Note:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.

Configuración de OCI Identity and Access Management como origen de SSO para la plataforma de comandos Rapid7

Introducción

Oracle Cloud Infrastructure (OCI) es la plataforma de computación en la nube de Oracle que ofrece un conjunto completo de servicios en la nube, que incluye computación, almacenamiento, redes, bases de datos y gestión de identidades. OCI está diseñado tanto para aplicaciones tradicionales como para cargas de trabajo nativas en la nube más recientes, lo que proporciona escalabilidad, seguridad y rendimiento en varios niveles de servicio. OCI también admite un sistema sólido de gestión de identidad y acceso (IAM) que incluye funciones como SAML para permitir el inicio de sesión único (SSO) para mejorar la seguridad y la comodidad del usuario. La federación de identidad basada en SAML de OCI permite a las empresas integrarse con proveedores de identidad externos, optimizando el acceso de los usuarios en varios recursos de OCI.

Rapid7 es un proveedor líder de soluciones de ciberseguridad, centrado en la detección de amenazas, la gestión de vulnerabilidades y la respuesta a incidentes. Con herramientas como InsightIDR y InsightVM, Rapid7 permite a las organizaciones detectar y gestionar vulnerabilidades en su infraestructura, incluidos los entornos en la nube. La función de integración SAML de Rapid7 simplifica la autenticación al permitir a las organizaciones conectarse con proveedores de identidad como OCI. Esta conexión ofrece a los usuarios capacidades de conexión única, lo que mejora la seguridad al reducir la dependencia de contraseñas y, al mismo tiempo, permite un acceso sin problemas a las herramientas de seguridad y las estadísticas de Rapid7.

En este tutorial se muestran las tareas para configurar Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) como origen de Single Sign-On (SSO) para la plataforma de comandos Rapid7 mediante Security Assertion Markup Language (SAML) 2.0. Esto le permite utilizar OCI IAM para gestionar la autenticación de usuario para la plataforma de comandos Rapid7.

Público Objetivo

Profesionales de OCI IAM y administradores de Rapid7.

Objetivos

• La integración de OCI con Rapid7 a través de SAML permite a las organizaciones aprovechar las capacidades de gestión de identidad de OCI al tiempo que garantiza un acceso seguro a la plataforma de seguridad de Rapid7. Esta configuración mejora la experiencia del usuario mediante SSO y admite prácticas de seguridad más sólidas al centralizar la gestión de identidades en ambas plataformas. Permite a los equipos de TI y seguridad gestionar identidades de forma eficaz, realizar un seguimiento del acceso y mejorar la estrategia de seguridad en sus entornos de seguridad y nube.

Requisitos

• Acceso de administrador a un arrendamiento de OCI y a la plataforma de comandos Rapid7.

Tarea 1: Configuración de los valores de SSO en la plataforma de comandos Rapid7

En esta tarea, configuraremos los valores de SSO mediante SAML 2.0 en la plataforma de comandos Rapid7.

1. Para acceder a la configuración de SSO, siga estos pasos:

   1. Vaya a la página inicial de la plataforma de comandos Rapid7 y haga clic en el enlace Administración.

   2. Haga clic en el icono de configuración.

   3. Haga clic en Configuración de autenticación y Configuración de SSO.

   

2. Seleccione Otro en el menú desplegable Seleccionar proveedor de identidad (IdP).

   

   Nota: Después de completar la tarea 2, cargaremos el certificado IdP.

3. Copie las URL de Assertion Consumer Service (ACS), Audience (EntityID) y Relay State. Una vez hecho esto, vaya a la Tarea 2.

   

4. Copie el ID de entidad y la URL de SingleSignOnService de los metadatos descargados en la tarea 2 y úselos en la URL de emisor y en la URL de conexión única, respectivamente, en la sección Plataforma de estadísticas configuradas.

   

   

   Nota: El formato de la URL de conexión única es https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso.

5. Cargue el certificado IdP.

   

6. Configure un perfil de acceso predeterminado para asignar nuevos usuarios. Después de configurar este perfil de acceso por defecto, se asignará automáticamente a todas las cuentas de usuario nuevas creadas a través de OCI IAM. El acceso a las cuentas de usuario existentes no se verá afectado.

   

   

   

7. Active la sincronización de grupos de usuarios IdP. La sincronización de grupos de OCI IAM con la plataforma de comandos Rapid7 permite a OCI IAM controlar la pertenencia a grupos de usuarios de la plataforma de comandos Rapid7. Los usuarios de OCI asignados a grupos IdP se asignan automáticamente a grupos de usuarios coincidentes en la plataforma de comandos Rapid7. Los usuarios asignados de esta manera heredan todos los permisos de producto, rol y datos definidos, siempre que sigan formando parte del grupo IdP original.

   

   

8. Haga clic en Sí para activar SSO a través de IdP externo.

   

9. Haga clic en Descargar para descargar los metadatos del SP.

   

10. Extraiga X509Certificate de él para crear un archivo .pem.

    

Tarea 2: Creación de una aplicación SAML en dominios de identidad de OCI IAM

Crearemos una aplicación SAML en los respectivos dominios de identidad de OCI IAM. Esto es necesario para establecer un enlace de comunicación seguro entre OCI IAM y la plataforma de comandos Rapid7 mediante el protocolo SAML 2.0 para SSO.

