SevOne SAML Single Sign On 安装指南

在线编辑

关于

在线编辑

单点登录 (SSO) 可用于 dex。 本文档详细介绍了如何使用 Okta服务提供商发起的 Azure Active Directory 单点登录 (SP 发起的 Azure AD SSO) 设置配置 SAML (安全断言标记语言)。 这些配置方案已经过测试,并获得 IBM SevOne 的支持。 其他身份提供商可能有效,但尚未经过 IBM 的测试。 SevOne

警告: 在 HSA 上,不得配置单点登录。 仅在集群引导者上配置单点登录。 如果发生集群引导程序上的故障转移,请仅在 HSA 上配置单点登录。 当集群引导程序自动故障转移到 HSA 时,您需要更新身份提供者配置以现在指向 HSA 的 IP 地址/主机名。
警告: 在发生故障转移时,您需要修改 身份提供者 配置 (例如, Siteminder) ,以指向新的 HSA 而不是发生故障的集群负责人。
警告: 单点登录登录不会创建新用户。 因此,需要手动将用户添加到 NMS。
警告 使用 IdP-Initiated 单点登录流程的风险

在通过 SevOne NMS实现身份验证之前,由 IdP (身份提供商)发起的 SAML 存在安全隐患。 目前, SevOne 使用的 Dex 版本支持 SP (服务提供商)发起式单点登录。

IdP-Initiated流量存在安全风险,因此不建议使用。 在启用 IdP-Initiated单点登录之前,请确保您了解相关风险。

在IdP-initiated流程中,Auth0(接收来自身份供应商的非请求响应)和应用程序(接收由Auth0生成的非请求响应)都无法验证用户是否真的启动了流程。 因此,启用此流将打开登录 CSRF 攻击的可能性,在此情况下,攻击者可以欺骗合法用户以攻击者的身份不知不觉地登录到应用程序。 请参阅下面的登录 CSRF 部分了解详情。

SevOne 建议尽可能使用 SP (服务提供者) 启动的流。 有关详情,请参阅 https://auth0.com/docs/protocols/saml/idp-initiated-sso#risks-of-using-an-idp-initiated-sso-flow.

重要提示 :当在身份提供商和 NMS dex配置之间使用 URL 进行单点登录配置时,必须使用IP地址或DNS名称。 请 不要 混合并匹配 IP 地址及其对应的 DNS 名称。
重要信息: 本文档中的详细信息 适用于单对等集群。
重要信息: 启动 SevOne NMS 6.7.0, MySQL 已移至 MariaDB 10.6.12
注: 术语用法 ...

在本指南中,如果存在,

  • [对 master的任何引用] 或
  • [如果 CLI 命令(用于 NMSKubernetesRedis )包含主站 ]和/或
  • [其输出包含 master ]],它表示领导者控制平面

如果提到奴隶工人 ,则是指追随者代理人

使用OKTA设置配置 SAML

在线编辑

预备条件

在线编辑
  • 需要 SevOne NMS 集群引导者的 IP 地址。
重要信息: 升级/安装 SevOne NMS

要使用单点登录功能, 必须 在 SevOne NMS 5.7.2.15 或更高版本上。

登录 Okta 账户

在线编辑
注: 具有 Okta 的双因子认证 (2FA) 需要配置多因子认证 (MFA) 注册策略。 请参阅 https://help.okta.com/en/prod/Content/Topics/Security/healthinsight/required-factors.htm 以获取详细信息。
  1. 登录到 Okta 帐户。
  2. 单击右上角的 管理 按钮。
  3. 单击 应用程序 下拉列表,然后选择 应用程序
  4. 单击 添加应用程序 按钮。

  5. 单击左侧面板中的 创建新应用程序 按钮。

    确保在左上角选择了 经典 UI 选项。

    oktaClassicUI

  6. 选择 SAML 2.0 作为登录方式
  7. 点击创建按钮以启动创建 SAML 集成
  8. 输入 应用程序名称
  9. 您可以选择添加 应用程序徽标。 此字段是可选字段。

