红帽全球峰会配置身份提供程序集成
前言
配置身份提供程序(IdP)集成以指定将授权您的用户的 IdP。身份提供程序集成支持安全断言标记语言(SAML) 2.0 和 OpenID Connect (OIDC)。
使开源包含更多
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。
第 1 章 关于身份提供程序集成
通过身份提供程序集成功能,您可以集成您选择的身份提供程序,以使用 sso.redhat.com 使用 sso.redhat.com 使用公司登录凭证进行身份验证。机构的机构管理员可以创建、更新和删除与其帐户关联的身份提供程序。
基于角色的访问控制(RBAC)的其他用户访问服务为用户提供访问授权,允许访问红帽帐户内的其他资源。有关用户访问服务的更多信息,请参阅 基于角色的访问控制的用户访问配置指南。
通过身份提供程序集成,您可以将一个缩进供应商(IdP)配置为验证器,第二个 IdP 依赖于该身份验证来允许用户登录。换句话说,您依赖 IdP,如 Microsoft Entra ID 来验证您的用户。当用户由 Microsoft Entra ID 验证时,Red Hat SSO swig-wagon 也可以将身份验证无效,并允许用户完成登录过程并访问其红帽帐户。您不必多次配置用户凭证,而是将红帽帐户配置为接受 Microsoft Entra ID IdP 身份验证有效。
集成 IdP 服务后,用户只需要使用一组凭证来访问其红帽帐户。这些凭据是其客户身份提供程序或 SSO 的用户名和密码。
1.1. 红帽身份提供程序集成的限制
当您将身份提供程序(IdP)或单点登录(SSO)与红帽单点登录系统集成时,任何无法使用 SSO 进行身份验证的用户,也无法通过基于 Web 的身份验证流向任何红帽服务进行身份验证。这包括常用服务,如 红帽客户门户、红帽混合云控制台、红帽培训 等。
有限数量的红帽服务不使用基于 Web 的身份验证;这些服务与联合单点登录 不兼容。这意味着您可以撤销用户的公司客户 IdP 凭证,但它们仍然可以使用其红帽帐户用户名和密码来绕过基于 Web 的身份验证的红帽服务进行身份验证。
要删除对所有红帽服务的访问权限,机构管理员必须使用 用户管理工具 取消激活红帽用户帐户。已取消激活的帐户不再用于访问任何红帽服务。
必须通过当前支持的方法创建用户,才能利用公司单点登录集成。公司单点登录集成不支持自动注册用户。
在客户 IdP 中没有帐户的用户将无法进行身份验证。例如,这可能会影响供应商用户在客户红帽公司帐户内有红帽登录的供应商关系。启用公司单点登录后,如果客户没有愿意,或者允许供应商用户在客户 IdP 中有一个帐户,供应商用户将不再能够登录。
在以下红帽帐户类型中支持身份提供程序集成:
- Red Hat Enterprise 帐户类型。不支持个人帐户类型。
- 具有有效、非评估订阅的帐户。
- 批准的红帽合作伙伴帐户.
第 2 章 配置身份提供程序集成
作为机构管理员,您可以为您的机构设置和配置身份提供程序集成。身份提供程序集成是红帽混合云控制台提供的 Identity and Access Management 服务的组件。
身份提供程序集成将您的公司 SSO 解决方案成为 Red Hat 单点登录系统的有效身份提供程序。IdP 集成支持 Open ID Connect (OIDC) 和 安全断言标记语言(SAML) 身份验证。
当您更改身份提供程序集成时,您的机构中的用户需要在以下情况下重新链接其用户帐户:
- 当现有 IdP 被删除并启用新 IdP 时。
当 IdP 的标识符更改时。这种情况的常见原因是,如果贵公司更改了 SSO 或 IdP 供应商。
-
对于 SAML 配置,这是
nameid属性。 -
对于 OIDC 配置,这是
子声明。
-
对于 SAML 配置,这是
- 当用户离开并返回到您的机构时。当用户看到 所需的登录消息一次性帐户时,可以将预先存在的链接替换为新链接。
2.1. 配置身份提供程序(IdP)集成
您可以设置并配置您的红帽帐户,以识别为第三方身份提供程序(IdP)的有效客户端。身份提供程序集成支持 SAML 和 OIDC。
先决条件
- 只有具有机构管理员权限的用户才能配置 IdP 集成。
根据授权协议 SAML 或 OIDC,您需要收集用于标识您要集成的 IdP 的信息:
- 对于 SAML 配置,请查看 第 2.2 节 “为 SAML 配置身份提供程序集成” 中的要求。
- 对于 OIDC 配置,请参阅 第 2.3 节 “为 OIDC 配置身份提供程序集成” 中的要求。
流程
- 以具有机构管理员权限的用户身份登录 Red Hat Hybrid Cloud Console。
- 在登录后,从主页中,单击"设置" (Settings)。
- 单击 Authentication Policy。
- 出现 Authentication Policy 窗口时,单击 Identity Provider Integration。
