/ /

Segurança

Página inicial do Docs

Gestão

Ops Manager

Segurança

Página inicial do Docs

Gestão

Ops Manager

Segurança

Configure Ops Manager Users for AutenticaçãoOIDC

Visão geral

Você pode usar o OpenID Connect (OIDC) para gerenciar a autenticação e a autorização de usuários do Ops Manager com um provedor de identidade (IdP) externo. Quando você tenta acessar o Ops Manager sem uma sessão autenticada, o Ops Manager redireciona você para o seu provedor de identidade para conectar. Depois de autenticar, você retorna ao Ops Manager.

Este tutorial descreve como:

Configure a autenticação do OIDC para o Ops Manager.
Mapear grupos OIDC para Funções de organização do Ops Manager e Funções de organização e Funções de projeto.
Gerencie mapeamentos de função de projeto e organização com a API pública.

Considerações

Usar HTTPS para OIDC

O HTTPS é altamente recomendado para o Ops Manager em geral, e especialmente para o OIDC. Algumas integrações de provedor de identidade podem não funcionar corretamente se o Ops Manager não usar HTTPS.

Pré-requisitos

Para configurar a integração do OIDC, você deve executar as seguintes ações em seu IdP:

Crie um aplicativo cliente para o Ops Manager.

Adicione a URL do Ops Manager à lista de URIs de redirecionamento permitidos.

(Condicional) Crie um usuário que mapeie para seu Ops Manager Global Owner.

Esta etapa é necessária somente se você precisar manter o mesmo usuário.

Crie um grupo para a `Global Owner` função e adicione o usuário a ele.

Crie grupos para outras funções, conforme necessário.

Procedimento

Para configurar a autenticação OIDC:

Selecione OIDC como método de autenticação.

No Ops Manager:

Clique em Admin, General, Ops Manager Config, User Authentication.
Defina a opção User Authentication Method como OIDC.

Configure as configurações de conexão OIDC.

Especifique valores para os campos obrigatórios e, em seguida, defina campos opcionais conforme necessário.

A tabela a seguir mapeia os campos da IU do Ops Manager para os campos do arquivo de configuração.

campo de IU do Ops Manager	campo de arquivo de configuração	Obrigatório	Descrição
Issuer URI	`mms.oidc.issuer.uri`	Sim	Issuer URI ou URL do documento de descoberta de metadados do OIDC.
Client ID	`mms.oidc.client.id`	Sim	Identificador do cliente atribuído ao Ops Manager pelo provedor de identidade.
Client Secret	`mms.oidc.client.secret`	Sim	Segredo do cliente atribuído ao Ops Manager pelo provedor de identidade.
Custom CA Certificate (PEM)	`mms.oidc.customCaCertificate`	No	Certificado ou certificados de CA codificados por PEM em que confiar ao conectar-se ao IdP. Use isso quando o seu IdP usar um certificado de CA autoassinado ou privado. Você pode concatenar vários certificados.
Enable PKCE (Proof Key for Code Exchange)	`mms.oidc.pkce.enabled`	Sim	Ativação do PKCE para o fluxo de código de autorização . Recomendado e habilitado por padrão. Desative somente se o seu IdP não suportar PKCE para clientes confidenciais. Valor`true` padrão:.
Requested Scopes	`mms.oidc.requestedScopes`	No	Lista de escopo que o Ops Manager solicita do ponto de extremidade de autorização.
Service Provider Base URL	`mms.oidc.sp.baseUrl`	No	URL base para o provedor de serviços OIDC. Se você não definir esse valor, o Ops Manager usará `mms.centralUrl`. Use isso quando precisar de URLs diferentes para acessar o Ops Manager.
Global Role Owner Groups	`mms.oidc.global.role.owner`	Sim	Lista separada por vírgulas de grupos de provedor de identidade cujos membros recebem a função Proprietário global. Os Proprietários Globais têm privilégios completos sobre esta implantação, incluindo todas as permissões administrativas.
Global Automation Admin Groups	`mms.oidc.global.role.automationAdmin`	No	Lista separada por vírgulas de grupos de provedor de identidade cujos membros recebem a função de Administrador de automação global.
Global Backup Admin Groups	`mms.oidc.global.role.backupAdmin`	No	Lista separada por vírgulas de grupos de provedor de identidade cujos membros recebem a função de Administrador de Backup Global.
Global Monitoring Admin Groups	`mms.oidc.global.role.monitoringAdmin`	No	Lista separada por vírgulas de grupos de provedor de identidade cujos membros recebem a função de Administrador de Monitoramento Global.
Global User Admin Groups	`mms.oidc.global.role.userAdmin`	No	Lista separada por vírgulas de grupos de provedor de identidade cujos membros recebem a função de Administrador de Usuário Global.
Global Read Only Groups	`mms.oidc.global.role.readOnly`	No	Lista separada por vírgula de grupos provedor de identidade cujos membros recebem a função Global de Somente Leitura.
OIDC Claim for User First Name	`mms.oidc.user.claims.firstName`	No	Declaração que contém o nome do usuário. Valor padrão: `given_name`.
OIDC Claim for User Last Name	`mms.oidc.user.claims.lastName`	No	Declaração que contém o sobrenome do usuário. Valor padrão: `family_name`.
OIDC Claim for User Email	`mms.oidc.user.claims.email`	No	Reclamação que contém o endereço de e-mail do usuário. Valor padrão: `email`.
OIDC Claim for Group Member	`mms.oidc.group.claims.member`	No	Reivindicação que contém a lista de grupos que o Ops Manager usa para mapear funções para projetos e organizações. Valor padrão: `groups`.