  10. 点击 “下一步 ”按钮以创建/配置 SAML 应用程序

    samlGeneralBlank

创建/配置 SAML 应用程序

在线编辑
  1. 在您的 SAML 提供商站点中创建一个新的 SAML 应用程序。
  2. 添加单点登录 URL
    注: 示例

    https:// <群组领导 IP 地址>/sso/callback

    注意: 若 SAML 应用程序需要收件人和目标URL,请将上述 URL 同时用于两者。
  3. 添加 受众 URI (也称为 SP 实体标识)。
    注: 示例

    https:// <群组领导 IP 地址>/sso/callback

  4. 对于 IdP 启动的登录支持, 缺省 RelayState 必须 设置为 NMS 客户机标识 sevonenms
  5. name 添加属性语句,该属性语句具有映射到 SevOne NMS 中的用户登录的值。
  6. 您的配置必须如下所示。

    示例

    在此示例中, 10.168.129.48 是集群引导程序 IP 地址。

    samlGeneral

  7. 向用户提供使用应用程序的许可权。

收集 NMS 配置所需的信息

在线编辑

在NMS配置中,您需要从 SAML 提供程序获取以下内容:

  1. 身份提供商单点URL。
  2. 身份提供者签发者。
  3. x.509 证书。

在 NMS 中配置单点登录

在线编辑
注: 请确保在使用单点登录配置设备或虚拟机后, 无法 更改其 IP 地址。 否则,单点登录将失败。
  1. 将 x.509 证书 /secrets/dex/saml.pem 复制到 SevOne NMS 的群集组长。
    重要: 如果目录 /secrets/dex 不存在,请创建它。
  2. support 的身份 SSH 登录群集领导者。
    $ ssh support@<Cluster Leader IP address>
  3. 运行 /usr/local/scripts/dex_setup_template.sh 脚本以更新配置模板。
    
$ sudo su

$ podman exec -it nms-nms-nms /bin/bash

$ bash /usr/local/scripts/dex_setup_template.sh
    注意: 运行此命令 dex_setup_template.sh 将生成一个新的 MySQL dex密码以及一个新的 OAuth 密钥。 若因任何原因需重新运行此脚本,请使用新密码和密钥对生成的 /config/dex.yaml 文件进行编辑。 未能执行此操作将导致 所有 活动 dex 连接器发生以下认证错误。

    错误

    Authentication Exception: Invalid client credentials.
  4. 使用文本编辑器编辑 /config/dex.yaml 文件。
    vi /config/dex.yaml
    1. 取消注释 SAML 部分(从第- 行id: saml开始),方法是删除每行开头的#符号。
      注: 以 ## 开头的前 3 行应保留为注释。
    2. id -是 dex唯一的标识。 若您没有其他与 SAML ID 相关的连接,可保持现状不变。 这是仅供内部使用,但如果要配置多个连接器,那么必须唯一。
    3. name -设置为合理的值。 当显示了登录选项时,将向用户显示此值。
    4. type -保留为 saml
    5. config.ssoURL 设置为身份提供商单点登录 URL
    6. config.ssoIssuer 设置为 身份提供者签发者
    7. config.ca 值设置为 x.509 证书所在的文件路径。 例如,/secrets/dex/saml.pem.
    8. 根据 Identity Server 配置,您可能需要更改 config.usernameAttrconfig.emailAttr 的值以与服务器的属性语句的值匹配。
    9. 如果您的身份服务器需要使用GET 认证请求(而非默认的POST 请求),请在 SAML 连接器配置中添加以下行,因为该配置决定了 dex 如何处理 SAML 响应。
      authnRequestBindingType: "HTTP-Redirect"
  5. If you used the 域名 for <Cluster Leader IP address> in the previous section, replace all instances of the Cluster Leader IP address with the Domain Name.
  6. 如果您已在 SevOne NMS 集群上设置了签名证书,请更新以下内容以验证这些证书。 在 sevone > Connector > config下,
    1. 添加 caCertFile 并将其设置为 CA 的路径。
    2. noVerify 设置为 false 以验证证书。
  7. 如果未首先咨询 SevOne 支持人员,请不要在 存储器Web前端 部分中更改任何配置。
  8. 您的 dex 配置文件 /config/dex.yaml 必须如下所示。

