Hinweis:

OCI Identity and Access Management als SSO-Quelle für die Rapid7-Befehlsplattform konfigurieren

Einführung

Oracle Cloud Infrastructure (OCI) ist die Cloud-Computing-Plattform von Oracle, die ein umfassendes Set von Cloud-Services bietet, einschließlich Computing, Speicher, Networking, Datenbanken und Identitätsmanagement. OCI ist sowohl für traditionelle Anwendungen als auch für neuere Cloud-native Workloads konzipiert und bietet Skalierbarkeit, Sicherheit und Performance auf verschiedenen Serviceebenen. OCI unterstützt auch ein robustes Identity and Access Management-(IAM-)System, das Features wie SAML enthält, um Single Sign-On (SSO) für verbesserte Sicherheit und Benutzerfreundlichkeit zu aktivieren. Die SAML-basierte Identitätsföderation von OCI ermöglicht Unternehmen die Integration mit externen Identitätsprovidern und optimiert den Benutzerzugriff über verschiedene OCI-Ressourcen hinweg.

Rapid7 ist ein führender Anbieter von Cybersicherheitslösungen, der sich auf die Erkennung von Bedrohungen, das Management von Sicherheitslücken und die Reaktion auf Vorfälle konzentriert. Mit Tools wie InsightIDR und InsightVM ermöglicht Rapid7 Unternehmen die Erkennung und Verwaltung von Sicherheitslücken in ihrer gesamten Infrastruktur, einschließlich Cloud-Umgebungen. Das SAML-Integrationsfeature von Rapid7 vereinfacht die Authentifizierung, indem Unternehmen eine Verbindung zu Identitätsprovidern wie OCI herstellen können. Diese Verbindung ermöglicht Benutzern Single Sign-On-Funktionen, wodurch die Sicherheit verbessert wird, indem die Kennwortabhängigkeit reduziert wird und gleichzeitig ein nahtloser Zugriff auf die Sicherheitstools und -einblicke von Rapid7 ermöglicht wird.

In diesem Tutorial werden die Aufgaben zum Konfigurieren von Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) als Single Sign-On-(SSO-)Quelle für die Rapid7-Befehlsplattform mit Security Assertion Markup Language (SAML) 2.0 beschrieben. Auf diese Weise können Sie die Benutzerauthentifizierung für die Rapid7-Befehlsplattform mit OCI IAM verwalten.

Zielgruppe

OCI-IAM-Experten und Rapid7-Administratoren.

Ziele

Voraussetzungen

Aufgabe 1: SSO-Einstellungen in der Befehlsplattform Rapid7 konfigurieren

In dieser Aufgabe konfigurieren wir SSO-Einstellungen mit SAML 2.0 in der Rapid7-Befehlsplattform.

  1. So greifen Sie auf die SSO-Einstellungen zu:

    1. Gehen Sie zur Homepage der Befehlsplattform Rapid7, und klicken Sie auf den Link Administration.

    2. Klicken Sie auf das Symbol "Einstellungen".

    3. Klicken Sie auf Authentifizierungseinstellungen und SSO-Einstellungen.

    Bild 2

  2. Wählen Sie im Dropdown-Menü Identitätsprovider auswählen (IdP) die Option Sonstige aus.

    Bild 3

    Hinweis: Wir laden das Zertifikat IdP später hoch, nachdem Sie Aufgabe 2 abgeschlossen haben.

  3. Kopieren Sie die URLs für Assertion Consumer Service (ACS), Zielgruppen (EntityID) und Relay-Status. Gehen Sie anschließend zu Aufgabe 2.

    Bild 6

  4. Kopieren Sie die Entity-ID und die SingleSignOnService-URL aus den in Aufgabe 2 heruntergeladenen Metadaten, und verwenden Sie sie unter Aussteller-URL bzw. Single Sign-On-URL im Abschnitt Konfigurierte Insight-Plattform.

    Bild 22

    Bild 12

    Hinweis: Das Format der Single Sign-On-URL lautet https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso.

