对接 PingIdentity (SAML)

v2.0.7 版本可用

如果您的组织使用 Ping Identity Provider (IdP)进行用户身份验证,您可以配置 Rancher 以允许您的用户使用他们的 IdP 凭据登录。

先决条件:

  • 您必须配置一个Ping IdP 服务器
  • 以下是 Rancher 服务提供者配置所需的 URLs:
    • Metadata URL:https://<rancher-server>/v1-saml/ping/saml/metadata
    • Assertion Consumer Service(ACS) URL:https://<rancher-server>/v1-saml/ping/saml/acs
    • 请注意,在 Rancher 中保存验证配置之前,这些 URL 不会返回有效数据。
  • 从 IdP 服务器导出元数据metadata.xml文件。有关更多信息,请参见PingIdentity 文档
  1. 全局视图中,从主菜单中选择安全 > 认证

  2. 选择PingIdentity

  3. 完成配置 Ping 帐户表单。Ping IdP 允许您指定要使用的数据存储。您可以添加数据库,也可以使用现有的 ldap 服务器。例如,如果您选择 Active Directory (AD)服务器,下面的示例将描述如何将 AD 属性映射到 Rancher 中的字段。

    1. 显示名称: 包含用户显示名称的 AD 属性(例如:displayName)。

    2. 用户名: 包含用户名/给定名的 AD 属性(例如:givenName)。

    3. UID: 每个用户唯一的 AD 属性(例如:sAMAccountNameishedname)。

    4. : 创建用于管理组成员关系的条目(例如:memberOf)。

    5. Rancher API 地址: Rancher Server 的 URL。

    6. 私钥证书:这是一个密钥-证书对,用于在 Rancher 和您的 IdP 之间创建一个安全 shell。

      您可以使用 openssl 命令生成一个密钥-证书对。示例如下:

      1. openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 365 -nodes -subj "/CN=myservice.example.com"

      Copy

    7. 元数据 XML从您的 IdP 服务器导出metadata.xml文件。

  4. 完成配置 Ping 帐号表单后,单击页面底部的启用 Ping 认证

    Rancher 会将您重定向到 IdP 登录页面。输入使用 Ping IdP 进行身份验证的凭据,以验证您的 Rancher PingIdentity 配置。

    注: 您可能需要禁用弹出窗口拦截器才能看到 IdP 登录页面。

结果: Rancher 被配置为使用 PingIdentity 认证。您的用户现在可以使用他们的 PingIdentity 账号登录到 Rancher。

SAML 身份验证提供者警告:

  • SAML 协议不支持搜索或查找用户或组。因此,将用户或组添加到 Rancher 时不会对其进行验证。
  • 添加用户时,必须正确输入确切的用户 ID(即UID字段)。键入用户 ID 时,将不会搜索可能匹配的其他用户 ID。
  • 添加组时,必须从文本框旁边的下拉列表中选择组。Rancher 假定来自文本框的任何输入都是用户。
    • 用户组下拉列表仅显示您所属的用户组。您将无法添加您不是其成员的组。