Documentación de Oracle Cloud Infrastructure

Autenticación de SAML en Búsqueda con OpenSearch

Obtenga información sobre el uso de la autenticación SAML en OCI Search con OpenSearch.

OCI Search con OpenSearch soporta el uso de un proveedor de identidad para acceder y controlar a los clusters OpenSearch y los paneles de control OpenSearch. Esto está disponible mediante el soporte de inicio de sesión único de SAML en el plugin de seguridad OpenSearch.

Con la integración de SAML, puede configurar un cluster para que OCI OpenSearch, como proveedor de servicios SAML, se conecte a su proveedor de identidad para autenticar usuarios y devolver un token de autenticación a OCI OpenSearch para acceder a los clusters OpenSearch y los paneles de control OpenSearch. También puede configurar el panel de control OpenSearch para que se redirija a los usuarios a la página de conexión del proveedor de identidad para la autenticación al acceder al panel de control OpenSearch.

En la siguiente tabla se describen los valores de configuración de SAML aplicables a la búsqueda con OpenSearch.

Configuración de SAML Descripción Nombre de campo o atributo
Metadatos de SAML Archivo de metadatos que describe las capacidades y la configuración del proveedor de identidad. Necesario.
  • Consola: contenido de metadatos
  • CLI: idp-metadata-content
  • API: idpMetadataContent
ID de identidad Nombre del proveedor de identidad. Necesario.
  • Consola: ID de identidad
  • CLI: ipd-identity-id
  • API: ipdIdentityId
URL de panel de control OpenSearch URL del panel de control OpenSearch del cluster. Opcional.
  • Consola: URL de panel de control
  • CLI: opendashboard-url
  • API: opendashboardUrl
Rol de backend de administrador Rol de backend en el proveedor de identidad para los usuarios que tienen permisos de administrador completos para el cluster. Opcional.
  • Consola: rol de backend de administrador
  • CLI: rol de backend de administración
  • API: adminBackendRole
Clave de asunto Si el proveedor de identidad utiliza el nombre de elemento por defecto para los usuarios, NameID, no es necesario que especifique nada aquí. De lo contrario, utilice este elemento para especificar el elemento en la respuesta SAML que contiene los usuarios. Opcional.
  • Consola: clave temática
  • CLI: subject-key
  • API: subjectKey
Clave de roles Si utiliza roles de backend, esto especifica el nombre del elemento en la respuesta de SAML que contiene los roles de usuario. Opcional
  • Consola: clave de roles
  • CLI: roles-key
  • API: rolesKey

Limitaciones y consideraciones

  • La búsqueda con OpenSearch solo soporta la activación de la autenticación SAML en la consola para los clusters existentes. No puede activar la autenticación SAML al crear un nuevo cluster en la consola. Puede activar la autenticación SAML al crear un nuevo cluster OpenSearch mediante la CLI o la API.
  • Al crear un nuevo cluster y activar la autenticación SAML mediante la CLI o la API, también debe activar el control de acceso basado en roles para el cluster, con el modo de seguridad definido para aplicar.

Requisitos

  • Proveedor de identidad existente.
  • Solo para la consola, debe tener un cluster OpenSearch existente creado.

  • Solo puede activar SAML para un cluster existente en la consola.

    1. En la página de lista Clusters, busque el cluster OpenSearch con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el cluster, consulte Lista de clusters OpenSearch.
    2. En la lista Clusters, haga clic en el nombre del cluster para el que desea activar SAML.
    3. En la página de detalles del cluster, haga clic en Más acciones y, a continuación, seleccione Agregar autenticación SAML.
    4. En el campo Contenido de metadatos, pegue el contenido del archivo de metadatos de SAML para el proveedor de identidad.
      El archivo de metadatos de SAML describe las capacidades y la configuración del proveedor de identidad. Esto incluye el certificado del proveedor de identidad.
    5. Especifique el nombre del proveedor de identidad en Identity ID.
    6. Opcionalmente, puede especificar los siguientes detalles de configuración:
      • URL de panel de control: URL OpenSearch.Dashboard del cluster.
      • Rol de backend de administrador: rol de backend del proveedor de identidad para los usuarios que tienen privilegios de administrador para el cluster OpenSearch.
      • Clave de roles: especifica el atributo en la respuesta de SAML que contiene los roles de usuario.
      • Clave de asunto: especifica el atributo en la respuesta de SAML que contiene los usuarios.
    7. Seleccione Guardar cambios.
  • Para obtener información sobre el uso de la CLI, consulte Interfaz de línea de comandos (CLI). Para obtener una lista completa de la lista de indicadores y opciones disponibles para la CLI, consulte la Referencia de comandos del CLI.

