Visão geral
Você pode usar o OpenID Connect (OIDC) para gerenciar a autenticação e a autorização de usuários do Ops Manager com um provedor de identidade (IdP) externo. Quando você tenta acessar o Ops Manager sem uma sessão autenticada, o Ops Manager redireciona você para o seu IdP para fazer login. Depois de autenticar, você retorna ao Ops Manager.
Este tutorial descreve como:
Configure a autenticação do OIDC para o Ops Manager.
Mapear grupos OIDC para Roles de organização do Ops Manager e Roles de projeto.
Gerencie mapeamentos de função de projeto e organização com a API pública.
Considerações
Usar HTTPS para OIDC
O HTTPS é altamente recomendado para o Ops Manager em geral, e especialmente para o OIDC. Algumas integrações de IdP podem não funcionar corretamente se o Ops Manager não usar HTTPS.
Pré-requisitos
Para configurar a integração do OIDC, você deve executar as seguintes ações em seu IdP:
Procedimento
Para configurar a autenticação OIDC:
Defina as configurações de conexão do OIDC.
Especifique valores para os campos obrigatórios e, em seguida, defina campos opcionais conforme necessário.
A tabela a seguir mapeia os campos da interface do usuário do Ops Manager para os campos do arquivo de configuração.
campo de interface do usuário do Ops Manager | campo de arquivo de configuração | Obrigatório | Descrição |
|---|---|---|---|
Issuer URI |
| Sim | URI do emissor ou URL do documento de descoberta de metadados do OIDC . |
Client ID |
| Sim | Identificador do cliente atribuído ao Ops Manager pelo IdP. |
Client Secret |
| Sim | Segredo do cliente atribuído ao Ops Manager pelo IdP. |
Custom CA Certificate (PEM) |
| No | Certificado ou certificados de CA codificados por PEM em que confiar ao conectar-se ao IdP. Use isso quando o seu IdP usar um certificado de CA autoassinado ou privado. Você pode concatenar vários certificados. |
Enable PKCE (Proof Key for Code Exchange) |
| Sim | Ativação do PKCE para o fluxo de código de autorização . Recomendado e habilitado por padrão. Desative somente se o seu IdP não suportar PKCE para clientes confidenciais. Valor |
Requested Scopes |
| No | Lista de escopo que o gerente de operações solicita do endpoint de autorização . |
Service Provider Base URL |
| No | URL base para o provedor de serviços OIDC. Se você não definir esse valor, o Ops Manager |
Global Role Owner Groups |
| Sim | Lista separada por vírgulas de grupos IdP cujos membros recebem a função Proprietário global. Os Proprietários Globais têm privilégios completos sobre esta implantação, incluindo todas as permissões administrativas. |
Global Automation Admin Groups |
| No | Lista separada por vírgulas de grupos IdP cujos membros recebem a função de Administrador de automação global. |
Global Backup Admin Groups |
| No | Lista separada por vírgulas de grupos IdP cujos membros recebem a função de Administrador de Backup Global. |
Global Monitoring Admin Groups |
| No | Lista separada por vírgulas de grupos IdP cujos membros recebem a função de Administrador de Monitoramento Global. |
Global User Admin Groups |
| No | Lista separada por vírgulas de grupos IdP cujos membros recebem a função de Administrador de Usuário Global. |
Global Read Only Groups |
| No | Lista separada por vírgulas de grupos IdP cujos membros recebem a função Global de Somente Leitura. |
OIDC Claim for User First Name |
| No | Declaração que contém o nome do usuário. Valor padrão: |
OIDC Claim for User Last Name |
| No | Declaração que contém o sobrenome do usuário. Valor padrão: |
OIDC Claim for User Email |
| No | Reclamação que contém o endereço de e-mail do usuário. Valor padrão: |
OIDC Claim for Group Member |
| No | Reivindicação que contém a lista de grupos que o Ops Manager usa para mapear funções para projetos e organizações. Valor padrão: |
Como funcionam os mapeamentos de funções
Os mapeamentos de funçãoOIDC funcionam da mesma forma que os mapeamentos de função SAML. Você mapeia grupos de IdP para roles de Ops Manager para organizações e projetos. Quando um usuário faz login, o Ops Manager atribui roles com base na associação de grupo do usuário.
Mapeamentos de funções da organização
Os mapeamentos de funções da organização associam grupos IdP a funções da organização .
Os campos de mapeamento da organização incluem:
Grupos OIDC para função de proprietário da organização
Grupos OIDC para role de criador de projeto de organização
Grupos OIDC para a função de somente leitura da organização
Grupos OIDC para role de membro da organização
Mapeamentos de role do projeto
Os mapeamentos de funções do projeto associam grupos IdP a funções do projeto .
Os campos de mapeamento do projeto incluem:
Grupos OIDC para a função de proprietário do projeto
Grupos OIDC para role Somente leitura
Grupos OIDC para função de administrador de automação
Grupos OIDC para função de administrador de backup
Grupos OIDC para monitorar função de administrador
Grupos OIDC para função de administrador do usuário
Grupos OIDC para função de administrador de acesso a dados
Grupos OIDC para role de leitura e gravação de acesso a dados
Grupos OIDC para role Somente leitura de acesso a dados
Gerencie mapeamentos de função com a API pública
Você pode gerenciar mapeamentos de função IdP programaticamente usando o idpGroupMappings campo nas seguintes APIs públicas:
Obter organizações.
Obter projetos.
Criar e atualizar organizações.
Criar e atualizar projetos.
O idpGroupMappings campo é uma array que mapeia as funções do Ops Manager para grupos de IdP.
{ "idpGroupMappings": [ { "idpGroups": [ "name_of_your_idp_group", "another_name_of_idp_group" ], "roleName": "GROUP_USER_ADMIN" } ] }
Os seguintes valores são válidos para a organização roleName:
ORG_OWNERORG_GROUP_CREATORORG_BILLING_ADMINORG_READ_ONLYORG_MEMBER
Os seguintes valores são válidos para o projeto roleName:
GROUP_OWNERGROUP_READ_ONLYGROUP_AUTOMATION_ADMINGROUP_BACKUP_ADMINGROUP_MONITORING_ADMINGROUP_USER_ADMINGROUP_BILLING_ADMINGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CHARTS_ADMINGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITOR
Desconexão do backchannel
O Ops Manager oferece suporte ao logout do backchannel do OIDC. Quando seu IdP envia um token de logout, o Ops Manager invalida a sessão do usuário.
Endpoint
POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout
Solicitar
Envie uma solicitação codificada em formulário com o parâmetro logout_token contendo um JWT assinado.
Requisitos
Inclua uma reivindicação válida de
sub(assunto).Você pode incluir a reivindicação
sid(ID da sessão) para invalidação de sessão direcionada.
O Ops Manager não suporta logout iniciado pelo provedor de serviços. Para sair, os usuários devem sair do IdP.