Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Configurar PingIdentity (SAML)

Se sua organização usa o Provedor de Identidade Ping (IdP) para autenticação de usuários, você pode configurar o Rancher para permitir que seus usuários façam login usando suas credenciais do IdP.

Pré-requisitos:

  • Você deve ter um servidor Ping IdP configurado.

  • A seguir estão as URLs do Provedor de Serviço Rancher necessárias para configuração: URL de Metadados: https://<rancher-server>/v1-saml/ping/saml/metadata URL do Serviço de Consumidor de Aserções (ACS): https://<rancher-server>/v1-saml/ping/saml/acs Observe que essas URLs não retornarão dados válidos até que a configuração de autenticação seja salva no Rancher.

  • Exporte um arquivo metadata.xml do seu servidor IdP. Para mais informações, consulte a documentação do PingIdentity.

  1. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  2. No menu de navegação à esquerda, clique em Provedor de Autenticação.

  3. Clique em Ping Identity.

  4. Complete o formulário Configurar uma conta do Ping. O Ping IdP permite que você especifique qual armazenamento de dados deseja usar. Você pode adicionar um banco de dados ou usar um servidor LDAP existente. Por exemplo, se você selecionar seu servidor Active Directory (AD), os exemplos abaixo descrevem como você pode mapear atributos do AD para campos dentro do Rancher.

    1. Campo Nome de Exibição: Insira o atributo do AD que contém o nome de exibição dos usuários (exemplo: displayName).

    2. Campo Nome de Usuário: Insira o atributo do AD que contém o nome de usuário/nome dado (exemplo: givenName).

    3. Campo UID: Insira um atributo do AD que seja único para cada usuário (exemplo: sAMAccountName, distinguishedName).

    4. Campo Grupos: Faça entradas para gerenciar associações a grupos (exemplo: memberOf).

    5. Campo de ID da Entidade (opcional): O identificador único, dependente do protocolo, publicado do seu parceiro. Este ID define sua organização como a entidade que opera o servidor para transações SAML 2.0. Este ID pode ter sido obtido fora de banda ou por meio de um arquivo de metadados SAML.

    6. Host da API do Rancher: Insira a URL do seu Servidor Rancher.

    7. Chave Privada e Certificado: Este é um par chave-certificado para criar um shell seguro entre o Rancher e seu IdP.

      Você pode gerar um usando um comando openssl. Por exemplo:

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    8. IDP-metadata: O arquivo metadata.xml que você exportou do seu servidor Ping IdP.

  5. Após completar o formulário Configurar conta do Ping, clique em Habilitar.

    O Rancher redireciona você para a página de login do IdP. Insira as credenciais que autenticam com o Ping IdP para validar sua configuração do PingIdentity no Rancher.

    Você pode precisar desativar seu bloqueador de pop-ups para ver a página de login do IdP.

Resultado: O Rancher está configurado para trabalhar com o PingIdentity. Seus usuários agora podem fazer login no Rancher usando seus logins do PingIdentity.

Advertências do Provedor SAML

  • Usuários e grupos não são validados quando você atribui permissões a eles no Rancher.

  • Ao adicionar usuários, os IDs exatos dos usuários (ou seja, UID Field) devem ser inseridos corretamente. Enquanto você digita o ID do usuário, não haverá busca por outros IDs de usuários que possam corresponder.

  • Ao adicionar grupos, você deve selecionar o grupo no menu suspenso ao lado da caixa de texto. O Rancher assume que qualquer entrada da caixa de texto é um usuário.

  • O menu suspenso de grupos mostra apenas os grupos dos quais você é membro. Se você tiver permissões de administrador ou permissões de administrador restritas, poderá ingressar em um grupo do qual não é membro.

Configurando o Logout Único SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Permissões de Grupo SAML e OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.