点 Set up an identity provider,为您的身份提供程序选择身份验证协议。
提示您可以直接导航到 Identity Provider Integration。
选择 SAML 2.0 或 OpenID Connect 并继续配置。
2.2. 为 SAML 配置身份提供程序集成
在使用 Security Assertion Markup Language (SAML)身份验证时,您必须提供有关身份提供程序的某些信息。在开始 SAML 的 IdP 集成前,请先收集这些信息。
SAML 的身份供应商集成需要 x509 证书。此证书是一个 Base64 隐私增强型电子邮件(PEM)文件,用于检查签名。红帽提供的身份提供程序集成使用 x509 证书来验证断言签名。目前不会强制执行响应和断言加密,但有效的 x509 证书可以解密响应和断言。
完成 IdP 集成需要以下信息:
- SAML 元数据.SAML 元数据可以从 XML 格式文件导入,也可以手动输入。当您导入 SAML XML 元数据文件时,x509 证书会自动解析。建议导入文件。
- 身份提供程序实体 ID (EID)。EID 属性位于 SAML 元数据配置中。
- 单点登录身份验证请求 URL。身份验证请求 URL 发送 SAML 身份验证 reqeusts。身份验证请求 URL 也称为"Login URL"。用户从红帽站点重定向到您的登录 URL,以便与您公司的单点登录系统进行身份验证。
先决条件
- 以机构管理员身份登录到 Red Hat Hybrid Cloud Console,并启动 IdP 集成。
- 您有 SAML 元数据、EID 和 SSO 身份验证请求 URL 可用。
流程
- 在 Identity Provider Integration 页面中,点 SAML 2.0。
您可以使用 XML 格式从 SAML 元数据文件上传大多数信息。从 SAML 元数据文件解析以下信息:
- 身份提供程序实体 ID
- 单点登录身份验证请求 URL
手动输入服务供应商签发者信息。此信息必须由您提供。服务提供商签发者是如何在 IdP 中识别 Red Hat 单点登录系统。它还被称为"服务供应商实体 ID"。
注意在服务提供商签发者信息中只允许字母数字字符。不要使用空格或非字母数字字符。
身份提供程序配置条目所需的 URL 是您查看以下信息的位置,并验证它们是否按组织的身份提供程序中根据需要提供。
-
服务提供商元数据 URL
- 重定向 URL / Assertion Consumption Service (ACS) URL
-
服务提供商元数据 URL
验证身份提供程序集成的信息完成后,点 Create SAML 身份提供程序集成。此时会出现一个显示配置信息的页面。
注意如果缺少任何信息或不正确,请更新表单并重新提交。
点 Test and enable 以完成身份提供程序集成。这会打开一个新的弹出窗口,供您输入登录 ID 和密码。
注意确保浏览器中启用了弹出窗口。
- 在测试成功后,点 Enable 按钮为您的机构启用。如果选择不启用,您必须重新测试。
其他资源
2.3. 为 OIDC 配置身份提供程序集成
在使用 OpenID Connect 身份验证时,您必须提供有关身份提供程序的信息。在开始用于 OIDC 的 IdP 集成前,请先收集这些信息。有关如何获得以下内容的指导,请参阅身份提供程序客户端(如 Microsoft Entra ID)的系统信息:
- IdP 的签发者信息。IdP 令牌的 URL。
- 客户端 ID。IdP 客户端 ID 验证用户身份,并为其他服务提供信息。
- 客户端机密.客户端 secret 是只对 OAuth 应用和授权服务器已知的随机字符串。
- 授权 URL。API 提供程序授权服务器的端点,以检索授权代码。
- 令牌 URL。提供程序身份验证服务器的 URL,用于交换访问令牌的授权代码。
- JWKS URL。您的供应商的 JSON Web 密钥集的 URL。
完成 IdP 集成需要以下 URL 信息:
-
服务供应商 OpenID 配置 URL。OpenID Connect 配置 URL 包含
sso.redhat.comOIDC 设置的配置详情。 - 重定向 URL.服务提供商重定向 URL (也称为重定向 URI 或回复 URL)是用户成功通过身份提供程序进行身份验证的端点。
先决条件
- 以机构管理员身份登录到 Red Hat Hybrid Cloud Console,并启动 IdP 集成。
- 您有 OIDC 配置信息。
流程
-
在 Identity Provider Integration 页面上,单击 OpenID Connect。
OIDC 身份提供程序配置形成了 apears。 - 使用您收集的信息,填写表单。
验证身份提供程序集成的信息完成后,单击 Create OICD 身份提供程序集成。此时会出现一个显示配置信息的页面。
注意如果缺少任何信息或不正确,请更新表单并重新提交。