1. Conéctese a la consola de OCI, vaya a Identidad y seguridad y haga clic en Dominios.

   

2. Seleccione el dominio, haga clic en Aplicaciones Integradas para Agregar Aplicación, seleccione Aplicación SAML y haga clic en Iniciar Flujo de Trabajo.

   

3. Introduzca el Nombre, el Estado de retransmisión de la aplicación y haga clic en Siguiente.

   

4. En la sección Configurar conexión única, introduzca ID de entidad, URL de consumidor de afirmación, seleccione Formato de ID de nombre como No especificado, Valor de ID de nombre como Nombre de usuario y cargue el Certificado de firma descargado de la consola Rapid7.

   

   Nota: Una vez configurado SSO en la plataforma de comandos Rapid7, el certificado se puede extraer de los metadatos descargados.

5. En la sección Configuraciones adicionales, seleccione Incluir certificado de firma en firma y anule la selección de Activar desconexión única. Mantenga el otro parámetro como predeterminado.

   

   Nota: Seleccione o anule la selección de la función Activar desconexión única según sus requisitos. Para activar la función, es necesario que se agreguen las URL de SLO en el campo correspondiente.

6. Utilice la siguiente configuración en la sección Configuración de atributo.

   

   Nota: Las siguientes sentencias de atributo de la imagen son obligatorias para la autenticación en la plataforma de comandos Rapid7.

7. Haga clic en Terminar y en Activar para completar la configuración.

8. Descargue el certificado de firma y los metadatos del proveedor de identidad. Una vez hecho esto, vuelva a la tarea 1.4 y continúe.

   

Tarea 3: Sincronización de grupos

La sincronización de grupos permite controlar la asignación de grupos de usuarios desde OCI IAM.

Esta capacidad es posible mediante la inclusión de un atributo en la respuesta SAML con la etiqueta rbacGroups que contenga los nombres de los grupos de plataformas de comandos Rapid7 para cada usuario. Los usuarios se asignarán automáticamente a los grupos correspondientes en la plataforma de comandos Rapid7 y heredarán el acceso de producto, rol y recurso asociado a esos grupos.

Nota: Cuando activamos la sincronización de grupos, los usuarios IdP se eliminarán de cualquier grupo de plataforma de comandos Rapid7 no incluido en su afirmación de SAML. Los usuarios de IdP conservarán los roles o permisos asignados directamente a ellos, incluidos los de un perfil de acceso por defecto.

Para crear grupos de usuarios en la plataforma de comandos Rapid7, vaya a Administración, Gestión de usuarios y haga clic en Grupos de usuarios.

Tarea 4: Configuración de grupos de usuarios

Dado que la sincronización de grupos requiere el uso de grupos de usuarios de la plataforma de comandos Rapid7, es importante que haya configurado grupos antes de la activación.

1. Agregue el atributo de grupo. En OCI IAM, debemos garantizar que los usuarios se asignen a grupos con el mismo nombre que el grupo de usuarios correspondiente de la plataforma de comandos Rapid7. Si aún no ha creado estos grupos, siga estos pasos:

   1. En la consola de dominios de identidad de OCI, vaya a Grupos.

   2. Haga clic Crear grupo.

   3. Introduzca el mismo nombre que el grupo de usuarios correspondiente de la plataforma de comandos Rapid7.

   4. En la sección Usuarios, seleccione los usuarios que desea asignar este grupo.

   5. Haga clic en Crear.

   Una vez configurados los grupos, debe agregar un atributo a la afirmación de SAML que contenga los nombres de los grupos a los que se asigna cada usuario.

2. Agregue el atributo a la afirmación de SAML en los dominios de identidad de OCI IAM.

   1. En la consola de dominios de identidad de OCI, vaya a Aplicaciones integradas y seleccione la aplicación Rapid7.

   2. Haga clic en Edit SSO Configuration en la sección SAML Settings.

   3. Agregue la siguiente Declaración de atributo y haga clic en Guardar.

   

   Toda la información que necesitamos de su OCI IAM para sincronizar usuarios con grupos de usuarios de la plataforma de comandos Rapid7 ahora se incluirá cuando los usuarios se autentiquen mediante SSO.

Tarea 5: Prueba de SSO

1. Vaya a la URL de estadísticas Rapid7 (https://insight.rapid7.com) y haga clic en Conectarse con SSO.

   

2. Introduzca las credenciales.

   

   Ahora se ha conectado correctamente a la plataforma de comandos Rapid7.

   

   Además, el usuario se agrega automáticamente a los grupos de usuarios en función de la pertenencia al grupo en OCI IAM.

Agradecimientos

• Autores: Gautam Mishra (arquitecto principal de nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visita education.oracle.com/learning-explorer para convertirte en un Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Configure OCI Identity and Access Management as a SSO Source for the Rapid7 Command Platform

G18858-01

November 2024

Copyright ©2024,

Oracle y/o sus filiales.