Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

PingIdentity (SAML) konfigurieren

Wenn Ihre Organisation den Ping Identity Provider (IdP) zur Benutzerauthentifizierung verwendet, können Sie Rancher so konfigurieren, dass Ihre Benutzer sich mit ihren IdP-Anmeldeinformationen anmelden können.

Voraussetzungen:

  • Sie müssen einen Ping IdP-Server konfiguriert haben.

  • Nachfolgend sind die Rancher Service Provider-URLs aufgeführt, die für die Konfiguration benötigt werden: Metadaten-URL: https://<rancher-server>/v1-saml/ping/saml/metadata Assertion Consumer Service (ACS) URL: https://<rancher-server>/v1-saml/ping/saml/acs Bitte beachten Sie, dass diese URLs keine gültigen Daten zurückgeben, bis die Authentifizierungskonfiguration in Rancher gespeichert ist.

  • Exportieren Sie eine metadata.xml Datei von Ihrem IdP-Server. Für weitere Informationen siehe die PingIdentity-Dokumentation.

  1. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  3. Klicken Sie auf Ping Identity.

  4. Füllen Sie das Formular Ping-Konto konfigurieren aus. Ping IdP ermöglicht es Ihnen, den gewünschten Datenspeicher anzugeben. Sie können entweder eine Datenbank hinzufügen oder einen vorhandenen LDAP-Server verwenden. Wenn Sie beispielsweise Ihren Active Directory (AD)-Server auswählen, beschreiben die folgenden Beispiele, wie Sie AD-Attribute auf Felder innerhalb von Rancher abbilden können.

    1. Feld für Anzeigenamen: Geben Sie das AD-Attribut ein, das den Anzeigenamen der Benutzer enthält (Beispiel: displayName).

    2. Feld für Benutzernamen: Geben Sie das AD-Attribut ein, das den Benutzernamen/Vornamen enthält (Beispiel: givenName).

    3. UID-Feld: Geben Sie ein AD-Attribut ein, das für jeden Benutzer eindeutig ist (Beispiel: sAMAccountName, distinguishedName).

    4. Gruppenfeld: Erstellen Sie Einträge zur Verwaltung von Gruppenmitgliedschaften (Beispiel: memberOf).

    5. Entity-ID-Feld (optional): Der veröffentlichte, protokollabhängige, eindeutige Identifikator Ihres Partners. Diese ID definiert Ihre Organisation als die Entität, die den Server für SAML 2.0-Transaktionen betreibt. Diese ID kann über einen separaten Kommunikationskanal oder mittels einer SAML-Metadatendatei erhalten worden sein.

    6. Rancher API-Host: Geben Sie die URL für Ihren Rancher-Server ein.

    7. Privater Schlüssel und Zertifikat: Dies ist ein Schlüssel-Zertifikat-Paar, um eine sichere Shell zwischen Rancher und Ihrem IdP zu erstellen.

      Sie können eines mit einem openssl-Befehl generieren. Beispiel:

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    8. IDP-Metadaten: Die metadata.xml Datei, die Sie von Ihrem IdP-Server exportiert haben.

  5. Nachdem Sie das Formular Ping-Konto konfigurieren ausgefüllt haben, klicken Sie auf Aktivieren.

    Rancher leitet Sie zur IdP-Anmeldeseite weiter. Geben Sie Anmeldeinformationen ein, die mit dem Ping IdP authentifiziert werden, um Ihre Rancher PingIdentity-Konfiguration zu validieren.

    Möglicherweise müssen Sie Ihren Popup-Blocker deaktivieren, um die IdP-Anmeldeseite zu sehen.

Ergebnis: Rancher ist so konfiguriert, dass es mit PingIdentity funktioniert. Ihre Benutzer können sich jetzt mit ihren PingIdentity-Anmeldedaten bei Rancher anmelden.

SAML-Anbieter-Hinweise

  • Benutzer und Gruppen werden nicht validiert, wenn Sie ihnen Berechtigungen in Rancher zuweisen.

  • Beim Hinzufügen von Benutzern müssen die genauen Benutzer-IDs (d.h. UID Field) korrekt eingegeben werden. Während Sie die Benutzer-ID eingeben, wird nicht nach anderen Benutzer-IDs gesucht, die möglicherweise übereinstimmen.

  • Beim Hinzufügen von Gruppen müssen Sie die Gruppe aus dem Dropdown-Menü auswählen, das neben dem Textfeld steht. Rancher geht davon aus, dass jede Eingabe im Textfeld ein Benutzer ist.

  • Das Gruppen-Dropdown zeigt nur die Gruppen an, in denen Sie Mitglied sind. Wenn Sie Administratorrechte oder eingeschränkte Administratorrechte haben, können Sie einer Gruppe beitreten, in der Sie kein Mitglied sind.

Konfigurieren von SAML Single Logout (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

SAML- und OpenLDAP-Gruppenberechtigungen

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.