Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Gruppenberechtigungen mit Shibboleth und OpenLDAP

Da Shibboleth ein SAML-Anbieter ist, unterstützt es nicht die Suche nach Gruppen. Während eine Shibboleth-Integration die Benutzeranmeldeinformationen validieren kann, kann sie nicht verwendet werden, um Berechtigungen für Gruppen in Rancher ohne zusätzliche Konfiguration zuzuweisen.

Eine Lösung für dieses Problem besteht darin, einen OpenLDAP-Identitätsanbieter zu konfigurieren. Mit einem OpenLDAP-Backend für Shibboleth können Sie in Rancher nach Gruppen suchen und sie über die Rancher-Benutzeroberfläche Ressourcen wie Cluster, Projekte oder Namespaces zuweisen.

Terminologie

  • Shibboleth ist ein Single-Sign-On-Anmeldesystem für Computernetzwerke und das Internet. Es ermöglicht den Menschen, sich mit nur einer Identität bei verschiedenen Systemen anzumelden. Es validiert die Benutzeranmeldeinformationen, verwaltet jedoch nicht eigenständig die Gruppenmitgliedschaften.

  • SAML: Security Assertion Markup Language, ein offener Standard zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter.

  • OpenLDAP: eine kostenlose, Open-Source-Implementierung des Lightweight Directory Access Protocol (LDAP). Es wird verwendet, um die Computer und Benutzer einer Organisation zu verwalten. OpenLDAP ist nützlich für Rancher-Benutzer, da es Gruppen unterstützt. In Rancher ist es möglich, Berechtigungen für Gruppen zuzuweisen, damit sie auf Ressourcen wie Cluster, Projekte oder Namespaces zugreifen können, solange die Gruppen bereits im Identitätsanbieter existieren.

  • IdP oder IDP: Ein Identitätsanbieter. OpenLDAP ist ein Beispiel für einen Identitätsanbieter.

Hinzufügen von OpenLDAP-Gruppenberechtigungen zu Rancher-Ressourcen

Das folgende Diagramm veranschaulicht, wie Mitglieder einer OpenLDAP-Gruppe auf Ressourcen in Rancher zugreifen können, für die die Gruppe Berechtigungen hat.

Ein Clusterbesitzer könnte beispielsweise eine OpenLDAP-Gruppe zu einem Cluster hinzufügen, damit er die Berechtigung hat, die meisten clusterbezogenen Ressourcen anzuzeigen und neue Projekte zu erstellen. Die Mitglieder der OpenLDAP-Gruppe haben Zugriff auf den Cluster, sobald sie sich bei Rancher anmelden.

In diesem Szenario ermöglicht OpenLDAP dem Clusterbesitzer, nach Gruppen zu suchen, wenn er Berechtigungen zuweist. Ohne OpenLDAP würde die Funktionalität zur Gruppensuche nicht unterstützt werden.

Wenn ein Mitglied der OpenLDAP-Gruppe sich bei Rancher anmeldet, wird sie zu Shibboleth weitergeleitet und gibt ihren Benutzernamen und ihr Passwort ein.

Shibboleth validiert ihre Anmeldeinformationen und ruft Benutzerattribute aus OpenLDAP ab, einschließlich der Gruppen. Dann sendet Shibboleth eine SAML Assertion an Rancher, die die Benutzerattribute enthält. Rancher verwendet die Gruppendaten, damit sie auf alle Ressourcen und Berechtigungen zugreifen kann, für die ihre Gruppen Berechtigungen haben.

Hinzufügen von OpenLDAP-Gruppenberechtigungen zu Rancher-Ressourcen

SAML- und OpenLDAP-Gruppenberechtigungen

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.