Vai al contenuto principale

Configura federazione SSO

La federazione single sign-on (SSO) consente agli utenti di accedere a VaultPAM utilizzando il provider di identità (IdP) esistente. VaultPAM instrada l'SSO attraverso Keycloak, e il provider upstream viene configurato lì. VaultPAM non utilizza caricamenti di metadati SAML per questo flusso.

Prerequisiti

  • VaultPAM: ruolo Org Admin
  • Provider di identità: accesso amministrativo nel tenant Entra ID o nell'organizzazione Okta
  • Keycloak: accesso al realm che gestisce l'accesso per il tuo ambiente
  • Protocollo: OIDC / OAuth 2.0 supportati dal tuo IdP e da Keycloak

Microsoft Entra ID (Azure AD)

Questa procedura utilizza OIDC attraverso Keycloak. Crea una registrazione app OAuth 2.0 in Azure, non un'applicazione enterprise SAML.

  1. Nel portale Azure, accedi a Entra ID > Registrazioni app > Nuova registrazione.
  2. Assegna all'applicazione il nome VaultPAM, scegli il tipo di account che corrisponde ai limiti del tuo tenant e registrala.
  3. Aggiungi l'URI di reindirizzamento del broker Keycloak per il tuo ambiente. Utilizza l'URL di callback per il realm e il provider, ad esempio https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint.
  4. Crea un segreto client e annota l'ID applicazione (client), l'ID directory (tenant) e il valore del segreto client.
  5. Nella console di amministrazione di Keycloak, apri il realm che gestisce l'accesso per il tuo ambiente e aggiungi o aggiorna il provider di identità OIDC Microsoft con l'issuer Azure o l'URL di discovery, l'ID client, il segreto client e la restrizione del tenant.
  6. Salva la configurazione dell'IdP e testa l'accesso dalla pagina di login di VaultPAM.
  7. Conferma che l'accesso si completa e che l'utente atterra in VaultPAM dopo il reindirizzamento di Keycloak.

Stato di successo: Gli utenti dal tenant Entra ID consentito possono accedere a VaultPAM attraverso Keycloak con le loro credenziali Microsoft.


Okta

Questa procedura utilizza anch'essa OIDC attraverso Keycloak. Crea un'integrazione app OIDC in Okta, non un'integrazione SAML.

  1. Nella console di amministrazione Okta, accedi a Applications > Applications > Create App Integration.
  2. Seleziona OIDC - OpenID Connect, scegli Web Application e fai clic su Next.
  3. Assegna all'applicazione il nome VaultPAM e aggiungi l'URI di reindirizzamento del broker Keycloak per il tuo ambiente.
  4. Annota l'ID client, il segreto client e l'URL issuer mostrati da Okta.
  5. Nella console di amministrazione di Keycloak, aggiungi o aggiorna il provider di identità OIDC Okta con questi valori e eventuali restrizioni di claim o dominio richieste.
  6. Salva la configurazione dell'IdP e testa l'accesso dalla pagina di login di VaultPAM.

Stato di successo: Gli utenti Okta assegnati possono accedere a VaultPAM attraverso Keycloak e l'Audit Log registra la sessione autenticata tramite SSO.


Risoluzione dei problemi SSO

Se gli utenti ricevono un errore di autenticazione o vengono reindirizzati alla pagina di login, consulta SSO login failing per le cause comuni e le soluzioni.

Articoli correlati