Configurați federația SSO
Federația cu autentificare cu un singur semn (SSO) permite utilizatorilor să se conecteze la VaultPAM folosind furnizorul dvs. de identitate (IdP) existent. VaultPAM direcționează SSO prin Keycloak, iar furnizorul upstream este configurat acolo. VaultPAM nu utilizează încărcări de metadate SAML pentru acest flux.
Condiții preliminare
- VaultPAM: rol de admin organizație
- Furnizor de identitate: Acces de admin în chiriașul dvs. Entra ID sau organizația Okta
- Keycloak: Acces la realm-ul care brokeriază autentificarea pentru mediul dvs.
- Protocol: OIDC / OAuth 2.0 suportat de furnizorul dvs. IdP și Keycloak
Microsoft Entra ID (Azure AD)
Această procedură utilizează OIDC prin Keycloak. Creați o înregistrare de aplicație OAuth 2.0 în Azure, nu o aplicație enterprise SAML.
- În portalul Azure, accesați Entra ID > App registrations > New registration.
- Denumiți aplicația VaultPAM, alegeți tipul de cont care se potrivește cu limita chiriașului dvs. și înregistrați-o.
- Adăugați URI-ul de redirecționare broker Keycloak pentru mediul dvs. Utilizați URL-ul de apel pentru realm și furnizor, de exemplu
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Creați o cheie secretă de client și înregistrați Application (client) ID, Directory (tenant) ID și valoarea secretă de client.
- În consola de administrare Keycloak, deschideți realm-ul care brokeriază autentificarea pentru mediul dvs. și adăugați sau actualizați furnizorul de identitate Microsoft OIDC cu emitatorul Azure sau URL-ul de descoperire, ID-ul de client, secretul de client și restricția de chiriași.
- Salvați configurația IdP și testați autentificarea din pagina de conectare VaultPAM.
- Confirmați că autentificarea se finalizează și utilizatorul ajunge în VaultPAM după redirecționarea Keycloak.
Stare de succes: Utilizatorii din chiriașul Entra ID permis pot să se conecteze la VaultPAM prin Keycloak cu acreditările Microsoft.
Okta
Această procedură utilizează, de asemenea, OIDC prin Keycloak. Creați o integrare de aplicație OIDC în Okta, nu o integrare SAML.
- În Okta Admin Console, accesați Applications > Applications > Create App Integration.
- Selectați OIDC - OpenID Connect, alegeți Web Application și faceți clic pe Next.
- Denumiți aplicația VaultPAM și adăugați URI-ul de redirecționare broker Keycloak pentru mediul dvs.
- Înregistrați Client ID, Client Secret și URL-ul emitentului afișate de Okta.
- În consola de administrare Keycloak, adăugați sau actualizați furnizorul de identitate Okta OIDC cu aceste valori și orice restricții de cereri sau domenii necesare.
- Salvați configurația IdP și testați autentificarea din pagina de conectare VaultPAM.
Stare de succes: Utilizatorii Okta asignați pot să se conecteze la VaultPAM prin Keycloak, iar jurnalul de audit înregistrează sesiunea autentificată cu SSO.
Dacă utilizatorii primesc o eroare de autentificare sau sunt redirecționați înapoi la pagina de conectare, consultați Autentificarea SSO eșuează pentru cauze și corecturi comune.