    包含详细注释的示例

    
# Note: Dex should only be running on the cluster master / leader
# the URL here can be the IP or the hostname of the cluster master / leader
# Cluster master / leader IP that will issue the valid auth tokens. This has to be
# reachable by DI, the NMS and the IdP
# If behind a proxy, this should be the proxy address to the cluster master / leader. The same 
# proxy address for the issuer should be configured for the IdP, DI and the NMS. Everyone 
# needs to agree on the issuer and it has to be the same

# in all of the login cases in order for SSO to work.
issuer: https://10.49.8.85/sso
# Backend storage for authenticated clients
storage:
  type: mysql
  config:
    host: 127.0.0.1:3307
    database: dex_db
    user: dex
    # This is the MySQL password used to allow access to the dex database
    password: W7Pp9CXMsBCgeRlu0n61oI15705nYMLvhETPTPW9Z2FQ2lL7mD3QR9M6GlUHamDLrcgVt2dd7CJb86D5Su5biEumHJcvOuRPjK0pWWJRDZV48WX96c3q6Gftvchb66Xy
    ssl:
      mode: "false"
logger:
  level: "debug"
  format: "text"

# The port where dex will run
web:
  http: 127.0.0.1:5556

# The login page for dex authentication
frontend:
  dir: /opt/dex/web
  theme: sevone
  issuer: SevOne
  extra:
    heading_logo_url: /images/sevone_rgb_web.png

# The connector for doing local SevOne authentication
connectors:
- id: sevone
  name: SevOne auth
  type: sevone
  config:
    restUrl: https://10.49.8.85/api
    resetPassUrl: https://10.49.8.85/doms/login/newPassword.html
    caCertFile: /secrets/nginx/nginx.crt
    noVerify: true
## To get a SAML connector working, replace:
##   - The ssoURL and ssoIssuer with URLs from the SAML provider
##   - redirectURI/entityIssuer addresses need to point to the cluster master hostname or IP
- id: saml
  name: saml
  type: saml
  config:
    ssoURL: "https://okta.com/app/sevoneapp/sso/saml2"
    ssoIssuer: "http://www.okta.com/abcdefg"
    redirectURI: "https://10.49.8.85/sso/callback"
    ca: /secrets/dex/saml.pem
    usernameAttr: name
    emailAttr: email
oauth2:
  # skips asking the user to grant permission for login
  skipApprovalScreen: true

  # the OpenID Connect flow types to enable. DO NOT EDIT
  responseTypes: ["code","token","id_token"]

# This defines which applications can authenticate using dex. Below is an example 
# NMS configuration, but other applications (e.g. DI) can be configured here
staticClients:
# The client_id. Use this id as the 'Default Relay State' when configuring a SAML
# Service Provider.
- id: sevonenms
  # The redirect URIs matter for SP initiated logins (client (NMS) initiated logins).
  # It should contain all the peers in the cluster with both their hostnames and IPs that are
  # allowed to do SP initiated login. Also with HTTP and HTTPS access.
  # The user can be redirected to one of these after a successful login.
  redirectURIs:
  - 'http://10.49.11.236/callback.php'
  - 'https://10.49.11.236/callback.php'
  - 'http://10.49.8.85/callback.php'
  - 'https://10.49.8.85/callback.php'
  name: 'SevOne NMS'

