文档

JumpServer SSO

更新时间:

本文为您介绍如何在 IDaaS 中配置 JumpServer 单点登录。

应用简介

JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。

说明

JumpServer 支持多种协议,IDaaS 基于 SAML 2.0 协议与其对接,提供应用模板。 JumpServer 于 2021 年 12 月 16 日,发布 v2.17.0,开始支持 SAML 2.0 协议。若您的版本不支持,可使用 IDaaS OIDC 协议模板与 JumpServer 支持的 OIDC 认证方式进行对接。

操作步骤

一、创建 IDaaS 应用

请管理员前往【应用】【应用市场】,搜索到 JumpServer 应用模板。确认应用名后,即可完成添加流程。

image.png

添加后,会自动来到 SSO 配置页。

配置 SSO

您只需要将 JumpServer 根域名填写进来。

image.png

其他选项保持默认,点击【保存】即可完成全部 SSO 配置。

说明

应用账户:默认使用 IDaaS 账户名作为应用登录标识。 若希望灵活配置,请参考 SAML 应用账户配置 进行配置。 授权范围:改为全员可用。若希望指定可访问应用的 IDaaS 账户,请参考 应用授权 进行配置。

获取 JumpServer 配置信息

配置页下方的【应用配置信息】中,只需将 【IdP 元数据】 地址复制出来即可。

image.png

二、JumpServer 中配置 SSO

为 JumpServer 配置 SSO 非常简单。

生成证书

SAML 协议依赖证书,由于 JumpServer 不支持自己生成证书,所以需要单独生成。您可以使用 SSL 工具生成公私钥(可搜索市面方案),或使用 本链接 生成。

以使用链接生成为例,在页面表单中填写信息(随意填写内容即可,建议尽可能如实填写,内容会在证书中有所体现),点击【Generate Self-Signed Certs】按钮生成证书。

image.png

将私钥【Private Key】内容复制在本地,保存为.pem文件。将【X.509 cert】公钥保存为.cer文件。

在接下来配置中,需要将这两个文件上传。

配置 JumpServer

请在新的浏览器标签中使用管理员账号登录 JumpServer 后台。

通过【系统设置】【认证设置】,来到认证方式配置页。点击【SAML 2 认证】的【启用】按钮。

image.png

配置表单参数较多,但大多无需关注。您只需关注如下参数:

参数

说明

SP 密钥

即上一步生成的私钥 Private Key,文件上传 .pem。

SP 证书

即上一步生成的公钥证书 X.509 cert,上传 .cer 文件。

开启 SAML2 认证

勾选即可。

IDP metadata URL

填写 IDaaS 中提供的元数据地址。

高级设置 strict

strict 的值改为 false

提示:将 strict 设定为 false 会存在安全风险。但由于 JumpServer 官网对 SAML 配置描述不清,只得如此配置过渡。我们会即时跟进 JumpServer 官网说明,尽可能提供完整、安全的 SAML 服务。若您对安全性要求较高,请使用 OIDC 协议配置 JumpServer。

参考下图配置效果:

image.png

JumpServer 配置完成,请点击页面下方【提交】。

您已可以尝试使用 IDaaS 账户登录 JumpServer。

三、尝试 SSO

您已经可以尝试 JumpServer SSO。

JumpServer 既支持 IDP(IDaaS 门户) 发起 SSO,也支持 SP(应用) 发起 SSO。

说明

注意:JumpServer 默认支持【自动创建账户】(Just-in-time Provisioning),单点登录时,若 JumpServer 中不存在指定应用账户,则会直接创建,不会拒绝访问。请在 IDaaS 中管理 JumpServer 访问权限。

IDP 发起

请用已授权使用 JumpServer 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 JumpServer 图标,发起 SSO。

image.png

SP 发起

请在匿名浏览器中,打开 JumpServer 登录页,点击下方【SAML2】认证。

image.png

使用 IDaaS 账户验证通过后,将直接登录到 JumpServer 中。

  • 本页导读 (0)