Difference between revisions of "Pandora: Documentation es: saml"

From Pandora FMS Wiki
Jump to: navigation, search
(SAML Single Sign-On con Pandora FMS)
Line 79: Line 79:
 
</pre>
 
</pre>
  
Una vez se tenga el atributo en el SAML creado y seleccionado de esa forma con la configuración en Pandora, se indicarán los siguientes parámetros:
+
Una vez se tenga el atributo en el SAML creado y seleccionado de esa forma con la configuración en Pandora FMS, se indicarán los siguientes parámetros:
  
 
<center>
 
<center>

Revision as of 02:04, 22 July 2019

1 SAML Single Sign-On con Pandora FMS


SAML es un estándar abierto de autenticación y autorización basado en XML. Pandora FMS puede funcionar como un proveedor de servicios con su proveedor de identidades SAML interno.

Template warning.png

Los administradores siempre se autentican contra la base de datos local.

 


1.1 Configurando Pandora FMS


Será necesario ir a Administration -> Setup -> Authentication y seleccionar SAML en Authentication method.

Saml5.JPG

1.2 Configurando el proveedor de servicios


Para configurar el proveedor de servicios habrá que descargar SimpleSamlphp e instalarlo en /opt/simplesamlphp/.

Será necesario asegurarse de que el fichero /opt/simplesamlphp/lib/_autoload.php existe.

Se seguirá la guía SimpleSAMLphp Service Provider QuickStart y se configurará el proveedor de servicios. Serán necesarios los metadatos del proveedor de identidades.

Una vez instalado simplesamlphp se puede comprobar si funciona el login directamente en el saml. Para ello se accederá a la siguiente IP y se seleccionará la fuente de autenticación.

http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php

Saml1.JPG

Aparecerá una pantalla de login como la siguiente donde se introducirá un usuario y contraseña de saml que haya creado.

Saml2.JPG

Si el login es correcto aparecerá una pantalla resumen con todos los atributos del usuario.

1.3 Configurando su proveedor de identidades


Para que se generen los usuarios de saml correctamente en Pandora FMS es necesario definir en cada uno de ellos los siguientes atributos identificativos que aparecen el la configuración de SAML:

Saml3.JPG

  • Failback to local authentication: Si está desactivada no permitirá loguear a ningún usuario que no exista en saml (exceptuando usuarios administradores de la herramienta). En el caso de que falle la autenticación contra saml y esté esta opción deshabilitada no consultará en la base de datos del servidor.
  • Automatically create remote users: Creará automáticamente los usuarios cuando se loguee por primera vez mediante saml en la herramienta. En caso de estar desactivado debe crearse manualmente con anterioridad.
  • SimpleSAML path: Ruta, sin indicar simplesamlphp en la ruta, donde se encuentra instalado simplesamlphp en el servidor. Como indicamos en la documentación debe instalarse en la ruta /opt/simplesamlphp y debe indicarse en este parámetro /opt/
  • SAML Source: Nombre de la fuente SAML contra la que queramos realizar las peticiones. El nombre debe coincidir con la fuente que hayamos seleccionado en:
http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php
  • SAML user id attribute: Nombre del atributo de SAML que coincidirá con el nombre de los usuarios en Pandora FMS.
  • SAML mail attribute: Nombre del atributo en SAML que coincidirá con el mail de los usuarios en Pandora FMS en la creación.
  • SAML group name attribute: Nombre del atributo de SAML que coincidirá con el grupo con el que se crearán los usuarios en Pandora FMS.


  • Simple attribute / Multivalue attribute: Opción que nos permite seleccionar si queremos utilizar un atributo simple para los campos de Perfil y Tag en Pandora FMS o un atributo multivalor.

En el caso de elegir Simple attribute aparecerán dos nuevos campos llamados Profile attribute y Tag attribute donde se seleccionarán los nombres de los atributos de SAML que coincidirán con el nombre del Perfil y Tag en Pandora FMS al crearse.

Cuando se seleccionan Multivalue attribute se tiene que utilizar un atributo que siga este formato:

<Attribute Name="MULTIVALUE_ATTRIBUTE">
<AttributeValue>PREFIX:role:rolename</AttributeValue>
<AttributeValue>PREFIX:tag:tagname</AttributeValue>
</Attribute>

Una vez se tenga el atributo en el SAML creado y seleccionado de esa forma con la configuración en Pandora FMS, se indicarán los siguientes parámetros:

Saml4.JPG


  • SAML profiles and tag attribute: Nombre del atributo multivalor.
  • SAML profile and tags prefix: Prefijo que irá antes de la clave role y tag en el valor del atributo. En el caso de que sea urn:artica:role:<rolename> y urn:artica:tag:<tagname> habría que configurar el prefijo urn:artica.


1.4 Inicio de sesión


Será necesario navegar a la Consola de Pandora FMS y hacer click en el botón de Login. Se redirigirá al proveedor de identidades.

Saml idp.png

Después de un inicio de sesión correcto se redirigirá de vuelta a la Consola de Pandora FMS.