Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Configurando Shibboleth (SAML)

Se sua organização usa o Provedor de Identidade Shibboleth (IdP) para autenticação de usuários, você pode configurar o Rancher para permitir que seus usuários façam login no Rancher usando suas credenciais do Shibboleth.

Nesta configuração, quando os usuários do Rancher fizerem login, eles serão redirecionados para o IdP Shibboleth para inserir suas credenciais. Após a autenticação, eles serão redirecionados de volta para a interface do Rancher.

Se você também configurar o OpenLDAP como o back end do Shibboleth, ele retornará uma afirmação SAML para o Rancher com atributos de usuário que incluem grupos. Então, o usuário autenticado poderá acessar recursos no Rancher para os quais seus grupos têm permissões.

As instruções nesta seção assumem que você entende como o Rancher, Shibboleth e OpenLDAP funcionam juntos. Para uma explicação mais detalhada de como funciona, consulte esta página.

Configurando o Shibboleth no Rancher

Pré-requisitos do Shibboleth

  • Você deve ter um servidor Shibboleth IdP configurado.

  • A seguir estão as URLs do Provedor de Serviço Rancher necessárias para configuração: URL de Metadados: https://<rancher-server>/v1-saml/shibboleth/saml/metadata URL do Serviço de Consumidor de Aserções (ACS): https://<rancher-server>/v1-saml/shibboleth/saml/acs

  • Exporte um arquivo metadata.xml do seu servidor IdP. Para obter mais informações, consulte a documentação do Shibboleth.

Configure o Shibboleth no Rancher

Se sua organização usa o Shibboleth para autenticação de usuários, você pode configurar o Rancher para permitir que seus usuários façam login usando suas credenciais do IdP.

  1. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  2. No menu de navegação à esquerda, clique em Provedor de Autenticação.

  3. Clique em Shibboleth.

  4. Preencha o formulário Configurar Conta Shibboleth. O Shibboleth IdP permite que você especifique qual armazenamento de dados deseja usar. Você pode adicionar um banco de dados ou usar um servidor LDAP existente. Por exemplo, se você selecionar seu servidor Active Directory (AD), os exemplos abaixo descrevem como você pode mapear atributos do AD para campos dentro do Rancher.

    1. Campo Nome de Exibição: Insira o atributo do AD que contém o nome de exibição dos usuários (exemplo: displayName).

    2. Campo Nome de Usuário: Insira o atributo do AD que contém o nome de usuário/nome dado (exemplo: givenName).

    3. Campo UID: Insira um atributo do AD que seja único para cada usuário (exemplo: sAMAccountName, distinguishedName).

    4. Campo Grupos: Faça entradas para gerenciar associações a grupos (exemplo: memberOf).

    5. Host da API do Rancher: Insira a URL do seu Servidor Rancher.

    6. Chave Privada e Certificado: Este é um par chave-certificado para criar um shell seguro entre o Rancher e seu IdP.

      Você pode gerar um usando um comando openssl. Por exemplo:

       openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

    7. IDP-metadata: O arquivo metadata.xml que você exportou do seu servidor IdP.

  5. Após completar o formulário Configurar Conta Shibboleth, clique em Habilitar.

    O Rancher redireciona você para a página de login do IdP. Insira as credenciais que autenticam com o IdP Shibboleth para validar sua configuração Shibboleth no Rancher.

    Você pode precisar desativar seu bloqueador de pop-ups para ver a página de login do IdP.

Resultado: O Rancher está configurado para trabalhar com Shibboleth. Seus usuários agora podem fazer login no Rancher usando seus logins Shibboleth.

Advertências do Provedor SAML

Se você configurar o Shibboleth sem OpenLDAP, as seguintes advertências se aplicam devido ao fato de que o Protocolo SAML não suporta busca ou consulta por usuários ou grupos.

  • Não há validação em usuários ou grupos ao atribuir permissões a eles no Rancher.

  • Ao adicionar usuários, os IDs exatos dos usuários (ou seja, Campo UID) devem ser inseridos corretamente. Enquanto você digita o ID do usuário, não haverá busca por outros IDs de usuários que possam corresponder.

