAML Global Role Owner.

Tras un inicio de sesión exitoso, Ops Manager muestra tu página de proyectos.

9

Asocia grupos SAML con roles de proyecto.

Para asociar grupos SAML con roles en un nuevo proyecto:

Nota

Debes tener cualquier rol global para crear un nuevo proyecto.

  1. Haga clic en Admin > General > Projects.

  2. Haga clic en Create a New Project.

  3. En Project Name, escribe un nombre para el nuevo proyecto de Ops Manager.

  4. Ingrese los grupos SAML que correspondan a cada rol del proyecto.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  5. Haga clic en Add Project.

Para actualizar la asociación de grupos SAML con roles en un proyecto existente:

  1. Haga clic en Admin > General > Projects.

  2. En la Actions columna de un proyecto, haga clic Edit SAML Settingsen y luego haga clic en.

  3. Ingrese los grupos SAML que correspondan a cada rol del proyecto.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  4. Haga clic en Save Changes.

10

Opcional: Asocia grupos SAML con roles de la organización.

Para asociar grupos SAML con roles para una nueva organización:

Nota

Debes tener cualquier rol global para crear una nueva organización.

  1. Haga clic en Admin > General > Organizations.

  2. Haga clic en Create a New Organization.

  3. En Organization Name, escribe un nombre para la nueva organización de Ops Manager.

  4. Introduce los grupos SAML que correspondan a cada rol de organización.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  5. Haga clic en Add Organization.

Para actualizar la asociación de grupos SAML con roles para una organización existente:

  1. Haga clic en Admin > General > Organizations.

  2. Haga clic en el botón Edit Org.

  3. Introduce los grupos SAML que correspondan a cada rol de organización.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  4. Haga clic en Save Changes.

11

Agregue sus implementaciones de MongoDB.

Especifica la configuración de autenticación SAML al añadir una implementación de MongoDB.

12

Exporte sus metadatos de Ops Manager.

Después de guardar la configuración de SAML, aparece un enlace a Download the Metadata XML File.

Haga clic en este enlace para descargar el archivo XML de metadatos SAML SP.

Este archivo de metadatos debería verse similar a este ejemplo:

1<?xml version="1.0"?>
2<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3  <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4    <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7  </md:SPSSODescriptor>
8</md:EntityDescriptor>
13

Importa los metadatos SP de proveedor de identidad.

Si tu proveedor de identidad ofrece esa opción, importa tus metadatos en el proveedor de identidad. Ops Manager actúa como el Proveedor de Servicios (SP) para tu proveedor de identidad.

Proporcione los siguientes valores en el archivo de XML de metadatos para proveedor de identidad:

Campo
Valor común

SP Entity ID or Issuer

<OpsManagerHost>:<Port>

Audience URI

<OpsManagerHost>:<Port>

Assertion Consumer Service (ACS) URL

<OpsManagerHost>:<Port>/saml/assert

Single Logout URL

<OpsManagerHost>:<Port>/saml/logout

Si falta uno o más de estos valores, utilice las pautas enumeradas en la tabla anterior para establecer esos valores.

Guarda estos valores en tu proveedor de identidad.

14

Prueba la integración SAML entre Ops Manager y tu proveedor de identidad.

  1. En una ventana privada del navegador, ve a tu instancia de Ops Manager.

    Se te redirige a tu proveedor de identidad.

  2. Autentícate con tu proveedor de identidad.

    Luego se le redirige a su instancia de Ops Manager.

Volver

Configurar LDAP

Next

Configurar OIDC

En esta página