Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

Configurar usuarios de Ops Manager para SAML autenticación

Puede usar un Proveedor de Identidad (IdP) que ejecute el servicio de Lenguaje de marcado de aserciones de seguridad (SAML) para gestionar la autenticación y autorización de usuarios de Ops Manager. Cuando intentas navegar a Ops Manager sin una sesión autenticada, Ops Manager te envía al proveedor de identidad donde inicias sesión. Después de autenticarte, regresas a la aplicación Ops Manager.

Este tutorial describe cómo:

  • Configure la autenticación SAML para Ops Manager

  • Asignar grupos SAML a Ops Manager Roles de organización y roles de proyecto.

Considerations

Los usuarios siguen autenticados después de la activación de SAML

Una vez que cambies tu instancia de Ops Manager para usar la autenticación SAML, todos los usuarios permanecen conectados durante la sesión actual. Después del cambio de autenticación, los usuarios que intenten iniciar sesión en Ops Manager serán redirigidos al SAML proveedor de identidad.

Configuración de dos etapas

Se aplica cierta lógica circular al configurar una instancia de SAML. Para crear una integración funcional:

  • El proveedor de identidad necesita valores del Proveedor de Servicios y

  • El proveedor de servicios necesita valores del proveedor de identidad.

Para iniciar esta integración, sigue los requisitos previos y luego el procedimiento de este tutorial.

Requisitos previos

Para configurar la integración de SAML, debe realizar las siguientes acciones para su SAML proveedor de identidad:

  1. Instale su SAML proveedor de identidad.

  2. Verifica que tu instancia de Ops Manager pueda acceder a tu Proveedor de Identidad (IdP) a través de la red.

  3. En el SAML proveedor de identidad, debe:

    1. Crea un usuario de SAML que se corresponda con tu Propietario global de Ops Manager.

    2. Cree un grupo SAML que pueda asociar a su Ops Manager Global Owner.

    3. Asigne el grupo Global Owner SAML a su usuario SAML.

    4. Cree una nueva aplicación para Ops Manager que represente a Ops Manager.

    5. Configura los valores iniciales de SAML de Ops Manager para esta nueva aplicación:

      1. Establezca valores de marcador de posición para los siguientes campos:

        • SP Entity ID or Issuer

        • Audience URI

        • Assertion Consumer Service (ACS) URL

      2. Establece valores reales para los siguientes campos en tu proveedor de identidad:

        Campo
        Valor común

        Signature Algorithm

        Su proveedor de identidad puede tener uno o más de los siguientes valores:

        • rsa-sha1

        • dsa-sha1

        • rsa-sha256

        • rsa-sha384

        • rsa-sha512

        Name ID

        Email Address

        Name ID Format

        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      3. Cree atributos con Nombres de atributos para los siguientes Valores de atributos:

        • Dirección de correo electrónico

        • Nombre

        • Apellidos

        • Grupos de Usuarios

      4. Configure su proveedor de identidad para que requiera respuestas y aserciones SAML firmadas.

      5. Guarde estos valores.

Procedimiento

Para configurar la autenticación SAML:

1

Inicie sesión en su proveedor de identidad.

2

Copy SAML IdP values.

Desde tu proveedor de identidad, haz clic en la aplicación de Ops Manager:

  1. Encuentra los valores de metadatos de Ops Manager.

  2. Copia los siguientes valores en un archivo temporal:

    • SAML Login URL

    • SAML Logout URL

    • X.509 Certificate (para el proveedor de identidad)

    • IdP Entity ID or Issuer

    • Signature Algorithm

3

Ve a la pestaña User Authentication de la página Ops Manager Config.

Abre la aplicación Ops Manager y navega a: Admin General Ops Manager Config User Authentication.

4

Configura la opción User Authentication en SAML.

5

Configure los valores requeridos de configuración de SAML proveedor de identidad en Ops Manager.

Escribe los valores del IdP para los siguientes campos SAML:

Campo
Necesidad
Acción
predeterminado

URI del proveedor de identidad

Requerido

Escribe el URI de tu proveedor de identidad que utilizas para coordinar tu inicio de sesión único.

Este URI es el IdP Entity ID or Issuer del SAML proveedor de identidad.