  # The client_secret for the NMS client. The NMS will need this to initiate login.
  secret: L0VoyU23I1gUjbjlQPH8JvCc4S2Xv0Kh0Vb6j4Wzt7NX9gSn5duFMxRzAWU74mBZOnd78zAIQPOh815ry0QCB1QEbVwriGKlYBPqkOagkGlR2cfK6IJMXS4KFEy64lds

  # samlInitiated is required to enable SAML's IdP initiated flow. If not using
  # SAML, you may omit this section.
  samlInitiated:
    # This is where users will finally be redirected after a SAML IdP initiated login.
    # It can be any peer in the cluster.
    redirectURI: https://10.49.8.85/callback.php

# Let dex keep a list of passwords which can be used to login to dex.
# We don't allow that so lets keep it disabled.
enablePasswordDB: false
  9. 重新启动 SSO 服务。 请参阅 " 重启单点登录服务 "部分。

  10. 启用 SSO。 请参阅启用单点登录一节。

重要提示: SevOne NMS 正在使用 SAML. 然而, SevOne 数据洞察正在使用 OpenID-Connect。 请参阅 SevOne 《数据洞察管理指南》> 配置章节 > OpenID Connect 子章节以获取详细信息。

dex 将 SAML 包装在 OpenID-Connect 代币中。

使用 Azure 配置 SAMLActive Directory 单点登录设置

在线编辑

预备条件

在线编辑
  • Azure Active Directory (AD) 预订。 如果您没有预订,那么可以获取免费帐户。
  • Azure Active Directory (AD) 安全断言标记语言 ( SAML ) 工具包支持单点登录 (SSO) 的订阅服务。
    注: 请参阅 https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/saml-toolkit-tutorial 了解详情。
  • 需要 SevOne NMS 集群引导者的 IP 地址。
    重要信息: 升级/安装 SevOne NMS

    要使用单点登录功能, 必须 在 SevOne NMS 5.7.2.15 或更高版本上。

创建/配置 Azure Active Directory 单点登录应用程序

在线编辑
要点: 现在,请创建您自己的 Azure Active Directory 单点登录应用程序。 未来,这种情况将发生改变,用户将能够使用支持 SAML 单点登录(SSO)的现有图库应用程序。
  1. 登录到 Azure 门户网站。
    重要信息: 您的帐户必须是 Azure 预订管理员/所有者。
  2. 浏览至 Azure Services下的 Azure Active Directory
  3. 单击 添加 按钮以添加企业应用程序。
  4. 单击 创建您自己的应用程序 按钮。
    重要信息: 如果按钮不可用,那么您的帐户可能没有正确的许可权。
    1. 输入应用程序名称。
    2. 选择 集成您在库中找不到的任何其他应用程序。 即,非画廊。
  5. 在左侧导航栏中的 管理下,单击 用户和组
    重要信息: 在此处,您将确定要提供对单点登录的访问权的 Azure 用户。
  6. 单击 添加用户/组,然后选择 Azure 用户和组以具有单点登录访问权。
  7. 添加用户和组后,单击 分配
  8. 在左侧导航栏中的 管理下,单击 单点登录
  9. 选择 SAML 作为单点登录方法。
    注意: 您现在位于基于 SAML 的登录页面。

    要返回,请单击左侧导航栏中 管理 下的 单点登录

  10. “基本 SAML 配置 ”部分中 pencilIcon 单击以进行编辑。
    1. 标识 (实体标识) 更改为 https://<Cluster Leader IP address>/sso/callback ,其中 <Cluster Leader IP address> 是 SevOne NMS 集群引导者的 IP 地址。
    2. 回复 URL (消费者服务 URL ) 改为 https://<集群负责人 IP地址> /sso/回调 ,其中 <集群负责人 IP地址> 是您 SevOne NMS群集负责人的IP地址。
      重要信息: 此字段用于 IDP 启动的 SSO ,因此将不使用此字段,但应用程序设置需要此字段。
  11. 单击保存 ,然后单击 closeGrayIcon 关闭。
    重要信息: 如果收到弹出窗口询问是否要测试应用程序,请立即将其拒绝。
  12. 单击 " 用户属性和要求 "部分中的 pencilIcon 进行编辑。
  13. user.mail 的声明名称必须是 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  14. 单击 添加新声明
    1. 输入名称 displayname
    2. http://schemas.microsoft.com/identity/claims身份输入名称空间。
    3. 输入源属性 user.displayname
  15. SAML 签名证书部分,
    1. 对于 证书 (Base64) > 单击 下载
      重要信息: 原始证书 起作用。
  16. 设置<您的应用程序名称> 部分,您需要URL 才能进行下一步。

