Open Distro for Elasticsearch Security 使用 SAML 2.0 协议的 Web 浏览器单点登录 (SSO) 配置文件。这使您能够使用任何符合 SAML 2.0 的身份提供商 (IdP) 配置联合访问。在前一篇博文中,我讨论了如何使用 Microsoft Active Directory Federation Services (ADFS) 设置基于 SAML 的 SSO。在此博文中,我将讨论特定于 Okta 的配置。
先决条件
安装并配置 Open Distro for Elasticsearch
安装并配置 Kibana。记下 Kibana 服务器完全符合条件的域名 (FQDN),设置为 kibana_base_url 和 kibana_port(默认值为 5601)。
在 Elasticsearch 和 Kibana 上启用 SSL – 大多数身份提供者都会如此要求。
创建或获取您的 Okta 账户的详细信息。
在 Okta 中创建用户并分配到组。本文中,我已创建三个用户 – esuser1、esuser2 和 esuser3 – 和两个组 – ESAdmins 和 ESUsers。组成员关系在此显示:
Okta 配置
在您的 Okta 账户中,点击应用程序 -> 添加应用程序 -> 创建新应用程序。
添加新应用程序
在下一个屏幕中,将 Web 应用程序选为类型,将 SAML 2.0 选为身份验证方法,并点击创建。在下一个屏幕中,键入应用程序名称并点击下一步。
选择集成类型
在 SAML 设置中,设置单点登录 URL 和受众 URI(SP 实体 ID)。输入下面的 kibana url 作为 单点登录 URL。
确保将 kibana_base_url 和 kibana_port 替换为先决条件中提到的实际 Kibana 配置。在我的设置中,此配置为 https://new-kibana.ad.example.com:5601/…。
为受众 URI 添加一个字符串。您可以在此选择任何名称。我使用的是 kibana-saml。您将在 Elasticsearch Security 插件 SAML 配置中使用此名称作为 SP-entity-id。
saml 设置
您将使用 Okta 的组属性声明将用户的组成员关系从 Okta 传递到 Elasticsearch。将名称设置为“角色”。您选择的名称必须与 Open Distro Security 配置中定义的 roles_key 匹配。点击下一步和完成。
在应用程序设置屏幕中,点击身份提供商元数据链接下载元数据 XML 文件并将其复制到 Elasticsearch 配置目录。将 Open Distro Security 的 config.yml 文件中的 idp.metadata_file 属性设置为 XML 文件的路径。该路径必须相对于 config 目录予以指定(您也可以不指定文件,而是指定 metadata_url)。
此元数据文件包含 idp.entity_id。
显示实体 ID 的元数据文件
要完成 Open Distro for Elasticsearch Security 的配置,请参阅我的上一篇博文使用 ADFS 添加单点登录。按照该博文中的步骤将 Open Distro Security 角色映射到 Okta 组,更新 Open Distro Security 配置和 Kibana 配置并重新启动 Kibana。Security 配置文件与 Okta 集成的副本如下:
重新启动 Kibana 后,您便可以测试集成。您应遵照 ADFS 博文中所述的相同行为。
小结
本文中,我讨论了使用 Okta 的 Kibana 单点登录的 SAML 身份验证。您可以使用类似的程序来配置与任何符合 SAML 2.0 的身份提供商的集成。有关使用 SAML 配置 Open Distro for Elasticsearch Security 的其他配置选项,请参阅 Open Distro for Elasticsearch 文档。
本文转载自 AWS 博客。
原文链接:
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论