Tabla de Contenidos

SAML Single Sign-On con Pandora FMS

SAML es un estándar abierto de autenticación y autorización basado en XML. Pandora FMS puede funcionar como un proveedor de servicios con su proveedor de identidades SAML interno.

Los administradores siempre se autentican contra la base de datos local.

Configurando Pandora FMS

Será necesario ir a ManagementSetupSetupAuthentication y seleccione SAML bajo Authentication method.

Configurando el proveedor de servicios

Para configurar el proveedor de servicios habrá que descargar SimpleSamlphp e instalarlo en /opt/simplesamlphp/.

Será necesario configurar un endpoint para gestionar las autentificaciones en /simplesaml:

ln -s /opt/simplesamlphp/www /var/www/html/simplesaml

Tendrá que agregar su SP en /opt/simplesamlphp/config/authsources.php:

'test-sp' => [
       'saml:SP',
       'entityID' => 'http://app.example.com',
       'idp' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php',
   ],

Habrá que registrar los metadatos del IdP:

$metadata['http://172.16.0.3:8080/simplesaml/saml2/idp/metadata.php'] = array(
       'name' => array(
           'en' => 'Test IdP',
       ),
       'description' => 'Test IdP',
       'SingleSignOnService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SSOService.php',
       'SingleLogoutService' => 'http://172.16.0.3:8080/simplesaml/saml2/idp/SingleLogoutService.php',
       'certFingerprint' => '119b9e027959cdb7c662cfd075d9e2ef384e445f',
   );

Se recomienda utilizar la validación de certificado con certificado directo en vez de certFingerprint.

Será necesario asegurarse de que el fichero /opt/simplesamlphp/lib/_autoload.php existe.

Una vez instalado simplesamlphp se puede comprobar si funciona el login directamente en el saml. Para ello se accederá a la siguiente dirección IP y se seleccionará la fuente de autenticación.

http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php

saml1.jpg

Aparecerá una pantalla de login como la siguiente donde se introducirá un usuario y contraseña de saml que se haya creado.

saml2.jpg

Si el login es correcto aparecerá una pantalla resumen con todos los atributos del usuario.

Tiene también disponible la guía en SimpleSAMLphp Service Provider QuickStart.

Configurando su proveedor de identidades

Para que se generen los usuarios de SAML correctamente en Pandora FMS es necesario definir en cada uno de ellos los siguientes atributos identificativos que aparecen en la configuración de SAML:

http://<IP_ADDRESS>/simplesaml/module.php/core/authenticate.php

En el caso de elegir Simple attribute aparecerán dos nuevos campos llamados Profile attribute y Tag attribute donde se seleccionarán los nombres de los atributos de SAML que coincidirán con el nombre del Perfil y Tag en Pandora FMS al crearse.

Cuando se seleccionan Multivalue attribute se tiene que utilizar un atributo que siga este formato:

<Attribute Name="MULTIVALUE_ATTRIBUTE">
<AttributeValue>PREFIX:role:rolename</AttributeValue>
<AttributeValue>PREFIX:tag:tagname</AttributeValue>
</Attribute>

Una vez se tenga el atributo en el SAML creado y seleccionado de esa forma con la configuración en Pandora FMS, se indicarán los siguientes parámetros:

Inicio de sesión

Será necesario navegar en la Consola de Pandora FMS y hacer clic en el botón de Login. Se redirigirá al proveedor de identidades.

Después de un inicio de sesión correcto se redirigirá de vuelta a la Consola de Pandora FMS.

Volver al Índice de Documentación Pandora FMS