  5. Laden Sie das IdP-Zertifikat hoch.

    Bild 5

  6. Standardzugriffsprofil einrichten, das neuen Benutzern zugewiesen werden soll. Nachdem Sie dieses Standardzugriffsprofil eingerichtet haben, wird es automatisch allen neuen Benutzeraccounts zugewiesen, die über OCI IAM erstellt wurden. Der Zugriff auf vorhandene Benutzerkonten wird nicht beeinträchtigt.

    Bild 13

    Bild 14

    Bild 28

  7. Aktivieren Sie die IdP-Benutzergruppensynchronisierung. Durch die Synchronisierung von OCI-IAM-Gruppen mit der Befehlsplattform Rapid7 kann OCI IAM die Mitgliedschaft bei der Benutzergruppe der Befehlsplattform Rapid7 steuern. OCI-Benutzer, die IdP-Gruppen zugewiesen sind, werden automatisch übereinstimmenden Benutzergruppen in der Befehlsplattform Rapid7 zugewiesen. Auf diese Weise zugewiesene Benutzer erben alle definierten Produkt-, Rollen- und Datenberechtigungen, solange sie Teil der ursprünglichen IdP-Gruppe bleiben.

    Bild 16

    Bild 15

  8. Klicken Sie auf Ja, um SSO über externe IdP zu aktivieren.

    Bild 17

  9. Klicken Sie auf Herunterladen, um die SP-Metadaten herunterzuladen.

    Bild 23

  10. Extrahieren Sie X509Certificate daraus, um eine .pem-Datei zu erstellen.

    Bild 26

Aufgabe 2: SAML-Anwendung in OCI IAM-Identitätsdomains erstellen

Wir erstellen eine SAML-Anwendung in den jeweiligen OCI-IAM-Identitätsdomains. Dies ist erforderlich, um eine sichere Kommunikationsverbindung zwischen OCI IAM und der Rapid7-Befehlsplattform mit dem SAML 2.0-Protokoll für SSO herzustellen.

  1. Melden Sie sich bei der OCI-Konsole an, gehen Sie zu Identität und Sicherheit, und klicken Sie auf Domains.

    Bild 19

  2. Wählen Sie Ihre Domain aus, klicken Sie auf Integrierte Anwendungen, um Anwendung hinzufügen, wählen Sie SAML-Anwendung aus, und klicken Sie auf Workflow starten.

    Bild 20

  3. Geben Sie Name, Relay-Status für Ihre Anwendung ein, und klicken Sie auf Weiter.

    Bild 11

  4. Geben Sie im Abschnitt Single Sign-On konfigurieren Entity-ID, Assertion-Consumer-URL ein, wählen Sie Namens-ID-Format als Nicht angegeben, Namens-ID-Wert als Benutzername aus, und laden Sie das von der Rapid7-Konsole heruntergeladene Signaturzertifikat hoch.

    Bild 8

    Hinweis: Nachdem SSO in der Befehlsplattform Rapid7 konfiguriert wurde, kann das Zertifikat aus den heruntergeladenen Metadaten extrahiert werden.

  5. Wählen Sie im Abschnitt Zusätzliche Konfigurationen die Option Signaturzertifikat in Signatur einschließen aus, und deaktivieren Sie Einzelne Abmeldung aktivieren. Behalten Sie den anderen Parameter als Standardwert bei.

    Bild 9

    Hinweis: Aktivieren oder deaktivieren Sie das Feature Einzelabmeldung aktivieren je nach Anforderung. Wenn Sie die Funktion aktivieren, müssen die SLO-URLs im entsprechenden Feld hinzugefügt werden.

  6. Verwenden Sie die folgende Konfiguration im Abschnitt Attributkonfiguration.

    Bild 10

    Hinweis: Die folgenden Attributanweisungen im Image sind für die Authentifizierung bei der Befehlsplattform Rapid7 erforderlich.

  7. Klicken Sie auf Fertigstellen und Aktivieren, um die Einrichtung abzuschließen.

  8. Laden Sie Signaturzertifikat und Identitätsprovidermetadaten herunter. Gehen Sie anschließend zu Aufgabe 1.4 zurück, und fahren Sie fort.

