Configurar la federación SSO
La federación de inicio de sesión único (SSO) permite que sus usuarios inicien sesión en VaultPAM mediante su proveedor de identidades (IdP) existente. VaultPAM enruta SSO a través de Keycloak, y el proveedor ascendente se configura allí. VaultPAM no utiliza cargas de metadatos SAML para este flujo.
Requisitos previos
- VaultPAM: rol de administrador de organización
- Proveedor de identidades: acceso de administrador en su inquilino de Entra ID u organización de Okta
- Keycloak: acceso al área que negocia el inicio de sesión para su entorno
- Protocolo: OIDC / OAuth 2.0 compatible con su IdP y Keycloak
Microsoft Entra ID (Azure AD)
Este procedimiento utiliza OIDC a través de Keycloak. Cree un registro de aplicación OAuth 2.0 en Azure, no una aplicación empresarial SAML.
- En Azure Portal, vaya a Entra ID > Registros de aplicaciones > Nuevo registro.
- Nombre la aplicación VaultPAM, elija el tipo de cuenta que coincida con el límite de su inquilino y regístrela.
- Agregue el URI de redirección del agente de Keycloak para su entorno. Utilice la URL de devolución de llamada para el área y el proveedor, por ejemplo
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Cree un secreto de cliente y registre el ID de aplicación (cliente), ID de directorio (inquilino) y el valor del secreto de cliente.
- En la consola de administración de Keycloak, abra el área que negocia el inicio de sesión para su entorno y agregue o actualice el proveedor de identidades OIDC de Microsoft con el emisor de Azure o la URL de descubrimiento, ID de cliente, secreto de cliente y restricción de inquilino.
- Guarde la configuración del IdP y pruebe el inicio de sesión desde la página de inicio de sesión de VaultPAM.
- Confirme que el inicio de sesión se completa y que el usuario llega a VaultPAM después de la redirección de Keycloak.
Estado de éxito: Los usuarios del inquilino de Entra ID permitido pueden iniciar sesión en VaultPAM a través de Keycloak con sus credenciales de Microsoft.
Okta
Este procedimiento también utiliza OIDC a través de Keycloak. Cree una integración de aplicación OIDC en Okta, no una integración SAML.
- En Okta Admin Console, vaya a Applications > Applications > Create App Integration.
- Seleccione OIDC - OpenID Connect, elija Web Application y haga clic en Next.
- Nombre la aplicación VaultPAM y agregue el URI de redirección del agente de Keycloak para su entorno.
- Registre el Client ID, Client Secret e URL del emisor que muestra Okta.
- En la consola de administración de Keycloak, agregue o actualice el proveedor de identidades OIDC de Okta con esos valores y cualquier restricción de dominio o reclamación requerida.
- Guarde la configuración del IdP y pruebe el inicio de sesión desde la página de inicio de sesión de VaultPAM.
Estado de éxito: Los usuarios de Okta asignados pueden iniciar sesión en VaultPAM a través de Keycloak, y el Audit Log registra la sesión autenticada por SSO.
Si los usuarios reciben un error de autenticación o se redirigen de nuevo a la página de inicio de sesión, consulte SSO login failing para conocer las causas comunes y las soluciones.