|
Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado. |
2. Configurando SUSE Rancher Prime para Microsoft AD FS
Después de completar Configurando Microsoft AD FS para Rancher, introduce la información de tu Servicio de Federación de Active Directory (AD FS) en Rancher para que los usuarios de AD FS puedan autenticarse con Rancher.
|
Notas Importantes Para Configurar Tu Servidor AD FS:
|
-
En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.
-
En el menú de navegación de la izquierda, haz clic en Proveedor de Autenticación.
-
Haz clic en ADFS.
-
Completa el formulario Configurar Cuenta AD FS. Microsoft AD FS te permite especificar un servidor de Active Directory (AD) existente. La sección de configuración a continuación describe cómo puedes mapear atributos de AD a campos dentro de Rancher.
-
Después de completar el formulario Configurar Cuenta AD FS, haz clic en Habilitar.
Rancher te redirige a la página de inicio de sesión de AD FS. Introduce credenciales que se autentiquen con Microsoft AD FS para validar tu configuración de Rancher AD FS.
Es posible que tengas que desactivar tu bloqueador de ventanas emergentes para ver la página de inicio de sesión de AD FS.
Resultado: Rancher está configurado para trabajar con AD FS. Tus usuarios ahora pueden iniciar sesión en Rancher utilizando sus credenciales de AD FS.
Configuración
| Campo | Descripción |
|---|---|
Campo Nombre para Mostrar |
El atributo de AD que contiene el nombre para mostrar de los usuarios. |
Campo Nombre de Usuario |
El atributo de AD que contiene el nombre de usuario/nombre de pila. |
Campo UID |
Un atributo de AD que es único para cada usuario. |
Campo Grupos |
Haz entradas para gestionar la membresía de grupos. |
Host de la API de Rancher |
La URL de tu servidor Rancher. |
Clave Privada / Certificado |
Este es un par de clave-certificado para crear un shell seguro entre Rancher y tu AD FS. Asegúrate de establecer el Nombre Común (CN) a la URL de tu servidor Rancher. |
Metadata XML |
El archivo |
Configuración de Cierre de Sesión Único SAML (SLO)
Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:
|
The Log Out behavior configuration section only appears if the SAML authentication provider allows for |
-
Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.
-
In the top left corner, click ☰ > Users & Authentication.
-
In the left navigation menu, click Auth Provider.
-
Under the section Log Out behavior, choose the appropriate SLO setting as described below:
Setting Description Log out of Rancher and not authentication provider
Choosing this option will only logout the Rancher application and not external authentication providers.
Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)
Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.
Allow the user to choose one of the above in an additional log out step
Choosing this option presents users with a choice of logout method as described above.
Permisos de grupo SAML y OpenLDAP
When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.
Rancher assigns user permissions based strictly on the groups provided in the SAML response.
|
Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response. To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups. |