在 NMS 中配置单点登录

在线编辑
注: 请确保在使用单点登录配置设备或虚拟机后, 无法 更改其 IP 地址。 否则,单点登录将失败。
  1. 将 x.509 证书 /secrets/dex/saml.pem 复制到 SevOne NMS 的群集组长。
    重要: 如果目录 /secrets/dex 不存在,请创建它。
  2. support 的身份 SSH 登录群集领导者。
    $ ssh support@<Cluster Leader IP address>
  3. 运行 /usr/local/scripts/dex_setup_template.sh 脚本以更新配置模板。
    
$ sudo su

$ podman exec -it nms-nms-nms /bin/bash

$ bash /usr/local/scripts/dex_setup_template.sh
    注意: 运行此命令 dex_setup_template.sh 将生成一个新的 MySQL dex密码以及一个新的 OAuth 密钥。 若因任何原因需重新运行此脚本,请使用新密码和密钥对生成的 /config/dex.yaml 文件进行编辑。 未能执行此操作将导致 所有 活动 dex 连接器发生以下认证错误。

    错误

    Authentication Exception: Invalid client credentials.
  4. 使用文本编辑器编辑 /config/dex.yaml 文件。
    vi /config/dex.yaml
    1. 取消注释 SAML 部分( 以- id: azure 或- id: okta 开头的行开始),方法是删除每行的#符号。
      注: 以 ## 开头的前 3 行应保留为注释。
    2. id -是 dex唯一的标识。 若您没有其他与 SAML ID 相关的连接,可保持现状不变。
    3. name -将在单点登录页面的用户界面上显示的文本。 如果将字符串括在引号中,那么可能有一个带空格的字符串。
    4. type -保留为 saml
    5. ssoURL - Azure 上,在单点登录页面第四部分 "设置 <您的应用程序名称>"下,复制登录 URL 并粘贴到此处,用引号包起来。 例如,"SSO 登录 URL "。
    6. ssoIssuer -将此字段的名称更改为 entityIssuer ,并将此字段设置为 "https://<Cluster Leader IP address>/sso/callback"; 必须将其括在引号中。
    7. redirectURI -保留为-is。
    8. ca - 设置字段为 /secrets/dex/saml.pem.
    9. usernameAttr -设置为 "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"; 必须将其括在引号中。 这映射到基于 SAML 的单点登录页面中," 属性与声明 "部分的第二部分中的"名称"属性。
    10. emailAttr -设置为 "http://schemas.microsoft.com/identity/claims/displayname"; 必须用引号将其括起。 这将映射到 Azure中的 EmailAddress 属性。

    示例

    
- id: saml
  name: saml
  type: saml
  config:
    ssoURL: "https://login.microsoftonline.com/uuid/saml2"
    entityIssuer: "https://10.49.8.85/sso/callback"
    redirectURI: "https://10.49.8.85/sso/callback"
    ca: /secrets/dex/saml.pem
    usernameAttr: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
    emailAttr: "http://schemas.microsoft.com/identity/claims/displayname"
  5. 重新启动 SSO 服务。 请参阅 " 重启单点登录服务 "部分。
  6. 启用 SSO。 请参阅启用单点登录一节。