点 Test and enable 以完成身份提供程序集成。这会打开一个新的弹出窗口,供您输入登录 ID 和密码。
注意确保浏览器中启用了弹出窗口。
- 在测试成功后,点 Enable 按钮为您的机构启用。如果选择不启用,您必须重新测试。
其他资源
2.4. 删除、禁用或更新身份提供程序集成
您可以删除或禁用身份提供程序集成。如果您重新启用身份提供程序集成或创建新集成,则您的机构帐户中的用户将通过您的身份提供程序登录。
当您禁用 IdP 集成时,您的机构帐户中的用户必须使用其红帽帐户凭证登录。
2.4.1. 禁用和重新启用身份提供程序集成
您可以临时禁用集成,而无需更改它。例如,您的身份提供程序可能有一个维护窗口,您希望用户使用其红帽登录 ID 和密码登录红帽服务。
如果您无法访问红帽 IdP 集成应用程序并需要禁用您的集成,请使用 红帽客户服务创建一个支持问题单。如果您身份提供程序停机,且您无法通过集成登录,会出现这种情况。
先决条件
- 以机构管理员或具有 User Access 管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 您已配置了身份提供程序集成。
流程
-
导航到 Settings > Authentication Policy > Identity Provider Integration。
此时会显示您启用的集成。 -
单击 Disable。
您的 IdP 集成现已禁用。 - 当您准备好重新启用时,请单击 Test 并启用。
- 在成功测试时,点 Enable 为您的机构重新启用。
2.4.2. 更新身份提供程序集成配置
必要时,您可以对身份提供程序集成进行更改。更新的常见原因包括:
- SAML 配置需要更新的 x509 证书。
- OIDC 配置具有轮转需要更新的客户端 secret。
先决条件
- 以机构管理员或具有 User Access 管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 您已配置了身份提供程序集成。
流程
-
导航到 Settings > Authentication Policy > Identity Provider Integration。
此时会显示您启用的集成。 -
单击 Disable。
您的 IdP 集成现已禁用。 - 点击您要更新的字段并进行更改。
- 完成后,单击 Test 并启用。测试步骤需要在您的配置的任何更新后完成。
- 在成功测试时,点 Enable 为您的机构重新启用。
第 3 章 身份提供程序集成系统默认设置
3.1. SAML 默认值
下表标识了红帽身份系统默认值和身份提供程序与 SAML 集成的预期。
| Name | 描述 |
|---|---|
| SSO 发起类型 | 红帽身份系统(sso.redhat.com)支持服务供应商发起的单点登录。我们不支持 IdP 启动的单点登录,不要计划添加。 |
| SSO 绑定 | 仅允许 POST 用于新的 IdP。 |
| 名称 ID | 红帽期望一个 ID,允许未指定身份识别验证用户。然而,客户取决于他们想要使用的标识符。常用的 ID 是 UUID、电子邮件地址、用户名等。 |
| 其他必要的属性 | 我们不需要提供任何其他属性来验证用户。 |
| ACS URL | 这在客户完成 IdP 初始设置后,由 Identity Provider Integration 工具提供。我们还将提供一个指向我们的 SAML 元数据 URL 的链接,如果用户选择,则可以与其绑定(这将允许他们深入查看配置的 IdP)。 |
| 断言签名 | 我们需要集成客户为断言签名。我们需要在 IdP 配置期间提供有效的 x509 证书,用于验证断言签名。 |
| 响应/评估加密 | 当前未强制加密,但只要提供了有效的 x509,我们可以解密响应/评估。 |
| 签名 AuthN 请求 | 红帽签署 AuthN 请求。我们鼓励集成方验证此签名。我们用来执行此操作的关键将可以在我们提供的 SAML 元数据中发现(上面提到,创建 IdP 后将出现此密钥)。 |
| 联邦退出登录 | 红帽目前不支持任何联邦注销选项。如果用户是红帽的服务或应用的"注销",则会导致用户登录红帽以及您公司的 SSO。 |
3.2. OIDC 默认值
下表标识了红帽身份系统默认值,以及与 OIDC 集成的身份供应商的预期。
| Name | 描述 |
|---|---|
| 联邦退出登录 | 红帽目前不支持任何联邦注销选项。如果用户是红帽的服务或应用的"注销",则会导致用户登录红帽以及您公司的 SSO。 |
| ç¾å�� | IdP 集成验证签名,需要签署令牌。 |
| PKCE | 为提高 scurity,使用概念验证进行代码交换(PKCE),它是 OAuth 2.0 授权代码流的扩展。红帽建议您使用 S256 作为 PKCE 方法。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}