    Activación de SAML al crear un cluster

    Puede activar la autenticación SAML cuando utilice el comando create para el objeto cluster en la CLI para crear un cluster. Además de los parámetros necesarios para el comando create, también debe incluir los siguientes parámetros:

    • Los parámetros de control de acceso basado en roles, incluidos security-mode, security-master-user-name y security-master-user-password-hash. El parámetro security-mode se debe definir en ENFORCING.
    • Parámetro securitySamlConfig que contiene la configuración de SAML. A continuación, se muestra un ejemplo de JSON con configuración de SAML para este parámetro:
      {
    "isEnabled": true,
    "idpEntityId": "<identity_provider_name>",
    "idpMetadataContent": "xml content"
    "opendashboardUrl": "https://localhost:5601",
    "adminBackendRole": "<admin_role_name>",
    "subjectKey": "<NameID>",
    "rolesKey": "<group_name>"
    }

      Mientras que el ejemplo anterior incluye todos los campos de configuración de SAML disponibles, solo se necesitan los campos isEnabled, idpEntityId y idpMetadataContent.

    Ejemplo de comando create:

    oci opensearch cluster create --compartment-id <compartment_ocid> --securitySamlConfig <SAML_Config_JSON> --security-mode ENFORCING --security-master-user-name <username> --security-master-user-password-hash <password> ...remaining required fields

    Activación de SAML al actualizar un cluster

    Puede activar la autenticación SAML para un cluster existente cuando utiliza el comando update para el objeto cluster en la CLI para actualizar un cluster. Debe incluir el parámetro securitySamlConfig en el comando update. Consulte el JSON de configuración de SAML en la sección anterior para obtener un ejemplo de qué especificar para este parámetro.

    Ejemplo de comando update:

    oci opensearch cluster update --display-name<cluster_name> --opensearch-cluster-id <cluster_ocid --securitySamlConfig <SAML_Config_JSON>

    Si el control de acceso basado en roles no está activado para el cluster, debe activarlo también mediante los parámetros security-mode, security-master-user-name y security-master-user-password-hash. El parámetro security-mode se debe definir en ENFORCING.

  • Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

    Activación de SAML al crear un cluster

    Puede activar la autenticación SAML cuando utilice la operación CreateOpensearchCluster para crear un cluster. Transfiera los detalles de configuración de SAML en CreateOpensearchClusterDetails mediante el nuevo atributo securitySamlConfig, como se muestra en el siguiente ejemplo:

    POST https://opensearch.us-ashburn-1.oci.oraclecloud.com/20180828/opensearchClusters/
{
  ...
  "securitySamlConfig": {
    "isEnabled": true,
    "idpEntityId": "<identity_provider_name>",
    "idpMetadataContent": "xml content"
    "opendashboardUrl": "https://localhost:5601",
    "adminBackendRole": "<admin_role_name>",
    "subjectKey": "<NameID>",
    "rolesKey": "<group_name>"
  },
  ...
}

    Activación de SAML al actualizar un cluster

    Puede activar la autenticación SAML para un cluster existente al utilizar la operación UpdateOpensearchCluster para actualizar un cluster. Transfiera los detalles de configuración de SAML en UpdateOpensearchClusterDetails mediante el nuevo atributo securitySamlConfig, como se muestra en el siguiente ejemplo:

    PUT https://opensearch.us-ashburn-1.oci.oraclecloud.com/20180828/opensearchClusters/ocid1.opensearchcluster.oc1.<unique_ID>
{
  ...
  "securitySamlConfig": {
    "isEnabled": true,
    "idpEntityId": "<identity_provider_name>",
    "idpMetadataContent": "xml content"
    "opendashboardUrl": "https://localhost:5601",
    "adminBackendRole": "<admin_role_name>",
    "subjectKey": "<NameID>",
    "rolesKey": "<group_name>"
  },
  ...
}