Konfiguracja federacji SSO
Federacja logowania jednokrotnego (SSO) pozwala użytkownikom logować się do VaultPAM przy użyciu istniejącego dostawcy tożsamości (IdP). VaultPAM przekierowuje SSO przez Keycloak, a dostawca nadrzędny jest tam konfigurowany. VaultPAM nie używa przesyłania metadanych SAML dla tego przepływu.
Wymagania wstępne
- VaultPAM: rola Administratora Org
- Dostawca tożsamości: dostęp administratora do swojego najemcy Entra ID lub organizacji Okta
- Keycloak: dostęp do realm, który pośredniczy w logowaniu w Twoim środowisku
- Protokół: OIDC / OAuth 2.0 obsługiwane przez Twój IdP i Keycloak
Microsoft Entra ID (Azure AD)
Ta procedura używa OIDC przez Keycloak. Utwórz rejestrację aplikacji OAuth 2.0 w Azure, a nie aplikację korporacyjną SAML.
- W portalu Azure przejdź do Entra ID > Rejestracje aplikacji > Nowa rejestracja.
- Nazwij aplikację VaultPAM, wybierz typ konta odpowiadający granicy najemcy i zarejestruj ją.
- Dodaj URI przekierowania brokera Keycloak dla swojego środowiska. Użyj URL zwrotnego dla realm i dostawcy, na przykład
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Utwórz sekret klienta i zanotuj ID aplikacji (klienta), ID katalogu (najemcy) i wartość sekretu klienta.
- W konsoli administracyjnej Keycloak otwórz realm pośredniczący w logowaniu w Twoim środowisku i dodaj albo zaktualizuj dostawcę tożsamości Microsoft OIDC z Azure issuer / discovery URL, client ID, client secret i ograniczeniem do najemcy.
- Zapisz konfigurację IdP i przetestuj logowanie na stronie logowania VaultPAM.
- Potwierdź, że logowanie kończy się powodzeniem i że użytkownik po przekierowaniu z Keycloak trafia do VaultPAM.
Stan sukcesu: Użytkownicy z dozwolonego najemcy Entra ID mogą logować się do VaultPAM przez Keycloak przy użyciu swoich poświadczeń Microsoft.
Okta
Ta procedura również używa OIDC przez Keycloak. Utwórz integrację aplikacji OIDC w Okta, a nie integrację SAML.
- W Konsoli administratora Okta przejdź do Applications > Applications > Create App Integration.
- Wybierz OIDC - OpenID Connect, wybierz Web Application i kliknij Dalej.
- Nazwij aplikację VaultPAM i dodaj URI przekierowania brokera Keycloak dla swojego środowiska.
- Zanotuj Client ID, Client Secret i URL issuera wyświetlone przez Okta.
- W konsoli administracyjnej Keycloak dodaj albo zaktualizuj dostawcę tożsamości Okta OIDC z tymi wartościami oraz wymaganymi ograniczeniami claims lub domeny.
- Zapisz konfigurację IdP i przetestuj logowanie na stronie logowania VaultPAM.
Stan sukcesu: Przypisani użytkownicy Okta mogą logować się do VaultPAM przez Keycloak, a dziennik audytu rejestruje sesję uwierzytelnioną przez SSO.
Jeśli użytkownicy otrzymują błąd uwierzytelniania lub są przekierowywani z powrotem na stronę logowania, zapoznaj się z Błąd logowania SSO w celu uzyskania typowych przyczyn i rozwiązań.