JumpServer SSO
本文为您介绍如何在 IDaaS 中配置 JumpServer 单点登录。
应用简介
JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。
JumpServer 支持多种协议,IDaaS 基于 SAML 2.0 协议与其对接,提供应用模板。 JumpServer 于 2021 年 12 月 16 日,发布 v2.17.0,开始支持 SAML 2.0 协议。若您的版本不支持,可使用 IDaaS OIDC 协议模板与 JumpServer 支持的 OIDC 认证方式进行对接。
操作步骤
一、创建 IDaaS 应用
请管理员前往【应用】【应用市场】,搜索到 JumpServer 应用模板。确认应用名后,即可完成添加流程。
添加后,会自动来到 SSO 配置页。
配置 SSO
您只需要将 JumpServer 根域名填写进来。
其他选项保持默认,点击【保存】即可完成全部 SSO 配置。
应用账户:默认使用 IDaaS 账户名作为应用登录标识。 若希望灵活配置,请参考 SAML 应用账户配置 进行配置。 授权范围:改为全员可用。若希望指定可访问应用的 IDaaS 账户,请参考 应用授权 进行配置。
获取 JumpServer 配置信息
配置页下方的【应用配置信息】中,只需将 【IdP 元数据】 地址复制出来即可。
二、JumpServer 中配置 SSO
为 JumpServer 配置 SSO 非常简单。
生成证书
SAML 协议依赖证书,由于 JumpServer 不支持自己生成证书,所以需要单独生成。您可以使用 SSL 工具生成公私钥(可搜索市面方案),或使用 本链接 生成。
以使用链接生成为例,在页面表单中填写信息(随意填写内容即可,建议尽可能如实填写,内容会在证书中有所体现),点击【Generate Self-Signed Certs】按钮生成证书。
将私钥【Private Key】内容复制在本地,保存为.pem文件。将【X.509 cert】公钥保存为.cer文件。
在接下来配置中,需要将这两个文件上传。
配置 JumpServer
请在新的浏览器标签中使用管理员账号登录 JumpServer 后台。
通过【系统设置】【认证设置】,来到认证方式配置页。点击【SAML 2 认证】的【启用】按钮。
配置表单参数较多,但大多无需关注。您只需关注如下参数:
参数 | 说明 |
SP 密钥 | 即上一步生成的私钥 Private Key,文件上传 .pem。 |
SP 证书 | 即上一步生成的公钥证书 X.509 cert,上传 .cer 文件。 |
开启 SAML2 认证 | 勾选即可。 |
IDP metadata URL | 填写 IDaaS 中提供的元数据地址。 |
高级设置 | 将
|
参考下图配置效果:
JumpServer 配置完成,请点击页面下方【提交】。
您已可以尝试使用 IDaaS 账户登录 JumpServer。
三、尝试 SSO
您已经可以尝试 JumpServer SSO。
JumpServer 既支持 IDP(IDaaS 门户) 发起 SSO,也支持 SP(应用) 发起 SSO。
注意:JumpServer 默认支持【自动创建账户】(Just-in-time Provisioning),单点登录时,若 JumpServer 中不存在指定应用账户,则会直接创建,不会拒绝访问。请在 IDaaS 中管理 JumpServer 访问权限。
IDP 发起
请用已授权使用 JumpServer 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 JumpServer 图标,发起 SSO。
SP 发起
请在匿名浏览器中,打开 JumpServer 登录页,点击下方【SAML2】认证。
使用 IDaaS 账户验证通过后,将直接登录到 JumpServer 中。