Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Configurar PingIdentity (SAML)

Si tu organización utiliza Ping Identity Provider (IdP) para la autenticación de usuarios, puedes configurar Rancher para permitir que tus usuarios inicien sesión utilizando sus credenciales de IdP.

Requisitos previos:

  • Debes tener un Servidor IdP de Ping configurado.

  • A continuación se presentan las URL del Proveedor de Servicios de Rancher necesarias para la configuración: Metadata URL: https://<rancher-server>/v1-saml/ping/saml/metadata URL del Servicio de Consumo de Afirmaciones (ACS): https://<rancher-server>/v1-saml/ping/saml/acs Ten en cuenta que estas URLs no devolverán datos válidos hasta que la configuración de autenticación se guarde en Rancher.

  • Exporta un archivo metadata.xml desde tu servidor IdP. Para más información, consulta la documentación de PingIdentity.

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En el menú de navegación de la izquierda, haz clic en Proveedor de Autenticación.

  3. Haz clic en Ping Identity.

  4. Completa el formulario Configurar una cuenta de Ping. Ping IdP te permite especificar qué almacén de datos deseas utilizar. Puedes añadir una base de datos o utilizar un servidor LDAP existente. Por ejemplo, si seleccionas tu servidor de Active Directory (AD), los ejemplos a continuación describen cómo puedes mapear atributos de AD a campos dentro de Rancher.

    1. Campo Nombre para Mostrar: Introduce el atributo de AD que contiene el nombre para mostrar de los usuarios (ejemplo: displayName).

    2. Campo Nombre de Usuario: Introduce el atributo de AD que contiene el nombre de usuario/nombre de pila (ejemplo: givenName).

    3. Campo UID: Introduce un atributo de AD que sea único para cada usuario (ejemplo: sAMAccountName, distinguishedName).

    4. Campo Grupos: Haz entradas para gestionar la membresía de grupos (ejemplo: memberOf).

    5. Campo de ID de Entidad (opcional): El identificador único, dependiente del protocolo, publicado de tu socio. Este ID define tu organización como la entidad que opera el servidor para transacciones SAML 2.0. Este ID puede haber sido obtenido fuera de banda o a través de un archivo de metadatos SAML.

    6. Host de la API de Rancher: Introduce la URL de tu servidor Rancher.

    7. Clave Privada y Certificado: Este es un par de clave-certificado para crear un shell seguro entre Rancher y tu IdP.

      Puedes generar uno utilizando un comando openssl. Por ejemplo:

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    8. IDP-metadata: El archivo metadata.xml que exportaste desde tu servidor IdP.

  5. Después de completar el formulario Configurar una cuenta de Ping, haz clic en Habilitar.

    Rancher te redirige a la página de inicio de sesión del IdP. Introduce las credenciales que autentican con Ping IdP para validar tu configuración de PingIdentity en Rancher.

    Es posible que tengas que desactivar tu bloqueador de ventanas emergentes para ver la página de inicio de sesión del IdP.

Resultado: Rancher está configurado para trabajar con PingIdentity. Tus usuarios ahora pueden iniciar sesión en Rancher utilizando sus credenciales de PingIdentity.

Advertencias del Proveedor SAML

  • Los usuarios y grupos no son validados cuando les asignas permisos en Rancher.

  • Al añadir usuarios, los IDs de usuario exactos (es decir, UID Field) deben ser introducidos correctamente. A medida que escribes el ID de usuario, no habrá búsqueda de otros IDs de usuario que puedan coincidir.

  • Al añadir grupos, debes seleccionar el grupo del menú desplegable que está al lado del cuadro de texto. Rancher asume que cualquier entrada del cuadro de texto es un usuario.

  • El menú desplegable de grupos muestra solo los grupos de los que eres miembro. Si tienes permisos de administrador o permisos de administrador restringidos, puedes unirte a un grupo del que no eres miembro.

Configuración de Cierre de Sesión Único SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Permisos de grupo SAML y OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.