Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

AutenticaciónSAML para Ops Manager

Puede usar un proveedor de identidad (IdP) queejecute elservicio SAML (Lenguaje de marcado para aserciones de seguridad) para administrar la autenticación y la autorización de usuarios de Ops Manager. Al intentar acceder a Ops Manager sin una sesión autenticada, Ops Manager le redirige al IdP donde inicia sesión. Tras la autenticación, regresa a la aplicación de Ops Manager.

Este tutorial describe cómo:

  • Configure la autenticación SAML para Ops Manager

  • Asignar grupos SAML a Ops Manager Roles de la organización y roles del proyecto.

Considerations

Los usuarios permanecen autenticados después de la activación de SAML

Una vez que cambie su instancia de Ops Manager para usar la autenticación SAML, todos los usuarios permanecerán conectados a la sesión actual. Tras el cambio de autenticación, los usuarios que intenten iniciar sesión en Ops Manager serán redirigidos al IdP SAML.

Configuración de dos etapas

Se aplica cierta lógica circular al configurar una instancia SAML. Para crear una integración funcional:

  • El IdP necesita valores del proveedor de servicios y

  • El proveedor de servicios necesita valores del IdP.

Para iniciar esta integración, sigue los requisitos previos y luego el procedimiento de este tutorial.

Requisitos previos

Para configurar la integración de SAML, debe realizar las siguientes acciones para su IdP de SAML:

  1. Instale su IdP SAML.

  2. Verifique que su instancia de Ops Manager pueda acceder a su IdP a través de la red.

  3. En el IdP SAML, debes:

    1. Cree un usuario SAML que se asigne a su propietario global de Ops Manager.

    2. Crea un grupo SAML que puedas asignar a tu Ops Manager Global Owner.

    3. Asigne el Global Owner grupo SAML a su usuario SAML.

    4. Cree una nueva aplicación para Ops Manager que represente a Ops Manager.

    5. Configure los valores SAML iniciales de Ops Manager para esta nueva aplicación:

      1. Establezca valores de marcador de posición para los siguientes campos:

        • SP Entity ID or Issuer

        • Audience URI

        • Assertion Consumer Service (ACS) URL

      2. Establezca valores reales para los siguientes campos en su IdP:

        Campo
        Valor común

        Signature Algorithm

        Su IdP podría tener uno o más de los siguientes valores:

        • rsa-sha1

        • dsa-sha1

        • rsa-sha256

        • rsa-sha384

        • rsa-sha512

        Name ID

        Email Address

        Name ID Format

        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      3. Cree atributos con nombres de atributo para los siguientes valores de atributo:

        • Dirección de correo electrónico

        • Nombre

        • Apellidos

        • Grupos de Usuarios

      4. Configure su IdP para requerir respuestas y afirmaciones SAML firmadas.

      5. Guarde estos valores.

Procedimiento

Para configurar la autenticación SAML:

1

Inicie sesión en su IdP.

2

Copy SAML IdP values.

Desde su IdP, haga clic en la aplicación Ops Manager:

  1. Encuentre los valores de metadatos de Ops Manager.

  2. Copie los siguientes valores a un archivo temporal:

    • SAML Login URL

    • SAML Logout URL

    • X.509 Certificate (para el IdP)

    • IdP Entity ID or Issuer

    • Signature Algorithm

3

Vaya a la User Authentication pestaña de la Ops Manager Config página.

Abra la aplicación Ops Manager y navegue a:. Admin General Ops Manager Config User Authentication

4

Establezca la User Authentication opción SAML en.

5

Establezca los valores de configuración de IdP SAML requeridos en Ops Manager.

Escriba los valores del IdP para los siguientes campos SAML:

Campo
Necesidad
Acción
predeterminado

URI del proveedor de identidad

Requerido

Escriba el URI de su IdP que utiliza para coordinar su inicio de sesión único.

Esta URI es la IdP Entity ID or Issuer del IdP SAML.

Esta URI debe ser la misma que Issuer URI en la respuesta SAML.

Ninguno

URL del punto final de SSO

Requerido

Escriba la URL de inicio de sesión único para su IdP.

Esta URL es el SAML Login URL de tu proveedor de identidad.

Ninguno

SLO Endpoint URL

Opcional

Escriba la URL del IdP de SAML que se llamará si desea que el usuario de Ops Manager cierre la sesión de su IdP cuando cierre la sesión de Ops Manager.

Este es el SAML Logout URL de su IdP.

Ninguno

Certificado del proveedor de identidad X509

Requerido

Pegue el certificado X. de509 su IdP en este campo. El IdP proporciona el certificado en formato PEM. Asegúrese de incluir todo el contenido del certificado, comenzando por -----BEGIN CERTIFICATE----- y ​​terminando -----END CERTIFICATE----- por. Ops Manager utiliza este certificado para verificarse con el IdP.

Este es el X.509 Certificate de su IdP.

Este debe ser el mismo X.509 Certificate que utiliza para firmar respuestas y afirmaciones SAML.

Ninguno

Algoritmo de firma del proveedor de identidad

Requerido

Seleccione el algoritmo utilizado para cifrar la firma enviada y recibida por el IdP. Los valores aceptados son:

  • rsa-sha1

  • dsa-sha1

  • rsa-sha256

  • rsa-sha384

  • rsa-sha512

Este es el Signature Algorithm de su IdP.

Ninguno

Requerir aserciones cifradas

Opcional

Seleccione si su IdP cifra o no las afirmaciones que envía a Ops Manager.

false

Grupo de propietarios de roles globales

Requerido

Escriba el nombre del grupo en el atributo "Miembro del grupo SAML" que tiene privilegios completos sobre esta implementación, incluyendo acceso total a todos los grupos y todos los permisos administrativos. Este grupo tiene el rol para esta instancia de Ops Global Owner Manager.

