Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Configurando Shibboleth (SAML)

Si tu organización utiliza Shibboleth Identity Provider (IdP) para la autenticación de usuarios, puedes configurar Rancher para permitir que tus usuarios inicien sesión en Rancher utilizando sus credenciales de Shibboleth.

En esta configuración, cuando los usuarios de Rancher inicien sesión, serán redirigidos al IdP de Shibboleth para ingresar sus credenciales. Después de la autenticación, serán redirigidos de vuelta a la interfaz de usuario de Rancher.

Si también configuras OpenLDAP como el sistema secundario de Shibboleth, devolverá una afirmación SAML a Rancher con atributos de usuario que incluyen grupos. Entonces, el usuario autenticado podrá acceder a los recursos en Rancher para los cuales sus grupos tienen permisos.

Las instrucciones en esta sección asumen que entiendes cómo funcionan juntos Rancher, Shibboleth y OpenLDAP. Para una explicación más detallada de cómo funciona, consulta esta página.

Configurando Shibboleth en Rancher

Requisitos previos de Shibboleth

  • Debes tener un servidor Shibboleth IdP configurado.

  • A continuación se presentan las URL del Proveedor de Servicios de Rancher necesarias para la configuración: Metadata URL: https://<rancher-server>/v1-saml/shibboleth/saml/metadata URL del Servicio de Consumo de Afirmaciones (ACS): https://<rancher-server>/v1-saml/shibboleth/saml/acs

  • Exporta un archivo metadata.xml desde tu servidor IdP. Para obtener más información, consulta la documentación de Shibboleth.

Configura Shibboleth en Rancher

Si tu organización utiliza Shibboleth para la autenticación de usuarios, puedes configurar Rancher para permitir que tus usuarios inicien sesión utilizando sus credenciales de IdP.

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En el menú de navegación de la izquierda, haz clic en Proveedor de Autenticación.

  3. Haz clic en Shibboleth.

  4. Completa el formulario Configurar Cuenta de Shibboleth. Shibboleth IdP te permite especificar qué almacén de datos deseas utilizar. Puedes añadir una base de datos o utilizar un servidor LDAP existente. Por ejemplo, si seleccionas tu servidor de Active Directory (AD), los ejemplos a continuación describen cómo puedes mapear atributos de AD a campos dentro de Rancher.

    1. Campo Nombre para Mostrar: Introduce el atributo de AD que contiene el nombre para mostrar de los usuarios (ejemplo: displayName).

    2. Campo Nombre de Usuario: Introduce el atributo de AD que contiene el nombre de usuario/nombre de pila (ejemplo: givenName).

    3. Campo UID: Introduce un atributo de AD que sea único para cada usuario (ejemplo: sAMAccountName, distinguishedName).

    4. Campo Grupos: Haz entradas para gestionar la membresía de grupos (ejemplo: memberOf).

    5. Host de la API de Rancher: Introduce la URL de tu servidor Rancher.

    6. Clave Privada y Certificado: Este es un par de clave-certificado para crear un shell seguro entre Rancher y tu IdP.

      Puedes generar uno utilizando un comando openssl. Por ejemplo:

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    7. IDP-metadata: El archivo metadata.xml que exportaste desde tu servidor IdP.

  5. Después de completar el formulario Configurar Cuenta Shibboleth, haz clic en Habilitar.

    Rancher te redirige a la página de inicio de sesión del IdP. Introduce las credenciales que autentican con Shibboleth IdP para validar tu configuración de Shibboleth en Rancher.

    Es posible que tengas que desactivar tu bloqueador de ventanas emergentes para ver la página de inicio de sesión del IdP.

Resultado: Rancher está configurado para trabajar con Shibboleth. Tus usuarios ahora pueden iniciar sesión en Rancher utilizando sus credenciales de Shibboleth.

Advertencias del Proveedor SAML

Si configuras Shibboleth sin OpenLDAP, las siguientes advertencias se aplican debido a que el Protocolo SAML no soporta búsqueda o consulta de usuarios o grupos.

  • No hay validación sobre usuarios o grupos al asignar permisos a ellos en Rancher.

  • Al añadir usuarios, los IDs de usuario exactos (es decir, el campo UID) deben ser introducidos correctamente. A medida que escribes el ID de usuario, no habrá búsqueda de otros IDs de usuario que puedan coincidir.

  • Al añadir grupos, debes seleccionar el grupo del menú desplegable que está al lado del cuadro de texto. Rancher asume que cualquier entrada del cuadro de texto es un usuario.

  • El menú desplegable de grupos muestra solo los grupos de los que eres miembro. Sin embargo, si tienes permisos de Administrador o permisos de Administrador restringidos, puedes unirte a un grupo del que no eres miembro.

Para habilitar la búsqueda de grupos al asignar permisos en Rancher, necesitarás configurar un sistema secundario para el proveedor SAML que soporte grupos, como OpenLDAP.

Configuración de Cierre de Sesión Único SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Configuración de OpenLDAP en Rancher

Si también configuras OpenLDAP como el sistema secundario de Shibboleth, devolverá una afirmación SAML a Rancher con atributos de usuario que incluyen grupos. Entonces, los usuarios autenticados podrán acceder a los recursos en Rancher para los que sus grupos tienen permisos.

Requisitos Previos de OpenLDAP

Rancher debe estar configurado con una cuenta de enlace LDAP (también conocida como cuenta de servicio) para buscar y recuperar entradas LDAP relacionadas con los usuarios y grupos que deberían tener acceso. Se recomienda no utilizar una cuenta de administrador o cuenta personal para este propósito y, en su lugar, crear una cuenta dedicada en OpenLDAP con acceso de solo lectura a los usuarios y grupos bajo la base de búsqueda configurada (ver más abajo).

¿Usando TLS?

Si el certificado utilizado por el servidor OpenLDAP es autofirmado o no proviene de una autoridad de certificación reconocida, asegúrate de tener a mano el certificado CA (concatenado con cualquier certificado intermedio) en formato PEM. Tendrás que pegar este certificado durante la configuración para que Rancher pueda validar la cadena de certificados.

Configura OpenLDAP en Rancher

Configura los ajustes para el servidor OpenLDAP, grupos y usuarios. Para ayuda al completar cada campo, consulta la referencia de configuración. Ten en cuenta que la membresía de grupos anidados no está disponible para Shibboleth.

Antes de proceder con la configuración, familiarízate con los conceptos de Configuración de Autenticación Externa y Usuarios Principales.

  1. Inicia sesión en la interfaz de usuario de Rancher utilizando la cuenta local inicial admin.

  2. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  3. En el menú de navegación de la izquierda, haz clic en Proveedor de Autenticación.

  4. Haz clic en Shibboleth o, si SAML ya está configurado, en Editar Config

  5. Bajo Búsqueda de Usuarios y Grupos, marca Configurar un servidor OpenLDAP

Solución de problemas

Si estás experimentando problemas al probar la conexión con el servidor OpenLDAP, primero verifica las credenciales ingresadas para la cuenta de servicio así como la configuración de la base de búsqueda. También puedes inspeccionar los registros de Rancher para ayudar a identificar la causa del problema. Los registros de depuración pueden contener información más detallada sobre el error. Por favor, consulta Cómo puedo habilitar el registro de depuración en esta documentación.