    Bild 21

Aufgabe 3: Gruppensynchronisierung

Mit der Gruppensynchronisierung können Sie die Benutzergruppenzuweisung in OCI IAM steuern.

Diese Funktion wird ermöglicht, indem ein Attribut mit dem Label rbacGroups in die SAML-Antwort aufgenommen wird, das die Namen der Rapid7-Befehlsplattformgruppen für jeden Benutzer enthält. Die Benutzer werden den entsprechenden Gruppen in der Befehlsplattform Rapid7 automatisch zugewiesen und erben den Produkt-, Rollen- und Ressourcenzugriff, der mit diesen Gruppen verknüpft ist.

Hinweis: Wenn die Gruppensynchronisierung aktiviert ist, werden IdP-Benutzer aus allen Rapid7-Befehlsplattformgruppen entfernt, die nicht in ihrer SAML-Assertion enthalten sind. IdP-Benutzer behalten alle Rollen oder Berechtigungen bei, die ihnen direkt zugewiesen sind, einschließlich der Rollen aus einem Standardzugriffsprofil.

Um Benutzergruppen in der Befehlsplattform Rapid7 zu erstellen, navigieren Sie zu Administration, Benutzerverwaltung, und klicken Sie auf Benutzergruppen.

Aufgabe 4: Benutzergruppen konfigurieren

Da für die Gruppensynchronisierung die Verwendung von Rapid7 Command Platform-Benutzergruppen erforderlich ist, müssen Sie vor der Aktivierung Gruppen konfigurieren.

  1. Fügen Sie das Gruppenattribut hinzu. In OCI IAM müssen wir sicherstellen, dass die Benutzer Gruppen mit demselben Namen wie die entsprechende Benutzergruppe der Befehlsplattform Rapid7 zugewiesen sind. Wenn Sie diese Gruppen noch nicht erstellt haben, führen Sie die folgenden Schritte aus:

    1. Navigieren Sie in der OCI-Identitätsdomains-Konsole zu Gruppen.

    2. Klicken Sie auf Gruppe erstellen.

    3. Geben Sie denselben Namen wie die entsprechende Benutzergruppe für die Befehlsplattform Rapid7 ein.

    4. Wählen Sie im Abschnitt Benutzer die Benutzer aus, denen diese Gruppe zugewiesen werden soll.

    5. Klicken Sie auf Erstellen.

    Nachdem die Gruppen konfiguriert wurden, müssen Sie der SAML-Assertion ein Attribut hinzufügen, das die Namen der Gruppen enthält, denen jeder Benutzer zugewiesen ist.

  2. Fügen Sie das Attribut zur SAML-Assertion in OCI IAM-Identitätsdomains hinzu.

    1. Navigieren Sie in der OCI-Identitätsdomains-Konsole zu Integrierte Anwendungen, und wählen Sie die Anwendung Rapid7 aus.

    2. Klicken Sie im Abschnitt SAML-Einstellungen auf SSO-Konfiguration bearbeiten.

    3. Fügen Sie die folgende Attributanweisung hinzu, und klicken Sie auf Speichern.

    Bild 27

    Alle Informationen, die wir von OCI IAM für die Synchronisierung von Benutzern mit Benutzergruppen der Befehlsplattform Rapid7 benötigen, werden jetzt bei der Authentifizierung von Benutzern mit SSO berücksichtigt.

Aufgabe 5: SSO testen

  1. Gehen Sie zur Insight-URL Rapid7 (https://insight.rapid7.com), und klicken Sie auf Mit SSO anmelden.

    Bild 24

  2. Geben Sie die Zugangsdaten ein.

    Bild 18

    Sie sind jetzt erfolgreich bei der Befehlsplattform Rapid7 angemeldet.

    Bild 25

    Außerdem wird der Benutzer basierend auf der Gruppenmitgliedschaft in OCI IAM automatisch zu den Benutzergruppen hinzugefügt.

Danksagungen

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.