Παράλειψη στο κύριο περιεχόμενο

Ρύθμιση SSO federation

Το single sign-on (SSO) federation επιτρέπει στους χρήστες σας να συνδεθούν στο VaultPAM χρησιμοποιώντας τον υπάρχοντα πάροχο ταυτότητας (IdP). Το VaultPAM δρομολογεί το SSO μέσω Keycloak, και ο upstream provider ρυθμίζεται εκεί. Το VaultPAM δεν χρησιμοποιεί ανεβάσματα μεταδεδομένων SAML για αυτή τη ροή.

Προαπαιτούμενα

  • VaultPAM: Ρόλος Org Admin
  • Identity provider: Πρόσβαση διαχειριστή στον μισθωτή Entra ID ή την οργάνωση Okta
  • Keycloak: Πρόσβαση στο realm που διαμεσολαβεί την σύνδεση για το περιβάλλον σας
  • Πρωτόκολλο: OIDC / OAuth 2.0 υποστηριζόμενα από τον IdP και Keycloak σας

Microsoft Entra ID (Azure AD)

Αυτή η διαδικασία χρησιμοποιεί OIDC μέσω Keycloak. Δημιουργήστε μια εγγραφή εφαρμογής OAuth 2.0 στο Azure, όχι μια εφαρμογή enterprise SAML.

  1. Στο Azure portal, μεταβείτε στο Entra ID > App registrations > New registration.
  2. Ονομάστε την εφαρμογή VaultPAM, επιλέξτε τον τύπο λογαριασμού που ταιριάζει με το όριό του μισθωτή σας και καταχωρήστε την.
  3. Προσθέστε το Keycloak broker redirect URI για το περιβάλλον σας. Χρησιμοποιήστε το callback URL για το realm και τον provider, για παράδειγμα https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint.
  4. Δημιουργήστε ένα client secret και καταγράψτε το Application (client) ID, το Directory (tenant) ID και την τιμή του client secret.
  5. Στη Keycloak admin console, ανοίξτε το realm που διαμεσολαβεί την σύνδεση για το περιβάλλον σας και προσθέστε ή ενημερώστε τον πάροχο ταυτότητας Microsoft OIDC με το Azure issuer ή discovery URL, το client ID, το client secret και τον περιορισμό μισθωτή.
  6. Αποθηκεύστε τη ρύθμιση IdP και δοκιμάστε την σύνδεση από τη σελίδα σύνδεσης VaultPAM.
  7. Επιβεβαιώστε ότι η σύνδεση ολοκληρώνεται και ο χρήστης προσγειώνεται στο VaultPAM μετά την ανακατεύθυνση Keycloak.

Κατάσταση επιτυχίας: Οι χρήστες από τον επιτρεπόμενο μισθωτή Entra ID μπορούν να συνδεθούν στο VaultPAM μέσω Keycloak με τα διαπιστευτήρια Microsoft.


Okta

Αυτή η διαδικασία χρησιμοποιεί επίσης OIDC μέσω Keycloak. Δημιουργήστε μια ολοκλήρωση εφαρμογής OIDC στο Okta, όχι μια ολοκλήρωση SAML.

  1. Στο Okta Admin Console, μεταβείτε στο Applications > Applications > Create App Integration.
  2. Επιλέξτε OIDC - OpenID Connect, επιλέξτε Web Application και κάντε κλικ στο Next.
  3. Ονομάστε την εφαρμογή VaultPAM και προσθέστε το Keycloak broker redirect URI για το περιβάλλον σας.
  4. Καταγράψτε το Client ID, το Client Secret και το issuer URL που εμφανίζει το Okta.
  5. Στη Keycloak admin console, προσθέστε ή ενημερώστε τον πάροχο ταυτότητας Okta OIDC με αυτές τις τιμές και τυχόν απαιτούμενους περιορισμούς κατακόρυφης ή τομέα.
  6. Αποθηκεύστε τη ρύθμιση IdP και δοκιμάστε την σύνδεση από τη σελίδα σύνδεσης VaultPAM.

Κατάσταση επιτυχίας: Οι ανατεθειμένοι χρήστες Okta μπορούν να συνδεθούν στο VaultPAM μέσω Keycloak και το Audit Log καταγράφει την περίοδο σύνδεσης με έλεγχο ταυτότητας SSO.


Αντιμετώπιση προβλημάτων SSO

Εάν οι χρήστες λάβουν σφάλμα ταυτοποίησης ή ανακατευθυνθούν στη σελίδα σύνδεσης, δείτε SSO login failing για κοινές αιτίες και διορθώσεις.

Σχετικά άρθρα