Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Configurar Okta (SAML)

Si tu organización utiliza Okta Identity Provider (IdP) para la autenticación de usuarios, puedes configurar Rancher para permitir que tus usuarios inicien sesión utilizando sus credenciales de IdP.

La integración de Okta solo admite inicios de sesión iniciados por el Proveedor de Servicios.

Requisitos previos

En Okta, crea una aplicación SAML con la configuración que se indica a continuación. Consulta la documentación de Okta para obtener ayuda.

Valor Valor

Single Sign on URL

https://yourRancherHostURL/v1-saml/okta/saml/acs

Audience URI (SP Entity ID)

https://yourRancherHostURL/v1-saml/okta/saml/metadata

Configurando Okta en Rancher

Puedes integrar Okta con Rancher, de modo que los usuarios autenticados puedan acceder a los recursos de Rancher a través de los permisos de sus grupos. Okta devuelve una afirmación SAML que autentica a un usuario, incluyendo a qué grupos pertenece un usuario.

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En el menú de navegación de la izquierda, haz clic en Proveedor de Autenticación.

  3. Haz clic en Okta.

  4. Completa el formulario Configurar cuenta de Okta. Los ejemplos a continuación describen cómo puedes mapear los atributos de Okta desde las declaraciones de atributos a los campos dentro de Rancher.

    Campo Descripción

    Campo Nombre para Mostrar

    El nombre del atributo de una declaración de atributo que contiene el nombre para mostrar de los usuarios.

    Campo Nombre de Usuario

    El nombre del atributo de una declaración de atributo que contiene el nombre de usuario/nombre de pila.

    Campo UID

    El nombre del atributo de una declaración de atributo que es único para cada usuario.

    Campo Grupos

    El nombre del atributo en una declaración de atributo de grupo que expone tus grupos.

    Host de la API de Rancher

    La URL de tu servidor Rancher.

    Clave Privada / Certificado

    Un par clave/certificado utilizado para la encriptación de afirmaciones.

    Metadata XML

    El archivo Identity Provider metadata que encuentras en la sección Sign On de la aplicación.

    Puede generar un par de clave/certificado utilizando un comando openssl. Por ejemplo:

     openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout myservice.key -out myservice.crt

  5. Después de completar el formulario Configurar cuenta de Okta, haz clic en Habilitar.

    Rancher te redirige a la página de inicio de sesión del IdP. Introduce las credenciales que autentican con Okta IdP para validar tu configuración de Okta en Rancher.

    Si parece que no sucede nada, es probable que tu navegador haya bloqueado el pop-up. Asegúrate de desactivar el bloqueador de pop-ups para tu dominio de Rancher y de añadirlo a la lista blanca en cualquier otra extensión que puedas utilizar.

Resultado: Rancher está configurado para trabajar con Okta. Tus usuarios ahora pueden iniciar sesión en Rancher utilizando sus credenciales de Okta.

Advertencias del Proveedor SAML

Si configuras Okta sin OpenLDAP, no podrás buscar ni consultar directamente a usuarios o grupos. Esto conlleva varias advertencias:

  • Los usuarios y grupos no son validados cuando les asignas permisos en Rancher.

  • Al añadir usuarios, los IDs de usuario exactos (es decir, UID Field) deben ser introducidos correctamente. A medida que escribes el ID de usuario, no habrá búsqueda de otros IDs de usuario que puedan coincidir.

  • Al añadir grupos, debes seleccionar el grupo del menú desplegable que está al lado del cuadro de texto. Rancher asume que cualquier entrada del cuadro de texto es un usuario.

  • El menú desplegable de grupos muestra solo los grupos de los que eres miembro. Sin embargo, si tienes permisos de Administrador o permisos de Administrador restringidos, puedes unirte a un grupo del que no eres miembro.

Okta con búsqueda en OpenLDAP

Puedes añadir un backend de OpenLDAP para ayudar con la búsqueda de usuarios y grupos. Rancher mostrará usuarios y grupos adicionales del servicio OpenLDAP. Esto permite asignar permisos a grupos de los que el usuario conectado no sea ya miembro.

Requisitos Previos de OpenLDAP

Si utilizas Okta como tu IdP, puedes configurar una interfaz LDAP para que la utilice Rancher. También puedes configurar un servidor OpenLDAP externo.

Debes configurar Rancher con una cuenta de enlace LDAP (también conocida como cuenta de servicio) para que puedas buscar y recuperar entradas LDAP de usuarios y grupos que deberían tener acceso. No utilices una cuenta de administrador o una cuenta personal como cuenta de enlace LDAP. Crea una cuenta dedicada en OpenLDAP, con acceso de solo lectura a los usuarios y grupos bajo la base de búsqueda configurada.

Consideraciones relativas a la seguridad

La cuenta de servicio de OpenLDAP se utiliza para todas las búsquedas. Los usuarios de Rancher verán usuarios y grupos que la cuenta de servicio de OpenLDAP puede ver, independientemente de sus permisos SAML individuales.

¿Usando TLS?

Si el certificado utilizado por el servidor OpenLDAP es autofirmado o proviene de una autoridad de certificación no reconocida, Rancher necesita el certificado CA (concatenado con cualquier certificado intermedio) en formato PEM. Proporciona este certificado durante la configuración para que Rancher pueda validar la cadena de certificados.

Configura OpenLDAP en Rancher

Configura los ajustes para el servidor OpenLDAP, grupos y usuarios. Ten en cuenta que la membresía de grupos anidados no está disponible.

Antes de proceder con la configuración, familiarízate con la configuración de autenticación externa y los usuarios principales.

  1. Inicia sesión en Rancher utilizando un usuario local asignado al rol administrador (es decir, el principal local).

  2. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  3. En el menú de navegación de la izquierda, haz clic en Proveedor de Autenticación.

  4. Haz clic en Okta o, si SAML ya está configurado, en Editar Config.

  5. Bajo Búsqueda de Usuarios y Grupos, marca Configurar un servidor OpenLDAP

Si experimentas problemas al probar la conexión con el servidor OpenLDAP, asegúrate de haber introducido las credenciales de la cuenta de servicio y de haber configurado correctamente la base de búsqueda. Inspeccionar los registros de Rancher puede ayudar a identificar la causa raíz. Los registros de depuración pueden contener información más detallada sobre el error. Por favor, consulta Cómo puedo habilitar el registro de depuración para más información.

Configuración de Cierre de Sesión Único SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Permisos de grupo SAML y OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.