Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Okta (SAML) konfigurieren

Wenn Ihre Organisation Okta Identity Provider (IdP) zur Benutzerauthentifizierung verwendet, können Sie Rancher so konfigurieren, dass Ihre Benutzer sich mit ihren IdP-Anmeldeinformationen anmelden können.

Die Okta-Integration unterstützt ausschließlich von Service Providern initiierte Anmeldungen.

Voraussetzungen

Erstellen Sie in Okta eine SAML-Anwendung mit den folgenden Einstellungen. Siehe die Okta-Dokumentation für Hilfe.

Einstellung Wert

Single Sign on URL

https://yourRancherHostURL/v1-saml/okta/saml/acs

Audience URI (SP Entity ID)

https://yourRancherHostURL/v1-saml/okta/saml/metadata

Okta in Rancher konfigurieren

Sie können Okta mit Rancher integrieren, sodass authentifizierte Benutzer über ihre Gruppenberechtigungen auf Rancher-Ressourcen zugreifen können. Okta gibt eine SAML-Assertion zurück, die einen Benutzer authentifiziert, einschließlich der Gruppen, zu denen ein Benutzer gehört.

  1. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  3. Klicken Sie auf Okta.

  4. Vervollständigen Sie das Formular Okta-Konto konfigurieren. Die folgenden Beispiele beschreiben, wie Sie Okta-Attribute von Attributaussagen auf Felder innerhalb von Rancher abbilden können.

    Feld Beschreibung

    Feld für den Anzeigenamen

    Der Attributname aus einer Attributaussage, der den Anzeigenamen der Benutzer enthält.

    Feld für den Benutzernamen

    Der Attributname aus einer Attributaussage, der den Benutzernamen/Vornamen enthält.

    UID-Feld

    Der Attributname aus einer Attributaussage, der für jeden Benutzer eindeutig ist.

    Gruppenfeld

    Der Attributname in einer Gruppenattributaussage, der Ihre Gruppen offenlegt.

    Rancher API-Host

    Die URL für Ihren Rancher-Server.

    Privater Schlüssel / Zertifikat

    Ein Schlüssel/Zertifikat-Paar, das für die Assertion-Verschlüsselung verwendet wird.

    Metadata XML

    Die Identity Provider metadata Datei, die Sie im Abschnitt Sign On der Anwendung finden.

    Sie können ein Schlüssel/Zertifikat-Paar mit einem openssl-Befehl generieren. Beispiel:

     openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout myservice.key -out myservice.crt

  5. Nachdem Sie das Formular Okta-Konto konfigurieren ausgefüllt haben, klicken Sie auf Aktivieren.

    Rancher leitet Sie zur IdP-Anmeldeseite weiter. Geben Sie Anmeldeinformationen ein, die mit Okta IdP authentifiziert werden, um Ihre Rancher Okta-Konfiguration zu validieren.

    Wenn nichts zu passieren scheint, liegt es wahrscheinlich daran, dass Ihr Browser das Pop-up blockiert hat. Stellen Sie sicher, dass Sie den Pop-up-Blocker für Ihre Rancher-Domain deaktivieren und ihn in allen anderen Erweiterungen, die Sie möglicherweise verwenden, auf die Whitelist setzen.

Ergebnis: Rancher ist so konfiguriert, dass es mit Okta funktioniert. Ihre Benutzer können sich jetzt mit ihren Okta-Anmeldedaten bei Rancher anmelden.

SAML-Anbieter-Hinweise

Wenn Sie Okta ohne OpenLDAP konfigurieren, können Sie keine Benutzer oder Gruppen suchen oder direkt nachschlagen. Dies bringt mehrere Vorbehalte mit sich:

  • Benutzer und Gruppen werden nicht validiert, wenn Sie ihnen Berechtigungen in Rancher zuweisen.

  • Beim Hinzufügen von Benutzern müssen die genauen Benutzer-IDs (d.h. UID Field) korrekt eingegeben werden. Während Sie die Benutzer-ID eingeben, wird nicht nach anderen Benutzer-IDs gesucht, die möglicherweise übereinstimmen.

