Zabbix SSO
本文为您介绍如何在 IDaaS 中配置 Zabbix 单点登录。
应用简介
Zabbix 是一个基于 Web 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数,保证服务器系统的安全运营。
注意:在 Zabbix 5.0+ 版本中,系统原生提供 SAML 2.0 的 SSO 支持。若您当前使用版本低于 5.0,可能需要额外插件才能实现 SSO,例如 Zabbix - MiniOrange,配置方式也会不同。 本篇文档中 Zabbix 版本为 5.4。 Zabbix 原生SAML 配置请参考文档:https://www.zabbix.com/documentation/current/en/manual/web_interface/frontend_sections/administration/authentication
操作步骤
一、配置 IDaaS 应用
请管理员前往【应用】【应用市场】,搜索到“ Zabbix”应用模板,点击“添加应用”按钮,确认应用名后,即可完成应用创建。
创建应用成功后,会自动来到 SSO 单点登录配置页。
配置 SSO
您只需要将 Zabbix 服务地址填写进来,注意结尾不要以“/”结尾。
其他选项保持默认,点击【保存】即可完成全部 SSO 配置。
应用账户:默认使用 IDaaS 账户名作为应用登录标识。Zabbix 支持【自动创建账户】,单点登录时,若 Zabbix 中不存在指定账户,则会直接创建出来。 若希望灵活配置,请参考单点配置通用说明 - 应用账户进行配置。 授权范围:默认全员可用。若希望指定可访问应用的 IDaaS 账户,请参考单点配置通用说明 - 应用账户进行配置。
获取 Zabbix 配置信息
配置页下方的【应用配置信息】中,包含了 Zabbix 完成配置所需要的参数。
从中您需要获取IdP 唯一标识IdP SSO 地址和公钥证书三个参数。其中公钥证书需要您下载到本地。
二、Zabbix 中配置 SSO
1. 配置 SSO
请在新的浏览器标签中使用管理员账号登录 Zabbix 后台。
通过【Administration】【Authentication】【SAML Settings】,来到 SAML 配置页。
将 IDaaS 中获取到的信息填写进入表格中。参数对照如下:
字段 | IDaaS 中字段名称 | 说明 |
Enable saml authentication | 启用。 | |
IdP entity ID | IdP 唯一标识 IdP Entity ID | 从 IDaaS SSO 配置页【应用配置信息】中获取。 |
SSO service URL | IdP SSO 地址 IdP Sign-in URL | 从 IDaaS SSO 配置页【应用配置信息】中获取。 |
Username attribute | 填写 | |
SP entity ID | - | 固定填写为 Zabbix 服务地址。 |
将以上配置保存,将立刻生效。
2. 配置证书
您需要将 IDaaS 中下载的证书放置在 Zabbix 部署环境中的指定位置,Zabbix 才能用其解析 SAML SSO 请求。
请检查 zabbix.conf.php 文件中 $SSO['IDP_CERT']配置。若未手动指定,其默认值应为ui/conf/certs/idp.crt。
请您做两件事:
文件改名。将从 IDaaS 下载的
.cer证书文件,改名为idp.crt文件。后缀请直接修改即可。文件上传。将 idp.crt 上传到上述指定位置。
重启 Zabbix 服务后,即可使用 SSO。
三、尝试 SSO
您已经可以尝试 Zabbix SSO。
Zabbix 既支持 IDP(IDaaS 门户) 发起 SSO,也支持 SP(应用) 发起 SSO。
注意:Zabbix 支持【自动创建账户】(Just-in-time Provisioning),单点登录时,若 Zabbix 中不存在指定应用账户,则会直接创建,不会拒绝访问。请在 IDaaS 中管理 Zabbix 访问权限。
IDP 发起
请用已授权使用 Zabbix 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 Zabbix 图标,发起 SSO。
SP 发起
请在匿名浏览器中,打开 Zabbix 登录页,点击【Sign in with Single Sign-On(SAML)】,则会跳转到 IDaaS 进行登录。如果用户尚未登录 IDaaS ,则 IDaaS 会引导用户进行登录 。
验证通过后,将直接登录到 Zabbix 中。