SSO-Verbund konfigurieren
Single Sign-On (SSO)-Verbund ermöglicht es Ihren Benutzern, sich mit ihrem bestehenden Identitätsanbieter (IdP) bei VaultPAM anzumelden. VaultPAM leitet SSO über Keycloak weiter, und der Upstream-Anbieter wird dort konfiguriert. VaultPAM verwendet für diesen Ablauf keinen SAML-Metadaten-Upload.
Voraussetzungen
- VaultPAM: Org-Admin-Rolle
- Identitätsanbieter: Admin-Zugriff in Ihrem Entra-ID-Mandanten oder Ihrer Okta-Organisation
- Keycloak: Zugriff auf den Realm, der die Anmeldung in Ihrer Umgebung vermittelt
- Protokoll: OIDC / OAuth 2.0, unterstützt von Ihrem IdP und Keycloak
Microsoft Entra ID (Azure AD)
Dieses Verfahren verwendet OIDC über Keycloak. Erstellen Sie in Azure eine OAuth-2.0-App-Registrierung, keine SAML-Unternehmensanwendung.
- Gehen Sie im Azure-Portal zu Entra ID > App-Registrierungen > Neue Registrierung.
- Benennen Sie die Anwendung VaultPAM, wählen Sie den Kontotyp, der zu Ihrer Mandantengrenze passt, und registrieren Sie sie.
- Fügen Sie die Keycloak-Broker-Weiterleitungs-URI für Ihre Umgebung hinzu. Verwenden Sie die Callback-URL für Realm und Anbieter, zum Beispiel
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Erstellen Sie ein Client-Geheimnis und notieren Sie die Anwendungs-(Client-)ID, die Verzeichnis-(Mandanten-)ID und den Wert des Client-Geheimnisses.
- Öffnen Sie in der Keycloak-Administrationskonsole den Realm, der die Anmeldung in Ihrer Umgebung vermittelt, und fügen Sie den Microsoft-OIDC-Identitätsanbieter hinzu oder aktualisieren Sie ihn mit der Azure-Issuer-/Discovery-URL, der Client-ID, dem Client-Geheimnis und der Mandantenbeschränkung.
- Speichern Sie die IdP-Konfiguration und testen Sie die Anmeldung auf der VaultPAM-Anmeldeseite.
- Bestätigen Sie, dass der Login abgeschlossen wird und der Benutzer nach der Keycloak-Weiterleitung in VaultPAM landet.
Erfolgszustand: Benutzer aus dem zugelassenen Entra-ID-Mandanten können sich über Keycloak mit ihren Microsoft-Zugangsdaten bei VaultPAM anmelden.
Okta
Dieses Verfahren verwendet ebenfalls OIDC über Keycloak. Erstellen Sie in Okta eine OIDC-App-Integration, keine SAML-Integration.
- Gehen Sie in der Okta Admin-Konsole zu Applications > Applications > App Integration erstellen.
- Wählen Sie OIDC - OpenID Connect, wählen Sie Web Application und klicken Sie auf Weiter.
- Benennen Sie die Anwendung VaultPAM und fügen Sie die Keycloak-Broker-Weiterleitungs-URI für Ihre Umgebung hinzu.
- Notieren Sie die von Okta angezeigte Client ID, das Client Secret und die Issuer-URL.
- Öffnen Sie in der Keycloak-Administrationskonsole den Okta-OIDC-Identitätsanbieter und fügen Sie diese Werte sowie die erforderlichen Claim- oder Domain-Restriktionen hinzu oder aktualisieren Sie sie.
- Speichern Sie die IdP-Konfiguration und testen Sie die Anmeldung auf der VaultPAM-Anmeldeseite.
Erfolgszustand: Zugewiesene Okta-Benutzer können sich über Keycloak bei VaultPAM anmelden, und das Audit-Log zeichnet die SSO-authentifizierte Sitzung auf.
Wenn Benutzer einen Authentifizierungsfehler erhalten oder zur Anmeldeseite zurückgeleitet werden, finden Sie unter SSO-Anmeldung schlägt fehl häufige Ursachen und Lösungen.