Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Permisos de Grupo con Shibboleth y OpenLDAP

Debido a que Shibboleth es un proveedor SAML, no admite la búsqueda de grupos. Aunque una integración de Shibboleth puede validar las credenciales de los usuarios, no se puede utilizar para asignar permisos a grupos en Rancher sin una configuración adicional.

Una solución a este problema es configurar un proveedor de identidad OpenLDAP. Con un sistema secundario OpenLDAP para Shibboleth, podrás buscar grupos en Rancher y asignarlos a recursos como clústeres, proyectos o espacios de nombres desde la interfaz de usuario de Rancher.

terminología

  • Shibboleth es un sistema de inicio de sesión único para redes informáticas e Internet. Permite a las personas iniciar sesión utilizando solo una identidad en varios sistemas. Valida las credenciales de los usuarios, pero no gestiona, por sí solo, las membresías de grupos.

  • SAML: Lenguaje de marcas de aserciones de seguridad, un estándar abierto para intercambiar datos de autenticación y autorización entre un proveedor de identidad y un proveedor de servicios.

  • OpenLDAP: una implementación gratuita y de código abierto del Protocolo de Acceso a Directorios Ligero (LDAP). Se utiliza para gestionar los ordenadores y usuarios de una organización. OpenLDAP es útil para los usuarios de Rancher porque admite grupos. En Rancher, es posible asignar permisos a grupos para que puedan acceder a recursos como clústeres, proyectos o espacios de nombres, siempre que los grupos ya existan en el proveedor de identidad.

  • IdP o IDP: Un proveedor de identidad. OpenLDAP es un ejemplo de un proveedor de identidad.

Añadiendo Permisos de Grupo OpenLDAP a los Recursos de Rancher

El diagrama a continuación ilustra cómo los miembros de un grupo OpenLDAP pueden acceder a recursos en Rancher para los cuales el grupo tiene permisos.

Por ejemplo, un propietario de clúster podría añadir un grupo OpenLDAP a un clúster para que tenga permisos para ver la mayoría de los recursos a nivel de clúster y crear nuevos proyectos. Entonces, los miembros del grupo OpenLDAP tendrán acceso al clúster tan pronto como inicien sesión en Rancher.

En este escenario, OpenLDAP permite al propietario del clúster buscar grupos al asignar permisos. Sin OpenLDAP, la funcionalidad para buscar grupos no estaría soportada.

Cuando un miembro del grupo OpenLDAP inicia sesión en Rancher, se le redirige a Shibboleth y introduce su nombre de usuario y contraseña.

Shibboleth valida sus credenciales y recupera los atributos del usuario de OpenLDAP, incluidos los grupos. Luego, Shibboleth envía una aserción SAML a Rancher incluyendo los atributos del usuario. Rancher utiliza los datos del grupo para que pueda acceder a todos los recursos y permisos para los que sus grupos tienen permisos.

Añadiendo Permisos de Grupo OpenLDAP a los Recursos de Rancher

Permisos de grupo SAML y OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.