  • Ao adicionar grupos, você deve selecionar o grupo no menu suspenso ao lado da caixa de texto. O Rancher assume que qualquer entrada da caixa de texto é um usuário.

  • O menu suspenso de grupos mostra apenas os grupos dos quais você é membro. No entanto, se você tiver permissões de Administrador ou permissões de Administrador restritas, poderá ingressar em um grupo do qual não é membro.

Para habilitar a busca por grupos ao atribuir permissões no Rancher, você precisará configurar um back-end para o provedor SAML que suporte grupos, como o OpenLDAP.

Configurando o Logout Único SAML (SLO)

Rancher supports the ability to configure SAML SLO. Options include logging out of the Rancher application only, logging out of Rancher and registered applications tied to the external authentication provider, or a prompt asking the user to choose between the previous options. The steps below outline configuration from the application GUI:

The Log Out behavior configuration section only appears if the SAML authentication provider allows for SAML SLO.

  1. Sign in to Rancher using a standard user or an administrator role to configure SAML SLO.

  2. In the top left corner, click ☰ > Users & Authentication.

  3. In the left navigation menu, click Auth Provider.

  4. Under the section Log Out behavior, choose the appropriate SLO setting as described below:

    Setting Description

    Log out of Rancher and not authentication provider

    Choosing this option will only logout the Rancher application and not external authentication providers.

    Log out of Rancher and authentication provider (includes all other applications registered with authentication provider)

    Choosing this option will logout Rancher and all external authentication providers along with any registered applications linked to the provider.

    Allow the user to choose one of the above in an additional log out step

    Choosing this option presents users with a choice of logout method as described above.

Configurando o OpenLDAP no Rancher

Se você também configurar o OpenLDAP como o back end do Shibboleth, ele retornará uma afirmação SAML para o Rancher com atributos de usuário que incluem grupos. Assim, usuários autenticados poderão acessar recursos no Rancher para os quais seus grupos têm permissões.

Pré-requisitos do OpenLDAP

O Rancher deve ser configurado com uma conta de vinculação LDAP (também conhecida como conta de serviço) para buscar e recuperar entradas LDAP relacionadas a usuários e grupos que devem ter acesso. Recomenda-se não usar uma conta de administrador ou conta pessoal para esse propósito e, em vez disso, criar uma conta dedicada no OpenLDAP com acesso somente leitura a usuários e grupos sob a base de pesquisa configurada (veja abaixo).

Usando TLS?

Se o certificado usado pelo servidor OpenLDAP for autoassinado ou não for de uma autoridade certificadora reconhecida, certifique-se de ter em mãos o certificado CA (concatenado com quaisquer certificados intermediários) no formato PEM. Você terá que colar este certificado durante a configuração para que o Rancher consiga validar a cadeia de certificados.

Configure o OpenLDAP no Rancher

Configure as configurações para o servidor OpenLDAP, grupos e usuários. Para ajuda ao preencher cada campo, consulte a referência de configuração. Observe que a associação de grupos aninhados não está disponível para Shibboleth.

Antes de prosseguir com a configuração, familiarize-se com os conceitos de Configuração de Autenticação Externa e Usuários Principais.

  1. Faça login na interface do Rancher usando a conta local inicial admin.

  2. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  3. No menu de navegação à esquerda, clique em Provedor de Autenticação.

  4. Clique em Shibboleth ou, se o SAML já estiver configurado, em Editar Config

  5. Em Pesquisa de Usuários e Grupos, marque Configurar um servidor OpenLDAP

Solução de problemas

Se você estiver enfrentando problemas ao testar a conexão com o servidor OpenLDAP, primeiro verifique novamente as credenciais inseridas para a conta de serviço, bem como a configuração da base de pesquisa. Você também pode inspecionar os logs do Rancher para ajudar a identificar a causa do problema. Os logs de depuração podem conter informações mais detalhadas sobre o erro. Por favor, consulte Como posso habilitar o registro de depuração nesta documentação.