Mapear grupos OIDC para funções de organização e projeto.

Associar grupos OIDC a funções da organização e de projeto na IU do Ops Manager.

Observação

Se você migrar do SAML para o OIDC, o Ops Manager preservará seus mapeamentos existentes.

Como funcionam os mapeamentos de funções

Os mapeamentos de função OIDC funcionam da mesma forma que os mapeamentos de função SAML. Você mapeia grupos de provedor de identidade para funções de Ops Manager para organizações e projetos. Quando um usuário se conecta, o Ops Manager atribui funções com base na associação de grupo do usuário.

Mapeamentos de funções da organização

Os mapeamentos de funções da organização associam grupos de provedor de identidade a funções da organização.

Os campos de mapeamento da organização incluem:

Grupos OIDC para função de proprietário da organização
Grupos OIDC para função de criador de projeto de organização
Grupos OIDC para a função de somente leitura da organização
Grupos OIDC para função de nó da organização

Mapeamentos de função do projeto

Os mapeamentos de funções do projeto associam grupos IdP a funções do projeto .

Os campos de mapeamento do projeto incluem:

Grupos OIDC para a função de proprietário do projeto
Grupos OIDC para função Somente leitura
Grupos OIDC para função de administrador de automação
Grupos OIDC para função de administrador de backup
Grupos OIDC para monitorar função de administrador
Grupos OIDC para função de administrador do usuário
Grupos OIDC para função de administrador de acesso aos dados
Grupos OIDC para função de leitura e gravar acesso aos dados
Grupos OIDC para função Somente leitura de acesso aos dados

Gerencie mapeamentos de função com a API pública

Você pode gerenciar mapeamentos de função de provedor de identidade programaticamente usando o campo idpGroupMappings nas seguintes APIs públicas:

Obter organizações.
- Obter todas as organizações
- Obter uma organização
Obter projetos.
Criar e atualizar organizações.
- Criar uma organização
- Atualizar uma organização
Criar e atualizar projetos.
- Criar um projeto
- Atualizar um projeto

O idpGroupMappings campo é uma array que mapeia as funções do Ops Manager para grupos de IdP.

{
  "idpGroupMappings": [
    {
      "idpGroups": [
        "name_of_your_idp_group",
        "another_name_of_idp_group"
      ],
      "roleName": "GROUP_USER_ADMIN"
    }
  ]
}

Os seguintes valores são válidos para a organização roleName:

ORG_OWNER
ORG_GROUP_CREATOR
ORG_BILLING_ADMIN
ORG_READ_ONLY
ORG_MEMBER

Os seguintes valores são válidos para o projeto roleName:

GROUP_OWNER
GROUP_READ_ONLY
GROUP_AUTOMATION_ADMIN
GROUP_BACKUP_ADMIN
GROUP_MONITORING_ADMIN
GROUP_USER_ADMIN
GROUP_BILLING_ADMIN
GROUP_DATA_ACCESS_ADMIN
GROUP_DATA_ACCESS_READ_ONLY
GROUP_DATA_ACCESS_READ_WRITE
GROUP_CHARTS_ADMIN
GROUP_CLUSTER_MANAGER
GROUP_SEARCH_INDEX_EDITOR

desconexão do backchannel

O Ops Manager oferece suporte ao logout do backchannel do OIDC. Quando seu provedor de identidade envia um token de desconectar, o Ops Manager invalida a sessão do usuário.

Endpoint

POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout

Solicitar

Envie uma solicitação codificada em formulário com o parâmetro logout_token contendo um JWT assinado.

Requisitos

Inclua uma reivindicação válida de sub (assunto).
Você pode incluir a reivindicação sid (ID da sessão) para invalidação de sessão direcionada.

O Ops Manager não suporta desconectar iniciado pelo provedor de serviços. Para desconectar, os usuários devem desconectar do provedor de identidade.

Voltar

Configurar SAML

Proteger com autenticação

Visão geral

Considerações

Usar HTTPS para OIDC

Pré-requisitos

Crie um aplicativo cliente para o Ops Manager.

(Condicional) Crie um usuário que mapeie para seu Ops Manager .leafygreen-ui-8n27nz{font-style:normal;font-weight:700;}Global Owner.

Crie grupos para outras funções, conforme necessário.

Procedimento

Selecione OIDC como método de autenticação.

Configure as configurações de conexão OIDC.

Mapear grupos OIDC para funções de organização e projeto.

Observação

Como funcionam os mapeamentos de funções

Mapeamentos de funções da organização

Mapeamentos de função do projeto

Gerencie mapeamentos de função com a API pública

desconexão do backchannel

Endpoint

Solicitar

Requisitos

(Condicional) Crie um usuário que mapeie para seu Ops Manager Global Owner.