Puede usar un proveedor de identidad (IdP) queejecute elservicio SAML (Lenguaje de marcado para aserciones de seguridad) para administrar la autenticación y la autorización de usuarios de Ops Manager. Al intentar acceder a Ops Manager sin una sesión autenticada, Ops Manager le redirige al IdP donde inicia sesión. Tras la autenticación, regresa a la aplicación de Ops Manager.
Este tutorial describe cómo:
Configure la autenticación SAML para Ops Manager
Asignar grupos SAML a Ops Manager Roles de la organización y roles del proyecto.
Considerations
Los usuarios permanecen autenticados después de la activación de SAML
Una vez que cambie su instancia de Ops Manager para usar la autenticación SAML, todos los usuarios permanecerán conectados a la sesión actual. Tras el cambio de autenticación, los usuarios que intenten iniciar sesión en Ops Manager serán redirigidos al IdP SAML.
Configuración de dos etapas
Se aplica cierta lógica circular al configurar una instancia SAML. Para crear una integración funcional:
El IdP necesita valores del proveedor de servicios y
El proveedor de servicios necesita valores del IdP.
Para iniciar esta integración, sigue los requisitos previos y luego el procedimiento de este tutorial.
Requisitos previos
Para configurar la integración de SAML, debe realizar las siguientes acciones para su IdP de SAML:
Instale su IdP SAML.
Verifique que su instancia de Ops Manager pueda acceder a su IdP a través de la red.
En el IdP SAML, debes:
Cree un usuario SAML que se asigne a su propietario global de Ops Manager.
Crea un grupo SAML que puedas asignar a tu Ops Manager Global Owner.
Asigne el Global Owner grupo SAML a su usuario SAML.
Cree una nueva aplicación para Ops Manager que represente a Ops Manager.
Configure los valores SAML iniciales de Ops Manager para esta nueva aplicación:
Establezca valores de marcador de posición para los siguientes campos:
SP Entity ID or Issuer
Audience URI
Assertion Consumer Service (ACS) URL
Establezca valores reales para los siguientes campos en su IdP:
CampoValor comúnSignature Algorithm
Su IdP podría tener uno o más de los siguientes valores:
rsa-sha1dsa-sha1rsa-sha256rsa-sha384rsa-sha512
Name ID
Email AddressName ID Format
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedCree atributos con nombres de atributo para los siguientes valores de atributo:
Dirección de correo electrónico
Nombre
Apellidos
Grupos de Usuarios
Configure su IdP para requerir respuestas y afirmaciones SAML firmadas.
Guarde estos valores.
Procedimiento
Para configurar la autenticación SAML:
Establezca los valores de configuración de IdP SAML requeridos en Ops Manager.
Escriba los valores del IdP para los siguientes campos SAML:
Campo | Necesidad | Acción | predeterminado |
|---|---|---|---|
URI del proveedor de identidad | Requerido | Escriba el URI de su IdP que utiliza para coordinar su inicio de sesión único. Esta URI es la IdP Entity ID or Issuer del IdP SAML. Esta URI debe ser la misma que | Ninguno |
URL del punto final de SSO | Requerido | Escriba la URL de inicio de sesión único para su IdP. Esta URL es el SAML Login URL de tu proveedor de identidad. | Ninguno |
SLO Endpoint URL | Opcional | Escriba la URL del IdP de SAML que se llamará si desea que el usuario de Ops Manager cierre la sesión de su IdP cuando cierre la sesión de Ops Manager. Este es el SAML Logout URL de su IdP. | Ninguno |
Certificado del proveedor de identidad X509 | Requerido | Pegue el certificado X. de509 su IdP en este campo. El IdP proporciona el certificado en formato PEM. Asegúrese de incluir todo el contenido del certificado, comenzando por Este es el X.509 Certificate de su IdP. Este debe ser el mismo X.509 Certificate que utiliza para firmar respuestas y afirmaciones SAML. | Ninguno |
Algoritmo de firma del proveedor de identidad | Requerido | Seleccione el algoritmo utilizado para cifrar la firma enviada y recibida por el IdP. Los valores aceptados son:
Este es el Signature Algorithm de su IdP. | Ninguno |
Requerir aserciones cifradas | Opcional | Seleccione si su IdP cifra o no las afirmaciones que envía a Ops Manager. |
|
Grupo de propietarios de roles globales | Requerido | Escriba el nombre del grupo en el atributo "Miembro del grupo SAML" que tiene privilegios completos sobre esta implementación, incluyendo acceso total a todos los grupos y todos los permisos administrativos. Este grupo tiene el rol para esta instancia de Ops Agregó este grupo a su configuración de IdP como parte de sus requisitos previos. Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo. | Ninguno |
SAML Atributo para el nombre de usuario. | Requerido | Escriba el nombre del atributo SAML que contiene el nombre del usuario | Ninguno |
AtributoSAML para el apellido del usuario | Requerido | Escriba el nombre del atributo SAML que contiene el apellido del usuario | Ninguno |
AtributoSAML para correo electrónico de usuario | Requerido | Escriba el nombre del atributo SAML que contiene la dirección de correo electrónico del usuario. | Ninguno |
Atributo de miembrodel grupo SAML | Requerido | Escribe el nombre del atributo SAML que contiene la lista de grupos que usa Ops Manager para asignar roles a Proyectos y Organizaciones. |
|
Agregue cualquier configuración de IdP SAML opcional necesaria a Ops Manager.
