Przejdź do głównej zawartości

Konfiguracja federacji SSO

Federacja logowania jednokrotnego (SSO) pozwala użytkownikom logować się do VaultPAM przy użyciu istniejącego dostawcy tożsamości (IdP). VaultPAM przekierowuje SSO przez Keycloak, a dostawca nadrzędny jest tam konfigurowany. VaultPAM nie używa przesyłania metadanych SAML dla tego przepływu.

Wymagania wstępne

  • VaultPAM: rola Administratora Org
  • Dostawca tożsamości: dostęp administratora do swojego najemcy Entra ID lub organizacji Okta
  • Keycloak: dostęp do realm, który pośredniczy w logowaniu w Twoim środowisku
  • Protokół: OIDC / OAuth 2.0 obsługiwane przez Twój IdP i Keycloak

Microsoft Entra ID (Azure AD)

Ta procedura używa OIDC przez Keycloak. Utwórz rejestrację aplikacji OAuth 2.0 w Azure, a nie aplikację korporacyjną SAML.

  1. W portalu Azure przejdź do Entra ID > Rejestracje aplikacji > Nowa rejestracja.
  2. Nazwij aplikację VaultPAM, wybierz typ konta odpowiadający granicy najemcy i zarejestruj ją.
  3. Dodaj URI przekierowania brokera Keycloak dla swojego środowiska. Użyj URL zwrotnego dla realm i dostawcy, na przykład https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint.
  4. Utwórz sekret klienta i zanotuj ID aplikacji (klienta), ID katalogu (najemcy) i wartość sekretu klienta.
  5. W konsoli administracyjnej Keycloak otwórz realm pośredniczący w logowaniu w Twoim środowisku i dodaj albo zaktualizuj dostawcę tożsamości Microsoft OIDC z Azure issuer / discovery URL, client ID, client secret i ograniczeniem do najemcy.
  6. Zapisz konfigurację IdP i przetestuj logowanie na stronie logowania VaultPAM.
  7. Potwierdź, że logowanie kończy się powodzeniem i że użytkownik po przekierowaniu z Keycloak trafia do VaultPAM.

Stan sukcesu: Użytkownicy z dozwolonego najemcy Entra ID mogą logować się do VaultPAM przez Keycloak przy użyciu swoich poświadczeń Microsoft.


Okta

Ta procedura również używa OIDC przez Keycloak. Utwórz integrację aplikacji OIDC w Okta, a nie integrację SAML.

  1. W Konsoli administratora Okta przejdź do Applications > Applications > Create App Integration.
  2. Wybierz OIDC - OpenID Connect, wybierz Web Application i kliknij Dalej.
  3. Nazwij aplikację VaultPAM i dodaj URI przekierowania brokera Keycloak dla swojego środowiska.
  4. Zanotuj Client ID, Client Secret i URL issuera wyświetlone przez Okta.
  5. W konsoli administracyjnej Keycloak dodaj albo zaktualizuj dostawcę tożsamości Okta OIDC z tymi wartościami oraz wymaganymi ograniczeniami claims lub domeny.
  6. Zapisz konfigurację IdP i przetestuj logowanie na stronie logowania VaultPAM.

Stan sukcesu: Przypisani użytkownicy Okta mogą logować się do VaultPAM przez Keycloak, a dziennik audytu rejestruje sesję uwierzytelnioną przez SSO.


Rozwiązywanie problemów z SSO

Jeśli użytkownicy otrzymują błąd uwierzytelniania lub są przekierowywani z powrotem na stronę logowania, zapoznaj się z Błąd logowania SSO w celu uzyskania typowych przyczyn i rozwiązań.

Powiązane artykuły