重启单点登录服务

在线编辑

在集群引导程序上重新启动单点登录服务 dex,以使配置更改生效。


systemctl restart dex

启用单点登录

在线编辑
  1. 管理员身份登录到 SevOne GUI。
    重要信息: 如果您已登录,请刷新用户界面。
  2. 从导航栏中,单击 管理 菜单,然后选择 集群管理器
  3. 单击 集群设置 选项卡。
  4. 选择 登录 子选项卡。
  5. 若使用未签名的 SSL 证书,则必须取消勾选 "启用同等证书验证" 选项。
  6. 选中 启用单点登录 复选框以启用单点登录。
  7. 单击 保存 以保存 "登录" 设置。
    注: 如果您遵循了配置 dex 的指示信息,但迂到了以下错误,那么可能与下列其中一个问题相关。

    错误

    Login did not save successfully. The following errors were reported: Single Sign-On - Invalid configuration.
Please configure Dex before enabling Single Sign-On.
    • 您可能需要为您的设备重新生成 SSL 证书。 有关生成SSL 证书的详细信息,请参阅《生成自签名证书或证书签名请求指南》。
      重要提示 :请确保在生成证书请求时,通用名称与本页 OpenID-Connect URL一致。 它应该是设备 IP 地址。
    • NMS中配置的DNS服务器应该能够解析 OpenID-Connect URL

注销时重定向

在线编辑

如果仅启用了 IdP 启动的登录,那么 NMS 能够在注销或会话超时时重定向到外部。

执行以下命令,将URL 添加到集群领导者的数据库中。

mysqlconfig -h $cluster_master_ip -e "INSERT INTO net.settings(setting, value) \
VALUES('logout_url', '$destination_url') ON DUPLICATE KEY UPDATE value = VALUES(value)"

HSA 配置

在线编辑

如果集群引导者故障转移到其 HSA ,单点登录将停止工作。 请确保 dex 在故障转移之前未在 HSA 上运行-它应保持处于 已停止 状态。 如果在故障转移之前在 HSA 上运行了 dex ,那么在整个 NMS 集群上登录的能力将受到影响。

一旦集群引导程序故障转移到 HSA ,认证将回退到本地 SevOne 认证。 此时,可以为单点登录配置 dex 。 现在,可以启动 dex ,并且可以从用户界面启用单点登录。

当集群引导程序故障转移到 HSA 时,必须更新身份提供者配置以指向 HSA 的 IP 地址/主机名。

执行以下步骤以在 HSA 上启用单点登录。

  1. 将集群引导者故障转移到 HSA。
  2. 确保 HSA 具有有效的 dex 配置。 这包括有效的 dex secretdex MySQL 密码。 要确保满足这些条件,请在每次发生故障转移/接管时运行以下设置脚本。
    bash /usr/local/scripts/dex_setup_template.sh
    注: 这将使用有效的 dex 密钥dex MySQL 密码重新生成最低工作 dex 配置。 用新生成的 dex secretdex MySQL 密码 更新现有的 /config/dex.yaml 文件。
  3. 将群集领导/config/dex.yaml 文件中的所有配置选项移植到 HSA。
    注: 即使安装脚本用于生成有效的 dex 配置,您仍需要从集群引导程序移植该配置。
  4. 在 HSA 上重新启动 dex
  5. 从图形用户界面启用单点登录。 执行以下步骤。
    1. 从导航栏中,单击 管理 菜单,然后选择 集群管理器
    2. 单击 集群设置 选项卡。
    3. 单击 登录 子选项卡。
    4. 取消选中 启用单点登录 复选框。
    5. 单击 保存 以保存设置。
    6. 选中 启用单点登录 复选框。
    7. 单击 保存 以保存设置。
注: 从 HSA 到集群引导程序执行故障恢复时,必须执行相同的步骤。
重要提示: SevOne NMS 正在使用 SAML. 然而, SevOne 数据洞察正在使用 OpenID-Connect