  • Beim Hinzufügen von Gruppen müssen Sie die Gruppe aus dem Dropdown-Menü auswählen, das neben dem Textfeld steht. Rancher geht davon aus, dass jede Eingabe im Textfeld ein Benutzer ist.

  • Das Gruppen-Dropdown zeigt nur die Gruppen an, in denen Sie Mitglied sind. Wenn Sie jedoch Administratorrechte oder eingeschränkte Administratorrechte haben, können Sie einer Gruppe beitreten, in der Sie kein Mitglied sind.

Okta mit OpenLDAP-Suche

Sie können ein OpenLDAP-Backend hinzufügen, um bei der Suche nach Benutzern und Gruppen zu helfen. Rancher zeigt zusätzliche Benutzer und Gruppen aus dem OpenLDAP-Dienst an. Dies ermöglicht die Zuweisung von Berechtigungen an Gruppen, von denen der angemeldete Benutzer noch kein Mitglied ist.

OpenLDAP-Voraussetzungen

Wenn Sie Okta als Ihren IdP verwenden, können Sie eine LDAP-Schnittstelle einrichten für Rancher nutzen. Sie können auch einen externen OpenLDAP-Server konfigurieren.

Sie müssen Rancher mit einem LDAP-Bind-Konto (auch bekannt als Dienstkonto) konfigurieren, damit Sie LDAP-Einträge für Benutzer und Gruppen suchen und abrufen können, die Zugriff haben sollten. Verwenden Sie kein Administratorkonto oder persönliches Konto als LDAP-Bind-Konto. Erstellen Sie ein dediziertes Konto in OpenLDAP mit schreibgeschütztem Zugriff auf Benutzer und Gruppen unter der konfigurierten Suchbasis.

Sicherheitsüberlegungen

Das OpenLDAP-Dienstkonto wird für alle Suchen verwendet. Rancher-Benutzer sehen Benutzer und Gruppen, die das OpenLDAP-Dienstkonto anzeigen kann, unabhängig von ihren individuellen SAML-Berechtigungen.

TLS verwenden?

Wenn das vom OpenLDAP-Server verwendete Zertifikat selbstsigniert ist oder von einer nicht anerkannten Zertifizierungsstelle stammt, benötigt Rancher das CA-Zertifikat (verkettet mit allen Zwischenzertifikaten) im PEM-Format. Stellen Sie dieses Zertifikat während der Konfiguration bereit, damit Rancher die Zertifikatkette validieren kann.

OpenLDAP in Rancher konfigurieren

Konfigurieren Sie die Einstellungen für den OpenLDAP-Server, Gruppen und Benutzer. Beachten Sie, dass verschachtelte Gruppenmitgliedschaften nicht verfügbar sind.

Bevor Sie mit der Konfiguration fortfahren, machen Sie sich bitte mit externe Authentifizierungskonfiguration und Hauptbenutzer vertraut.

  1. Melden Sie sich bei Rancher mit einem lokalen Benutzer an, dem die Rolle Administrator zugewiesen wurde (d.h. dem lokalen Hauptbenutzer).

  2. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  3. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  4. Klicken Sie auf Okta oder, falls SAML bereits konfiguriert ist, auf Konfiguration bearbeiten.

  5. Unter Benutzer- und Gruppensuche aktivieren Sie OpenLDAP-Server konfigurieren.

Wenn Sie Probleme beim Testen der Verbindung zum OpenLDAP-Server haben, stellen Sie sicher, dass Sie die Anmeldeinformationen für das Dienstkonto eingegeben und die Suchbasis korrekt konfiguriert haben. Die Überprüfung der Rancher-Protokolle kann helfen, die Ursache zu ermitteln. Debug-Protokolle können detailliertere Informationen über den Fehler enthalten. Bitte beziehen Sie sich auf Wie kann ich das Debug-Logging aktivieren für weitere Informationen.

Konfiguration des SAML Single Logout (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

SAML- und OpenLDAP-Gruppenberechtigungen

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.