Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

2. Konfigurieren von SUSE Rancher Prime für Microsoft AD FS

Nachdem Sie Konfigurieren von Microsoft AD FS für Rancher abgeschlossen haben, geben Sie Ihre Active Directory Federation Service (AD FS)-Informationen in Rancher ein, damit AD FS-Benutzer sich bei Rancher authentifizieren können.

Wichtige Hinweise zur Konfiguration Ihres ADFS-Servers:

  • Die SAML 2.0 WebSSO-Protokolldienst-URL lautet: https://<RANCHER_SERVER>/v1-saml/adfs/saml/acs

  • Die URL des Relying Party Trust-Identifikators lautet: https://<RANCHER_SERVER>/v1-saml/adfs/saml/metadata

  • Sie müssen die federationmetadata.xml-Datei von Ihrem AD FS-Server exportieren. Sie finden diese unter: https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml

  1. Klicken Sie oben links auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie im linken Navigationsmenü auf Auth-Anbieter.

  3. Klicken Sie auf ADFS.

  4. Vervollständigen Sie das Formular AD FS-Konto konfigurieren. Microsoft AD FS ermöglicht es Ihnen, einen vorhandenen Active Directory (AD)-Server anzugeben. Der Konfigurationsabschnitt unten beschreibt, wie Sie AD-Attribute auf Felder innerhalb von Rancher abbilden können.

  5. Nachdem Sie das Formular AD FS-Konto konfigurieren ausgefüllt haben, klicken Sie auf Aktivieren.

    Rancher leitet Sie zur AD FS-Anmeldeseite weiter. Geben Sie Anmeldeinformationen ein, die mit Microsoft AD FS authentifiziert werden, um Ihre Rancher AD FS-Konfiguration zu validieren.

    Möglicherweise müssen Sie Ihren Popup-Blocker deaktivieren, um die AD FS-Anmeldeseite zu sehen.

Ergebnis: Rancher ist so konfiguriert, dass es mit AD FS funktioniert. Ihre Benutzer können sich jetzt mit ihren AD FS-Anmeldedaten bei Rancher anmelden.

Konfiguration

Feld Beschreibung

Feld für den Anzeigenamen

Das AD-Attribut, das den Anzeigenamen der Benutzer enthält.

Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Feld für den Benutzernamen

Das AD-Attribut, das den Benutzernamen/Vornamen enthält.

Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

UID-Feld

Ein AD-Attribut, das für jeden Benutzer einzigartig ist.

Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

Gruppenfeld

Erstellen Sie Einträge zur Verwaltung von Gruppenmitgliedschaften.

Beispiel: http://schemas.xmlsoap.org/claims/Group

Rancher API-Host

Die URL für Ihren Rancher-Server.

Privater Schlüssel / Zertifikat

Dies ist ein Schlüssel-Zertifikat-Paar, um eine sichere Shell zwischen Rancher und Ihrem AD FS zu erstellen. Stellen Sie sicher, dass Sie den Common Name (CN) auf die URL Ihres Rancher-Servers setzen.

Befehl zur Zertifikatserstellung

Metadata XML

Die federationmetadata.xml-Datei, die von Ihrem AD FS-Server exportiert wurde.

Sie finden diese Datei unter https://<AD_SERVER>/federationmetadata/2007-06/federationmetadata.xml.

Beispiel für einen Befehl zur Zertifikatserstellung

Sie können ein Zertifikat mit dem Befehl openssl generieren. Beispiel:

openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

Konfiguration des SAML Single Logout (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

SAML- und OpenLDAP-Gruppenberechtigungen

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.