dex 将 SAML 包装在 OpenID-Connect 代币中。

升级过程

在线编辑

如果要从 SevOne NMS 5.7.2.15进行升级,并且已启用单点登录,并且 dex 配置已更改,那么您将需要重新启用单点登录。 请执行以下步骤。

  1. SSH 登录群集组长 IP 地址作为 支持
    $ ssh support@<Cluster Leader IP address>
  2. 重新运行设置脚本。
    
$ sudo su

$ podman exec -it nms-nms-nms /bin/bash

$ bash /usr/local/scripts/dex_setup_template.sh
  3. 新配置将被写入 /config/dex.yaml 中。 而且,它会将旧配置保存到 /config/dex.yaml.backup 中。
  4. /config/dex.yaml.backup connectors 部分的自定义配置复制并粘贴到 /config/dex.yaml 中的connectors 部分。
    重要说明:
    • yaml 文件对缩进很敏感。 请确保您的缩进是正确的。
    • 如果在旧的配置文件中的 连接器 部分之外有任何其他定制配置,那么还需要将该配置转移到新的配置文件。
  5. 在集群引导程序上重新启动单点登录服务 dex,以使配置更改生效。
    systemctl restart dex
注: 对于 IdP 启动的登录支持,必须将 缺省 RelayState 设置为 NMS 客户机标识 sevonenms。 请参阅 缺省 RelayState 以获取更多详细信息。

登录 CSRF

在线编辑
注: 本节中的详细信息来自 https://support.detectify.com/support/solutions/articles/48001048951-login-csrf. 有关示例和其他详细信息,您可以单击此链接。

登录 CSRF 是一种攻击类型,攻击者可以强制用户在 Web 站点上登录攻击者的帐户,从而揭示有关用户在登录时执行的操作的信息。 风险因应用而异,难以检测/评估。 如果存在应用程序的公共注册,那么攻击的风险会大幅增加,因为攻击者很容易创建帐户,从而知道其凭证。

登录 CSRF 与任何其他 CSRF 一样。 唯一的区别是它发生在登录表单上。 有关其他信息,您通常可以从 Web 浏览器中搜索 CSRF。

要阻止登录 CSRF ,必须在代码中实现令牌系统,以确保生成随机令牌 (即 CSRFToken) ,该令牌设置为 cookie 并作为表单中的隐藏值。 提交表单时,代码必须检查表单中的令牌是否与 cookie 中的令牌相同,如果令牌匹配,您将能够登录。

令牌用作保护,因为攻击者不知道 cookie CSRFToken 的值,因此无法在表单中发送该值。

故障诊断

在线编辑

DEX 正在运行吗?

在线编辑

要确定集群引导程序上 dex 的状态,必须执行以下命令。

注意: dex 必须在 Cluster Leader 上运行,且 /config/dex.yaml 文件必须存在。
  1. 从主机执行以下命令,检查 dex 状态。
    systemctl status dex

    如果 dex 正在运行,它将返回与下面示例类似的信息。

    示例
    
dex.service - Dex
   Loaded: loaded (/etc/containers/systemd/dex.container; generated)
   Active: active (running) since Tue 2024-07-09 17:34:59 UTC; 2h 1min ago
  Process: 2365965 ExecStopPost=/usr/bin/podman rm -v -f -i --cidfile=/run/dex.cid (code=exited, status=0/SUCCESS)
  Process: 2365934 ExecStop=/usr/bin/podman rm -v -f -i --cidfile=/run/dex.cid (code=exited, status=0/SUCCESS)
 Main PID: 2366012 (conmon)
    Tasks: 8 (limit: 50216)
   Memory: 36.4M
   CGroup: /system.slice/dex.service
           ├─libpod-payload-8e37a5524368883e88c0110ac49f63b8316f4a4143a23a1a8add5d8b1d4e91a3
           │ └─2366022 /usr/local/bin/dex serve /config/dex.yaml
           └─runtime
             ├─2366009 /usr/bin/fuse-overlayfs -o lowerdir=/var/lib/containers/storage/overlay/l/XOFTFBIRI3IHVUTF7QIIMDMREL:/var/lib/containers/storage/overlay/l/CP>
             └─2366012 /usr/bin/conmon --api-version 1 -c 8e37a5524368883e88c0110ac49f63b8316f4a4143a23a1a8add5d8b1d4e91a3 -u 8e37a5524368883e88c0110ac49f63b8316f4a>

