本文為您介紹如何在IDaaS中配置Zabbix單點登入。
應用簡介
Zabbix是一個基於Web介面的提供分布式系統監視以及網路監視功能的企業級的開源解決方案。能監視各種網路參數,保證伺服器系統的安全營運。
在Zabbix 5.0+版本中,系統原生提供SAML 2.0的SSO支援。若您當前使用版本低於5.0,可能需要額外外掛程式才能實現SSO,例如Zabbix-MiniOrange,配置方式也會不同。 本篇文檔中Zabbix版本為5.4。Zabbix 原生SAML配置請參考文檔:Zabbix原生SAML配置。
操作步驟
一、配置IDaaS應用
請管理員前往,搜尋到Zabbix應用,單擊添加應用,確認應用程式名稱後,即可完成應用建立。
建立應用成功後,會自動來到SSO單點登入配置頁。
配置SSO
您只需要將Zabbix服務地址填寫進來,注意結尾不要以/結尾。
其他選項保持預設,單擊儲存即可完成全部SSO配置。
應用賬戶:預設使用IDaaS賬戶名作為應用登入標識。Zabbix支援自動建立賬戶,單點登入時,若Zabbix中不存在指定賬戶,則會直接建立出來。若希望靈活配置,請參考單點配置通用說明-應用賬戶進行配置。 授權範圍:預設全員可用。若希望指定可訪問應用的IDaaS賬戶,請參考單點配置通用說明-應用賬戶進行配置。
擷取Zabbix配置資訊
配置頁下方的應用配置資訊中,包含了Zabbix完成配置所需要的參數。
從中您需要擷取IdP 唯一標識,IdP SSO 地址和密鑰憑證三個參數。其中密鑰憑證需要您下載到本地。
二、Zabbix中配置 SSO
1. 配置SSO
請在新的瀏覽器標籤中使用管理員帳號登入Zabbix後台。
通過,來到SAML配置頁。
將IDaaS中擷取到的資訊填寫進入表格中。參數對照如下:
欄位 | IDaaS 中欄位名稱 | 說明 |
Enable saml authentication | 啟用。 | |
IdP entity ID | IdP 唯一標識 IdP Entity ID | 從IDaaS SSO配置頁應用配置資訊中擷取。 |
SSO service URL | IdP SSO 地址 IdP Sign-in URL | 從IDaaS SSO配置頁應用配置資訊中擷取。 |
Username attribute | 填寫 | |
SP entity ID | - | 固定填寫為Zabbix服務地址。 |
將以上配置儲存,將立刻生效。
2. 配置認證
您需要將IDaaS中下載的認證放置在Zabbix部署環境中的指定位置,Zabbix才能用其解析SAML SSO請求。
請檢查zabbix.conf.php檔案中$SSO['IDP_CERT']配置。若未手動指定,其預設值應為ui/conf/certs/idp.crt。
請您做兩件事:
檔案改名。將從IDaaS下載的
.cer認證檔案,改名為idp.crt檔案。尾碼請直接修改即可。檔案上傳。將
idp.crt上傳到上述指定位置。
重啟Zabbix服務後,即可使用SSO。
三、嘗試SSO
您已經可以嘗試Zabbix SSO。
Zabbix既支援IDP(IDaaS門戶)發起SSO,也支援SP(應用)發起SSO。
Zabbix支援自動建立賬戶(Just-in-time Provisioning),單點登入時,若Zabbix中不存在指定應用賬戶,則會直接建立,不會拒絕訪問。請在IDaaS中管理Zabbix存取權限。
IDP發起
請用已授權使用Zabbix的IDaaS賬戶,登入到IDaaS門戶頁,單擊頁面上Zabbix表徵圖,發起SSO。
SP發起
請在匿名瀏覽器中,開啟Zabbix登入頁,單擊Sign in with Single Sign-On(SAML),則會跳轉到IDaaS進行登入。如果使用者尚未登入IDaaS ,則IDaaS會引導使用者進行登入 。
驗證通過後,將直接登入到Zabbix中。