Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Configurar Okta (SAML)

Se sua organização usa o Provedor de Identidade Okta (IdP) para autenticação de usuários, você pode configurar o Rancher para permitir que seus usuários façam login usando suas credenciais do IdP.

A integração do Okta suporta apenas logins iniciados pelo Provedor de Serviços.

Pré-requisitos

No Okta, crie um Aplicativo SAML com as configurações abaixo. Veja a documentação do Okta para ajuda.

Configuração Valor

Configuração	Valor
`Single Sign on URL`	`https://yourRancherHostURL/v1-saml/okta/saml/acs`
`Audience URI (SP Entity ID)`	`https://yourRancherHostURL/v1-saml/okta/saml/metadata`

Single Sign on URL

https://yourRancherHostURL/v1-saml/okta/saml/acs

Audience URI (SP Entity ID)

https://yourRancherHostURL/v1-saml/okta/saml/metadata

Configurando o Okta no Rancher

Você pode integrar o Okta com o Rancher, para que usuários autenticados possam acessar os recursos do Rancher através de suas permissões de grupo. O Okta retorna uma afirmação SAML que autentica um usuário, incluindo os grupos aos quais o usuário pertence.

No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.
No menu de navegação à esquerda, clique em Provedor de Autenticação.
Clique em Okta.

Complete o formulário Configurar Conta Okta. Os exemplos abaixo descrevem como você pode mapear atributos do Okta de declarações de atributos para campos dentro do Rancher.

Campo Descrição

Campo	Descrição
Campo Nome de Exibição	O nome do atributo de uma declaração de atributo que contém o nome exibido dos usuários.
Campo Nome de Usuário	O nome do atributo de uma declaração de atributo que contém o nome de usuário/nome dado.
Campo UID	O nome do atributo de uma declaração de atributo que é único para cada usuário.
Campo Grupos	O nome do atributo em uma declaração de atributo de grupo que expõe seus grupos.
Host da API do Rancher	A URL do seu Servidor Rancher.
Chave Privada / Certificado	Um par chave/certificado usado para Criptografia de Afirmação.
Metadata XML	O arquivo `Identity Provider metadata` que você encontra na seção `Sign On` do aplicativo.

Campo Nome de Exibição

O nome do atributo de uma declaração de atributo que contém o nome exibido dos usuários.

Campo Nome de Usuário

O nome do atributo de uma declaração de atributo que contém o nome de usuário/nome dado.

Campo UID

O nome do atributo de uma declaração de atributo que é único para cada usuário.

Campo Grupos

O nome do atributo em uma declaração de atributo de grupo que expõe seus grupos.

Host da API do Rancher

A URL do seu Servidor Rancher.

Chave Privada / Certificado

Um par chave/certificado usado para Criptografia de Afirmação.

Metadata XML

O arquivo Identity Provider metadata que você encontra na seção Sign On do aplicativo.

Você pode gerar um par chave/certificado usando um comando openssl. Por exemplo:

 openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout myservice.key -out myservice.crt

Após completar o formulário Configurar Conta Okta, clique em Habilitar.

O Rancher redireciona você para a página de login do IdP. Insira as credenciais que autenticam com o IdP Okta para validar sua configuração do Okta no Rancher.

Se nada parece acontecer, é provável que seu navegador tenha bloqueado o pop-up. Certifique-se de desativar o bloqueador de pop-ups para seu domínio do Rancher e adicioná-lo à lista de permissões em quaisquer outras extensões que você possa utilizar.

Resultado: O Rancher está configurado para trabalhar com Okta. Seus usuários agora podem fazer login no Rancher usando seus logins do Okta.

Advertências do Provedor SAML

Se você configurar o Okta sem o OpenLDAP, não poderá pesquisar ou procurar diretamente usuários ou grupos. Isso traz várias ressalvas:

Usuários e grupos não são validados quando você atribui permissões a eles no Rancher.
Ao adicionar usuários, os IDs exatos dos usuários (ou seja, UID Field) devem ser inseridos corretamente. Enquanto você digita o ID do usuário, não haverá busca por outros IDs de usuários que possam corresponder.
Ao adicionar grupos, você deve selecionar o grupo no menu suspenso ao lado da caixa de texto. O Rancher assume que qualquer entrada da caixa de texto é um usuário.
O menu suspenso de grupos mostra apenas os grupos dos quais você é membro. No entanto, se você tiver permissões de Administrador ou permissões de Administrador restritas, poderá ingressar em um grupo do qual não é membro.

Okta com pesquisa OpenLDAP

Você pode adicionar um backend OpenLDAP para ajudar na busca de usuários e grupos. O Rancher exibirá usuários e grupos adicionais do serviço OpenLDAP. Isso permite atribuir permissões a grupos dos quais o usuário logado não é membro.

Pré-requisitos do OpenLDAP

Se você usar o Okta como seu IdP, pode configurar uma interface LDAP para o Rancher usar. Você também pode configurar um servidor OpenLDAP externo.

Você deve configurar o Rancher com uma conta de vinculação LDAP (também conhecida como conta de serviço) para que possa pesquisar e recuperar entradas LDAP para usuários e grupos que devem ter acesso. Não use uma conta de administrador ou conta pessoal como uma conta de vinculação LDAP. Criar uma conta dedicada no OpenLDAP, com acesso somente leitura a usuários e grupos sob a base de pesquisa configurada.

Considerações sobre segurança

A conta de serviço OpenLDAP é usada para todas as pesquisas. Os usuários do Rancher verão usuários e grupos que a conta de serviço OpenLDAP pode visualizar, independentemente de suas permissões SAML individuais.

Usando TLS?

Se o certificado usado pelo servidor OpenLDAP for autoassinado ou de uma autoridade certificadora não reconhecida, o Rancher precisa do certificado CA (concatenado com quaisquer certificados intermediários) no formato PEM. Forneça este certificado durante a configuração para que o Rancher possa validar a cadeia de certificados.

Configure o OpenLDAP no Rancher

Configure as configurações para o servidor OpenLDAP, grupos e usuários. Observe que a associação de grupos aninhados não está disponível.

Antes de prosseguir com a configuração, familiarize-se com configuração de autenticação externa e usuários principais.

Faça login no Rancher usando um usuário local atribuído ao papel administrador (ou seja, o principal local).
No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.
No menu de navegação à esquerda, clique em Provedor de Autenticação.
Clique em Okta ou, se o SAML já estiver configurado, em Editar Config
Em Pesquisa de Usuários e Grupos, marque Configurar um servidor OpenLDAP

Se você encontrar problemas ao testar a conexão com o servidor OpenLDAP, certifique-se de que inseriu as credenciais da conta de serviço e configurou a base de pesquisa corretamente. Inspecionar os logs do Rancher pode ajudar a identificar a causa raiz. Os logs de depuração podem conter informações mais detalhadas sobre o erro. Por favor, consulte Como posso habilitar o registro de depuração para mais informações.

Configurando o Logout Único SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.
In the top left corner, click ☰ > Users & Authentication.
In the left navigation menu, click Auth Provider.

Under the section Log Out behavior, choose the appropriate SLO setting as described below:

Setting	Description
Log out of Rancher and not authentication provider	Choosing this option will only logout the Rancher application and not external authentication providers.
Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)	Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.
Allow the user to choose one of the above in an additional log out step	Choosing this option presents users with a choice of logout method as described above.

Setting

Description

Log out of Rancher and not authentication provider

Choosing this option will only logout the Rancher application and not external authentication providers.

Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

Allow the user to choose one of the above in an additional log out step

Choosing this option presents users with a choice of logout method as described above.

Permissões de Grupo SAML e OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.