    这表明您位于群集领导者上,/config/dex.yaml 文件已存在,并且 dex 正在运行。

    如果dex没有运行,您将看到与下面示例类似的信息。

    示例
    
dex.service - Dex
   Loaded: loaded (/etc/containers/systemd/dex.container; generated)
   Active: inactive (dead)
    在这种情况下,请在 重新启动 dex 之前,确保您是群集领导者,并且 /config/dex.yaml 文件已存在。
    systemctl restart dex
    注意: systemctl status dex 脚本不考虑是否启用了单点登录。

    可以从 SevOne NMS 图形用户界面启用单点登录。 在导航栏中输入集群负责URL ,点击管理菜单 ,选择集群管理器 ,选择集群设置选项卡, 登录子选项卡。 您将在 单点登录 部分下看到 启用单点登录 字段。

常见问题

在线编辑
  1. 什么是 默认中继状态

    在 SAML 规范中, RelayState 是可选参数。 我们使用默认的 RelayState 来标识 dex 内部的特定登录流程,且该标识必须与配置文件 IdP 和文件 /config/dex.yaml 中的设置相匹配。 当前设置为 NMS 客户机标识 sevonenms

    更多详情,请参阅 https://stackoverflow.com/a/34351756

  2. 什么是 NMS 客户机标识? 为何设置为 sevonenms?

    NMS 客户机标识设置为 sevonenms ,但是可以对其进行更改。

    将在 IdP缺省 RelayState 字段中传递 NMS 客户机标识,以便针对 dex 中的正确客户机设置触发认证。 这是必需的,因为 dex 可以支持多个不同的客户机,我们使用它来区分特定于 NMS 的认证过程。

  3. 身份提供商单点登录 URL 身份提供商 发行商 有什么区别?

    这些是从 IdP 配置提供的,并且必须是有效 IdP 配置的一部分。 客户必须相应地配置 dex

  4. 什么是 x.509 证书?

    这是 IdP 提供的证书。 每个 IdP 都必须具有需要在 SevOne NMS 框上复制的证书,并且必须将 dex 配置为将其用于验证目的。

  5. ssoURL & ssoIssuer/config/dex.yaml 文件中是什么意思?

    ssoURLssoIssuer 必须由 IdP提供。 这些是特定于客户的,必须由客户配置。 如果客户具有有效的 IdP 配置,那么他们应该能够从 IdP 配置指定 ssoURL 和 ssoIssuer 。

  6. redirectURI & entityIssuer/config/dex.yaml 文件中是什么意思?

    redirectURIentityIssuer 必须指向 NMS 集群领导者的 IP 地址。 redirectURI 是一个用于处理登录认证URL。 用户将从身份提供商跳转至此,因此 URL 必须可访问。

    例如 https://10.168.128.11/sso/callback, 其中 10.168.128.11 是 < 群集组长 IP 地址>。

  7. 如何确定是否 仅 IdP 启动的登录已启用?

    IdP 与特定的 SAML 工作流相关。 通常,这是大多数客户将使用的内容,这取决于他们的需求。 服务提供者启动的登录也可通过 dex 获得,但必须对其进行相应配置。

  8. SevOne 是否支持 SHA-256 或更高版本的证书签名算法?

    是。

  9. 证书签名选项有哪些?

    应用程序只能签署 SAML 断言。

  10. 对 IdP? 有什么要求?

    Base64-encoded 和 URL。

  11. 是否需要服务提供者元数据?

    编号

  12. 是否需要 SAML 的JIT支持?

    编号

  13. 是否需要用户供应支持?

    编号