Escriba los valores del IdP para los siguientes campos SAML:
Campo | Necesidad | Acción | predeterminado |
|---|---|---|---|
Ruta al archivo de clave PEM del certificado SP | Opcional | Escriba la ruta absoluta del archivo del certificado con formato PEMque el proveedor de servicios utiliza para firmar las solicitudes. Este certificado incluye las claves privada y pública. Si este campo se deja en blanco:
| Ninguno |
Contraseña para el archivo de clave PEM del certificado SP | Condicional | Si cifró la clave privada en su archivo SP PEM, escriba su contraseña en este campo. | Ninguno |
Rol de administrador de automatización global | Opcional | Escriba el nombre del grupo cuyos miembros tienen el Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo. | Ninguno |
Rol de administrador de copias de seguridad globales | Opcional | Escriba el nombre del grupo cuyos miembros tienen el Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo. | Ninguno |
Rol de administrador de monitoreo global | Opcional | Escriba el nombre del grupo cuyos miembros tienen el Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo. | Ninguno |
Rol de administrador de usuarios global | Opcional | Escriba el nombre del grupo cuyos miembros tienen el Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo. | Ninguno |
Rol de solo lectura global | Opcional | Escriba el nombre del grupo cuyos miembros tienen el Este valor debe coincidir con el valor del atributo de miembro del grupo enviado en la respuesta SAML. Si usa Azure AD como IdP, introduzca el id. de objeto del grupo en este campo en lugar del nombre del grupo. | Ninguno |
Asociar grupos SAML con roles de proyecto.
Para asociar grupos SAML con roles en un nuevo proyecto:
Nota
Debes tener algún rol global para crear un nuevo proyecto.
Haga clic en Admin > General > Projects.
Haga clic en Create a New Project.
En Project Name, escriba un nombre para el nuevo proyecto de Ops Manager.
Introduzca los grupos SAML que corresponden a cada rol del proyecto.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Add Project.
Para actualizar la asociación de grupos SAML con roles en un proyecto existente:
Haga clic en Admin > General > Projects.
En la Actions columna de un proyecto, haga clic Edit SAML Settingsen y luego haga clic en.
Introduzca los grupos SAML que corresponden a cada rol del proyecto.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Save Changes.
Opcional: asociar grupos SAML con roles de la organización.
Para asociar grupos SAML con roles para una nueva organización:
Nota
Debes tener algún rol global para crear una nueva organización.
Haga clic en Admin > General > Organizations.
Haga clic en Create a New Organization.
En Organization Name, escriba un nombre para la nueva organización de Ops Manager.
Introduzca los grupos SAML que corresponden a cada rol de la organización.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Add Organization.
Para actualizar la asociación de grupos SAML con roles para una organización existente:
Haga clic en Admin > General > Organizations.
Haga clic en el botón Edit Org.
Introduzca los grupos SAML que corresponden a cada rol de la organización.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Save Changes.
Agregue sus implementaciones de MongoDB.
Especifique la configuración de autenticación SAML al agregar una implementación de MongoDB.
Exporte sus metadatos de Ops Manager.
Después de guardar la configuración de SAML, Download the Metadata XML File aparece un enlace a.
Haga clic en este enlace para descargar el archivo XML de metadatos SAML SP.
Este archivo de metadatos debería verse similar a este ejemplo:
1 <?xml version="1.0"?> 2 <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a"> 3 <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> 4 <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/> 5 <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> 6 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/> 7 </md:SPSSODescriptor> 8 </md:EntityDescriptor>
Importa los metadatos SP de proveedor de identidad.
Si su proveedor de identidad (IdP) ofrece esta opción, importe sus metadatos. Ops Manager actúa como proveedor de servicios (SP) para su IdP.
Proporcione los siguientes valores en el archivo XML de metadatos al IdP:
Campo | Valor común |
|---|---|
SP Entity ID or Issuer |
|
Audience URI |
|
Assertion Consumer Service (ACS) URL |
|
Single Logout URL |
|
Si falta uno o más de estos valores, utilice las pautas enumeradas en la tabla anterior para establecer esos valores.
Guarde estos valores en su IdP.