本文为您介绍如何在IDaaS中配置Zabbix单点登录。
应用简介
Zabbix是一个基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数,保证服务器系统的安全运营。
在Zabbix 5.0+版本中,系统原生提供SAML 2.0的SSO支持。若您当前使用版本低于5.0,可能需要额外插件才能实现SSO,例如Zabbix-MiniOrange,配置方式也会不同。 本篇文档中Zabbix版本为5.4。Zabbix 原生SAML配置请参考文档:Zabbix原生SAML配置。
操作步骤
一、配置IDaaS应用
请管理员前往,搜索到Zabbix应用,单击添加应用,确认应用名后,即可完成应用创建。
创建应用成功后,会自动来到SSO单点登录配置页。
配置SSO
您只需要将Zabbix服务地址填写进来,注意结尾不要以/结尾。
其他选项保持默认,单击保存即可完成全部SSO配置。
应用账户:默认使用IDaaS账户名作为应用登录标识。Zabbix支持自动创建账户,单点登录时,若Zabbix中不存在指定账户,则会直接创建出来。若希望灵活配置,请参考单点配置通用说明-应用账户进行配置。 授权范围:默认全员可用。若希望指定可访问应用的IDaaS账户,请参考单点配置通用说明-应用账户进行配置。
获取Zabbix配置信息
配置页下方的应用配置信息中,包含了Zabbix完成配置所需要的参数。
从中您需要获取IdP 唯一标识,IdP SSO 地址和公钥证书三个参数。其中公钥证书需要您下载到本地。
二、Zabbix中配置 SSO
1. 配置SSO
请在新的浏览器标签中使用管理员账号登录Zabbix后台。
通过,来到SAML配置页。
将IDaaS中获取到的信息填写进入表格中。参数对照如下:
字段 | IDaaS 中字段名称 | 说明 |
Enable saml authentication | 启用。 | |
IdP entity ID | IdP 唯一标识 IdP Entity ID | 从IDaaS SSO配置页应用配置信息中获取。 |
SSO service URL | IdP SSO 地址 IdP Sign-in URL | 从IDaaS SSO配置页应用配置信息中获取。 |
Username attribute | 填写 | |
SP entity ID | - | 固定填写为Zabbix服务地址。 |
将以上配置保存,将立刻生效。
2. 配置证书
您需要将IDaaS中下载的证书放置在Zabbix部署环境中的指定位置,Zabbix才能用其解析SAML SSO请求。
请检查zabbix.conf.php文件中$SSO['IDP_CERT']配置。若未手动指定,其默认值应为ui/conf/certs/idp.crt。
请您做两件事:
文件改名。将从IDaaS下载的
.cer证书文件,改名为idp.crt文件。后缀请直接修改即可。文件上传。将
idp.crt上传到上述指定位置。
重启Zabbix服务后,即可使用SSO。
三、尝试SSO
您已经可以尝试Zabbix SSO。
Zabbix既支持IDP(IDaaS门户)发起SSO,也支持SP(应用)发起SSO。
Zabbix支持自动创建账户(Just-in-time Provisioning),单点登录时,若Zabbix中不存在指定应用账户,则会直接创建,不会拒绝访问。请在IDaaS中管理Zabbix访问权限。
IDP发起
请用已授权使用Zabbix的IDaaS账户,登录到IDaaS门户页,单击页面上Zabbix图标,发起SSO。
SP发起
请在匿名浏览器中,打开Zabbix登录页,单击Sign in with Single Sign-On(SAML),则会跳转到IDaaS进行登录。如果用户尚未登录IDaaS ,则IDaaS会引导用户进行登录 。
验证通过后,将直接登录到Zabbix中。