SSO-federatie configureren
Single sign-on (SSO) federatie stelt uw gebruikers in staat om zich bij VaultPAM aan te melden met behulp van uw bestaande identiteitsprovider (IdP). VaultPAM stuurt SSO via Keycloak, en de upstream-provider wordt daar geconfigureerd. VaultPAM gebruikt geen SAML-metagegevensupload voor deze werkstroom.
Vereisten
- VaultPAM: Organisatiebeheerderrol
- Identiteitsprovider: Beheertoegang in uw Entra ID-tenant of Okta-organisatie
- Keycloak: Toegang tot de realm die aanmelding voor uw omgeving bemiddelt
- Protocol: OIDC / OAuth 2.0 ondersteund door uw IdP en Keycloak
Microsoft Entra ID (Azure AD)
Deze procedure maakt gebruik van OIDC via Keycloak. Maak een OAuth 2.0-app-registratie in Azure aan, geen SAML-bedrijfstoepassing.
- Ga in de Azure-portal naar Entra ID > App-registraties > Nieuwe registratie.
- Noem de toepassing VaultPAM, kies het accounttype dat uw tenantgrens aansluit, en registreer deze.
- Voeg de Keycloak-broker-omleidings-URI voor uw omgeving toe. Gebruik de callback-URL voor de realm en provider, bijvoorbeeld
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Maak een clientgeheim aan en noteer de Application (client) ID, Directory (tenant) ID en de clientgeheimenwaarde.
- Open in de Keycloak-beheerconsole de realm die aanmelding voor uw omgeving bemiddelt en voeg de Microsoft OIDC-identiteitsprovider toe of werk deze bij met de Azure-verlener of discovery-URL, client-ID, clientgeheim en tenantbeperking.
- Sla de IdP-configuratie op en test aanmelding vanaf de VaultPAM-aanmeldingspagina.
- Bevestig dat de aanmelding is voltooid en dat de gebruiker in VaultPAM terechtkomt na de Keycloak-omleiding.
Successtatus: Gebruikers van de toegestane Entra ID-tenant kunnen zich via Keycloak bij VaultPAM aanmelden met hun Microsoft-referenties.
Okta
Deze procedure maakt ook gebruik van OIDC via Keycloak. Maak een OIDC-app-integratie in Okta aan, geen SAML-integratie.
- Ga in de Okta-beheerconsole naar Applications > Applications > Create App Integration.
- Selecteer OIDC - OpenID Connect, kies Web Application en klik op Next.
- Noem de toepassing VaultPAM en voeg de Keycloak-broker-omleidings-URI voor uw omgeving toe.
- Noteer de Client ID, Client Secret en issuer-URL die door Okta worden weergegeven.
- Open in de Keycloak-beheerconsole de Okta OIDC-identiteitsprovider en werk deze bij met deze waarden en eventuele vereiste claim- of domeinbeperkingen.
- Sla de IdP-configuratie op en test aanmelding vanaf de VaultPAM-aanmeldingspagina.
Successtatus: Toegewezen Okta-gebruikers kunnen zich via Keycloak bij VaultPAM aanmelden, en het Audit Log registreert de SSO-geverifieerde sessie.
Als gebruikers een verificatiefout ontvangen of terug worden geleid naar de aanmeldingspagina, zie SSO-aanmelding mislukt voor veelvoorkomende oorzaken en oplossingen.