Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Permissões de Grupo com Shibboleth e OpenLDAP

Como o Shibboleth é um provedor SAML, ele não suporta a busca por grupos. Embora uma integração com Shibboleth possa validar as credenciais do usuário, não pode ser usada para atribuir permissões a grupos no Rancher sem configuração adicional.

Uma solução para esse problema é configurar um provedor de identidade OpenLDAP. Com um back end OpenLDAP para o Shibboleth, você poderá buscar grupos no Rancher e atribuí-los a recursos como clusters, projetos ou namespaces pela GUI do Rancher.

Terminologia

  • Shibboleth é um sistema de login de autenticação única para redes de computadores e a Internet. Ele permite que as pessoas façam login usando apenas uma identidade em vários sistemas. Ele valida as credenciais do usuário, mas não gerencia, por si só, as associações a grupos.

  • SAML: Security Assertion Markup Language, uma linguagem de marcação padrão aberto para troca de dados de autenticação e autorização entre um provedor de identidade e um provedor de serviços.

  • OpenLDAP: uma implementação livre e de código aberto do Protocolo de Acesso a Diretórios Leve (LDAP). É usado para gerenciar os computadores e usuários de uma organização. OpenLDAP é útil para usuários do Rancher porque suporta grupos. No Rancher, é possível atribuir permissões a grupos para que possam acessar recursos como clusters, projetos ou namespaces, desde que os grupos já existam no provedor de identidade.

  • IdP ou IDP: Um provedor de identidade. OpenLDAP é um exemplo de provedor de identidade.

Adicionando Permissões de Grupo OpenLDAP aos Recursos do Rancher

O diagrama abaixo ilustra como membros de um grupo OpenLDAP podem acessar recursos no Rancher para os quais o grupo tem permissões.

Por exemplo, um proprietário de cluster pode adicionar um grupo OpenLDAP a um cluster para que tenha permissões para visualizar a maioria dos recursos em nível de cluster e criar novos projetos. Então, os membros do grupo OpenLDAP terão acesso ao cluster assim que fizerem login no Rancher.

Nesse cenário, o OpenLDAP permite que o proprietário do cluster busque grupos ao atribuir permissões. Sem o OpenLDAP, a funcionalidade de buscar grupos não seria suportada.

Quando uma usuária do grupo OpenLDAP faz login no Rancher, ela é redirecionada para o Shibboleth e insere seu nome de usuário e senha.

O Shibboleth valida suas credenciais e recupera atributos do usuário do OpenLDAP, incluindo grupos. Então, o Shibboleth envia uma afirmação SAML para o Rancher incluindo os atributos do usuário. O Rancher usa os dados do grupo para que ela possa acessar todos os recursos e permissões que seus grupos têm.

Adicionando Permissões do Grupo OpenLDAP aos Recursos do Rancher

Permissões de Grupo SAML e OpenLDAP

When you configure a SAML authentication provider backed by OpenLDAP, the SAML response might return only a subset of the groups that a user belongs to. The exact groups returned depend on the configuration of your external authentication provider.

Rancher assigns user permissions based strictly on the groups provided in the SAML response.

Even if you can search for and view specific OpenLDAP groups in the Rancher UI, you cannot use them to assign permissions if they are missing from the SAML response.

To assign permissions successfully, verify that your SAML authentication provider is configured to return all necessary OpenLDAP groups.