Agregó este grupo a su configuración de IdP como parte de sus requisitos previos.

Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

SAML Atributo para el nombre de usuario.

Requerido

Escriba el nombre del atributo SAML que contiene el nombre del usuario

Ninguno

AtributoSAML para el apellido del usuario

Requerido

Escriba el nombre del atributo SAML que contiene el apellido del usuario

Ninguno

AtributoSAML para correo electrónico de usuario

Requerido

Escriba el nombre del atributo SAML que contiene la dirección de correo electrónico del usuario.

Ninguno

Atributo de miembrodel grupo SAML

Requerido

Escribe el nombre del atributo SAML que contiene la lista de grupos que usa Ops Manager para asignar roles a Proyectos y Organizaciones.

groups

6

Agregue cualquier configuración de IdP SAML opcional necesaria a Ops Manager.

Escriba los valores del IdP para los siguientes campos SAML:

Campo
Necesidad
Acción
predeterminado

Ruta al archivo de clave PEM del certificado SP

Opcional

Escriba la ruta absoluta del archivo del certificado con formato PEMque el proveedor de servicios utiliza para firmar las solicitudes. Este certificado incluye las claves privada y pública.

Si este campo se deja en blanco:

  • Ops Manager no firma solicitudes de autenticación SAML al IdP.

  • No se pueden cifrar las afirmaciones SAML.

Ninguno

Contraseña para el archivo de clave PEM del certificado SP

Condicional

Si cifró la clave privada en su archivo SP PEM, escriba su contraseña en este campo.

Ninguno

Rol de administrador de automatización global

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Automation Admin rol.

Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de administrador de copias de seguridad globales

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Backup Admin rol.

Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de administrador de monitoreo global

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Monitoring Admin rol.

Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de administrador de usuarios global

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global User Admin rol.

Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de solo lectura global

Opcional

Escriba el nombre del grupo cuyos miembros tienen el Global Read Only rol.

Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

7

Haga clic en Save.

8

Inicie sesión como propietario global.

Inicie sesión en Ops Manager como un usuario que forme parte del grupo SAML especificado en el campo Ops Manager SAML Global Role Owner.

Tras un inicio de sesión exitoso, Ops Manager muestra tu página de proyectos.

9

Asociar grupos SAML con roles de proyecto.

Para asociar grupos SAML con roles en un nuevo proyecto:

Nota

Debes tener algún rol global para crear un nuevo proyecto.

  1. Haga clic en Admin > General > Projects.

  2. Haga clic en Create a New Project.

  3. En Project Name, escriba un nombre para el nuevo proyecto de Ops Manager.

  4. Introduzca los grupos SAML que corresponden a cada rol del proyecto.

    Importante

    Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.

  5. Haga clic en Add Project.

Para actualizar la asociación de grupos SAML con roles en un proyecto existente:

  1. Haga clic en Admin > General > Projects.

  2. En la Actions columna de un proyecto, haga clic Edit SAML Settingsen y luego haga clic en.

  3. Introduzca los grupos SAML que corresponden a cada rol del proyecto.

    Importante

    Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.

  4. Haga clic en Save Changes.

10

Opcional: asociar grupos SAML con roles de la organización.

Para asociar grupos SAML con roles para una nueva organización:

Nota

Debes tener algún rol global para crear una nueva organización.

  1. Haga clic en Admin > General > Organizations.

  2. Haga clic en Create a New Organization.

  3. En Organization Name, escriba un nombre para la nueva organización de Ops Manager.

  4. Introduzca los grupos SAML que corresponden a cada rol de la organización.

    Importante

    Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.

  5. Haga clic en Add Organization.

Para actualizar la asociación de grupos SAML con roles para una organización existente:

  1. Haga clic en Admin > General > Organizations.

  2. Haga clic en el botón Edit Org.

  3. Introduzca los grupos SAML que corresponden a cada rol de la organización.

    Importante

    Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.

  4. Haga clic en Save Changes.

11

Agregue sus implementaciones de MongoDB.

Especifique la configuración de autenticación SAML al agregar una implementación de MongoDB.

12

Exporte sus metadatos de Ops Manager.

Después de guardar la configuración de SAML, Download the Metadata XML File aparece un enlace a.

Haga clic en este enlace para descargar el archivo XML de metadatos SAML SP.

Este archivo de metadatos debería verse similar a este ejemplo:

1<?xml version="1.0"?>
2<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3  <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4    <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7  </md:SPSSODescriptor>
8</md:EntityDescriptor>
13

Importa los metadatos SP de proveedor de identidad.

Si su proveedor de identidad (IdP) ofrece esta opción, importe sus metadatos. Ops Manager actúa como proveedor de servicios (SP) para su IdP.

Proporcione los siguientes valores en el archivo XML de metadatos al IdP:

Campo
Valor común

SP Entity ID or Issuer

<OpsManagerHost>:<Port>

Audience URI

<OpsManagerHost>:<Port>

Assertion Consumer Service (ACS) URL

<OpsManagerHost>:<Port>/saml/assert

Single Logout URL

<OpsManagerHost>:<Port>/saml/logout

Si falta uno o más de estos valores, utilice las pautas enumeradas en la tabla anterior para establecer esos valores.

Guarde estos valores en su IdP.

14

Pruebe la integración SAML entre Ops Manager y su IdP.

  1. En una ventana privada del navegador, vaya a su instancia de Ops Manager.

    Se te redirige a tu proveedor de identidad.

  2. Autenticarse con su IdP.

    Luego será redirigido a su instancia de Ops Manager.

Volver

Configurar LDAP

Next

Configurar OIDC

En esta página