Saltar al contenido principal

Configurar la federación SSO

La federación de inicio de sesión único (SSO) permite que sus usuarios inicien sesión en VaultPAM mediante su proveedor de identidades (IdP) existente. VaultPAM enruta SSO a través de Keycloak, y el proveedor ascendente se configura allí. VaultPAM no utiliza cargas de metadatos SAML para este flujo.

Requisitos previos

  • VaultPAM: rol de administrador de organización
  • Proveedor de identidades: acceso de administrador en su inquilino de Entra ID u organización de Okta
  • Keycloak: acceso al área que negocia el inicio de sesión para su entorno
  • Protocolo: OIDC / OAuth 2.0 compatible con su IdP y Keycloak

Microsoft Entra ID (Azure AD)

Este procedimiento utiliza OIDC a través de Keycloak. Cree un registro de aplicación OAuth 2.0 en Azure, no una aplicación empresarial SAML.

  1. En Azure Portal, vaya a Entra ID > Registros de aplicaciones > Nuevo registro.
  2. Nombre la aplicación VaultPAM, elija el tipo de cuenta que coincida con el límite de su inquilino y regístrela.
  3. Agregue el URI de redirección del agente de Keycloak para su entorno. Utilice la URL de devolución de llamada para el área y el proveedor, por ejemplo https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint.
  4. Cree un secreto de cliente y registre el ID de aplicación (cliente), ID de directorio (inquilino) y el valor del secreto de cliente.
  5. En la consola de administración de Keycloak, abra el área que negocia el inicio de sesión para su entorno y agregue o actualice el proveedor de identidades OIDC de Microsoft con el emisor de Azure o la URL de descubrimiento, ID de cliente, secreto de cliente y restricción de inquilino.
  6. Guarde la configuración del IdP y pruebe el inicio de sesión desde la página de inicio de sesión de VaultPAM.
  7. Confirme que el inicio de sesión se completa y que el usuario llega a VaultPAM después de la redirección de Keycloak.

Estado de éxito: Los usuarios del inquilino de Entra ID permitido pueden iniciar sesión en VaultPAM a través de Keycloak con sus credenciales de Microsoft.


Okta

Este procedimiento también utiliza OIDC a través de Keycloak. Cree una integración de aplicación OIDC en Okta, no una integración SAML.

  1. En Okta Admin Console, vaya a Applications > Applications > Create App Integration.
  2. Seleccione OIDC - OpenID Connect, elija Web Application y haga clic en Next.
  3. Nombre la aplicación VaultPAM y agregue el URI de redirección del agente de Keycloak para su entorno.
  4. Registre el Client ID, Client Secret e URL del emisor que muestra Okta.
  5. En la consola de administración de Keycloak, agregue o actualice el proveedor de identidades OIDC de Okta con esos valores y cualquier restricción de dominio o reclamación requerida.
  6. Guarde la configuración del IdP y pruebe el inicio de sesión desde la página de inicio de sesión de VaultPAM.

Estado de éxito: Los usuarios de Okta asignados pueden iniciar sesión en VaultPAM a través de Keycloak, y el Audit Log registra la sesión autenticada por SSO.


Solución de problemas de SSO

Si los usuarios reciben un error de autenticación o se redirigen de nuevo a la página de inicio de sesión, consulte SSO login failing para conocer las causas comunes y las soluciones.

Artículos relacionados