Este URI debe ser idéntico al Issuer URI de la respuesta SAML.

Ninguno

URL del endpoint SSO

Requerido

Escriba la URL de inicio de sesión único para su proveedor de identidad.

Esta URL es el SAML Login URL de tu proveedor de identidad.

Ninguno

SLO Endpoint URL

Opcional

Escriba la URL de SAML proveedor de identidad que desea utilizar para cerrar la sesión de un usuario de Ops Manager en su proveedor de identidad cuando un usuario de Ops Manager cierra su sesión de Ops Manager.

Esta es la SAML Logout URL de tu proveedor de identidad.

Ninguno

Certificado X509 del proveedor de identidad

Requerido

Pega el certificado X.509 de tu proveedor de identidad en este campo. El proveedor de identidad proporciona el certificado en formato PEM. Asegúrate de incluir todo el contenido del certificado, incluyendo y comenzando con -----BEGIN CERTIFICATE----- e incluyendo y terminando con -----END CERTIFICATE-----. Ops Manager utiliza este certificado para verificarse con el proveedor de identidad.

Esta es la X.509 Certificate de tu proveedor de identidad.

Este debe ser el mismo X.509 Certificate que se utiliza para firmar respuestas y aserciones SAML.

Ninguno

Algoritmo de Firma del Proveedor de Identidad

Requerido

Seleccione el algoritmo utilizado para cifrar la firma enviada desde y hacia el proveedor de identidad. Los valores aceptados son:

  • rsa-sha1

  • dsa-sha1

  • rsa-sha256

  • rsa-sha384

  • rsa-sha512

Esta es la Signature Algorithm de tu proveedor de identidad.

Ninguno

Requerir aserciones cifradas

Opcional

Seleccione si su proveedor de identidad cifra o no las aserciones que envía a Ops Manager.

false

Grupo Global de Propietarios de Roles

Requerido

Escriba el nombre del grupo en el atributo de nodo del grupo SAML que tenga privilegios completos sobre esta implementación, incluyendo acceso total a todos los grupos y todos los permisos administrativos. Este grupo tiene el rol de Global Owner para esta instancia de Ops Manager.

Has añadido este grupo a tus ajustes de proveedor de identidad como parte de tus requisitos previos.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

SAML Atributo para el nombre de usuario.

Requerido

Escriba el nombre del Atributo SAML que contiene el Primer Nombre del Usuario

Ninguno

SAML Atributo para el apellido del usuario

Requerido

Escriba el nombre del atributo SAML que contiene el apellido del usuario

Ninguno

SAML Atributo para el correo electrónico del usuario

Requerido

Escribe el nombre del atributo SAML que contiene la dirección de correo electrónico del usuario.

Ninguno

SAML Atributo de nodo de Grupo

Requerido

Escribe el nombre del atributo SAML que contiene la lista de grupos que usa Ops Manager para asignar roles a Proyectos y Organizaciones.

groups

6

Agrega cualquier ajuste opcional necesario de SAML proveedor de identidad a Ops Manager.

Escribe los valores del IdP para los siguientes campos SAML:

Campo
Necesidad
Acción
predeterminado

Ruta al archivo de clave PEM del certificado SP

Opcional

Escribe la ruta absoluta del archivo al certificado con formato PEMque el Proveedor de Servicios utiliza para firmar solicitudes. Este certificado incluye la clave privada y la llave pública.

Si este campo queda vacío:

  • Ops Manager no firma las solicitudes de autenticación SAML para el proveedor de identidad.

  • No puedes cifrar las aserciones SAML.

Ninguno

Contraseña para el archivo de clave PEM del certificado SP

Condicional

Si has cifrado la llave privada en tu archivo SP PEM, introduce su contraseña en este campo.

Ninguno

Rol de Administrador de Automatización Global

Opcional

Escriba el nombre del grupo cuyos nodos tienen el rol Global Automation Admin.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de administrador global de copias de seguridad

Opcional

Escriba el nombre del grupo cuyos nodos tienen el rol Global Backup Admin.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol de Administrador de supervisión Global

Opcional

Escriba el nombre del grupo cuyos nodos tienen el rol Global Monitoring Admin.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol global de administrador de usuarios

Opcional

Escriba el nombre del grupo cuyos nodos tienen el rol Global User Admin.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

Rol global de solo lectura

Opcional

Escriba el nombre del grupo cuyos nodos tienen el rol Global Read Only.

Este valor debe coincidir con el valor del atributo de nodo del grupo enviado en la respuesta SAML. Si utilizas Azure AD como tu proveedor de identidad, introduce el ID de objeto del grupo en este campo en lugar del nombre del grupo.

Ninguno

7

Haga clic en Save.

8

Iniciar sesión como propietario global.

Inicia sesión en Ops Manager como un usuario que forme parte del grupo SAML especificado en el campo Ops Manager SAML Global Role Owner.

Tras un inicio de sesión exitoso, Ops Manager muestra tu página de proyectos.

9

Asocia grupos SAML con roles de proyecto.

Para asociar grupos SAML a roles en un nuevo proyecto:

Nota

Debes tener cualquier rol global para crear un nuevo proyecto.

  1. Haga clic en Admin > General > Projects.

  2. Haga clic en Create a New Project.

  3. En Project Name, escribe un nombre para el nuevo proyecto de Ops Manager.

  4. Ingrese los grupos SAML que correspondan a cada rol del proyecto.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  5. Haga clic en Add Project.

Para actualizar la asociación de grupos SAML con roles en un proyecto existente:

  1. Haga clic en Admin > General > Projects.

  2. En la columna Actions de un proyecto, haz clic en y luego en Edit SAML Settings.

  3. Ingrese los grupos SAML que correspondan a cada rol del proyecto.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  4. Haga clic en Save Changes.

10

Opcional: Asocia grupos SAML con roles de la organización.

Para asociar grupos SAML con roles para una nueva organización:

Nota

Debes tener cualquier rol global para crear una nueva organización.

  1. Haga clic en Admin > General > Organizations.

  2. Haga clic en Create a New Organization.

  3. En Organization Name, escribe un nombre para la nueva organización de Ops Manager.

  4. Introduce los grupos SAML que correspondan a cada rol de organización.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  5. Haga clic en Add Organization.

Para actualizar la asociación de los grupos SAML con los roles de una organización existente:

  1. Haga clic en Admin > General > Organizations.

  2. Haga clic en el botón Edit Org.

  3. Introduce los grupos SAML que correspondan a cada rol de organización.

    Importante

    Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.

  4. Haga clic en Save Changes.

11

Agrega tus implementaciones de MongoDB.

Especifica la configuración de autenticación SAML al añadir una implementación de MongoDB.

12

Exporta tus metadatos de Ops Manager.

Después de guardar la configuración de SAML, aparece un enlace a Download the Metadata XML File.

Haga clic en este enlace para descargar el archivo XML de metadatos SAML SP.

Este archivo de metadatos debe verse similar a este ejemplo:

1<?xml version="1.0"?>
2<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3  <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4    <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7  </md:SPSSODescriptor>
8</md:EntityDescriptor>
13

Importa los metadatos SP de proveedor de identidad.

Si tu proveedor de identidad ofrece esa opción, importa tus metadatos en el proveedor de identidad. Ops Manager actúa como el Proveedor de Servicios (SP) para tu proveedor de identidad.

Proporcione los siguientes valores en el archivo de XML de metadatos para proveedor de identidad:

Campo
Valor común

SP Entity ID or Issuer

<OpsManagerHost>:<Port>

Audience URI

<OpsManagerHost>:<Port>

Assertion Consumer Service (ACS) URL

<OpsManagerHost>:<Port>/saml/assert

Single Logout URL

<OpsManagerHost>:<Port>/saml/logout

Si faltan uno o más de estos valores, use las pautas enumeradas en la tabla anterior para establecer esos valores.

Guarda estos valores en tu proveedor de identidad.

14

Prueba la integración SAML entre Ops Manager y tu proveedor de identidad.

  1. En una ventana privada del navegador, ve a tu instancia de Ops Manager.

    Se te redirige a tu proveedor de identidad.

  2. Autentícate con tu proveedor de identidad.

    Luego se le redirige a su instancia de Ops Manager.

Volver

Configurar LDAP

Next

Configurar OIDC

En esta página