Autenticazione SAML nella ricerca con OpenSearch
Acquisire informazioni sull'uso dell'autenticazione SAML di OCI Search con OpenSearch.
OCI Search con OpenSearch supporta l'uso di un provider di identità per l'accesso e il controllo ai cluster OpenSearch e ai dashboard OpenSearch. Questa opzione è disponibile tramite il supporto Single Sign-On SAML nel plugin Sicurezza OpenSearch.
Con l'integrazione SAML, è possibile configurare un cluster in modo che OCI OpenSearch, quando un provider di servizi SAML si connette al provider di identità per autenticare gli utenti e passare di nuovo un token di autenticazione a OCI OpenSearch per l'accesso ai cluster OpenSearch e ai dashboard OpenSearch. È inoltre possibile configurare il dashboard OpenSearch in modo che gli utenti vengano reindirizzati alla pagina di connessione del provider di identità per l'autenticazione quando accedono al dashboard OpenSearch.
Nella tabella riportata di seguito vengono descritte le impostazioni di configurazione SAML applicabili alla ricerca con OpenSearch.
Configurazione SAML | Descrizione | Nome campo o attributo |
---|---|---|
Metadati SAML | File di metadati che descrive le capacità e la configurazione del provider di identità. Obbligatorio. |
|
ID identità | Nome del provider di identità. Obbligatorio. |
|
URL dashboard OpenSearch | L'URL del dashboard OpenSearch del cluster. Facoltativa. |
|
Ruolo backend amministratore | Ruolo backend nel provider di identità per gli utenti che dispongono delle autorizzazioni di amministratore complete per il cluster. Facoltativa. |
|
Chiave oggetto | Se il provider di identità utilizza il nome elemento predefinito per gli utenti, NameID , non è necessario specificare nulla qui. In caso contrario, utilizzare questo elemento per specificare l'elemento nella risposta SAML che contiene gli utenti. Facoltativa. |
|
Chiave ruoli | Se si utilizzano i ruoli backend, questa opzione specifica il nome dell'elemento nella risposta SAML contenente i ruoli utente. Facoltativo |
|
Limitazioni e considerazioni
- La ricerca con OpenSearch supporta solo l'abilitazione dell'autenticazione SAML nella console per i cluster esistenti. Non è possibile abilitare l'autenticazione SAML quando si crea un nuovo cluster nella console. È possibile abilitare l'autenticazione SAML quando si crea un nuovo cluster OpenSearch utilizzando l'interfaccia CLI o l'API.
- Quando si crea un nuovo cluster e si abilita l'autenticazione SAML utilizzando l'interfaccia CLI o l'API, è inoltre necessario abilitare il controllo dell'accesso basato sui ruoli per il cluster, con la modalità di sicurezza impostata per l'applicazione.
Requisiti indispensabili
- Provider di identità esistente.
- Solo per la console, è necessario creare un cluster OpenSearch esistente.
È possibile abilitare SAML solo per un cluster esistente nella console.
- Per informazioni sull'uso dell'interfaccia CLI, vedere Command Line Interface (CLI). Per un elenco completo dei flag e delle opzioni disponibili per i comandi CLI, consultare il riferimento sui comandi CLI.
Abilitazione di SAML durante la creazione di un cluster
È possibile abilitare l'autenticazione SAML quando si utilizza il comando create per creare un cluster nell'oggetto cluster nell'interfaccia CLI. Oltre ai parametri richiesti per il comando create, è necessario includere anche i seguenti parametri:
- Parametri del controllo dell'accesso basato sui ruoli, inclusi
security-mode
,security-master-user-name
esecurity-master-user-password-hash
. Il parametrosecurity-mode
deve essere impostato suENFORCING
. - Parametro
securitySamlConfig
che contiene la configurazione SAML. Di seguito è riportato un esempio JSON con configurazione SAML per questo parametro.{ "isEnabled": true, "idpEntityId": "<identity_provider_name>", "idpMetadataContent": "xml content" "opendashboardUrl": "https://localhost:5601", "adminBackendRole": "<admin_role_name>", "subjectKey": "<NameID>", "rolesKey": "<group_name>" }
Mentre l'esempio precedente include tutti i campi di configurazione SAML disponibili, sono obbligatori solo i campi
isEnabled
,idpEntityId
eidpMetadataContent
.
Esempio di comando
create
:oci opensearch cluster create --compartment-id <compartment_ocid> --securitySamlConfig <SAML_Config_JSON> --security-mode ENFORCING --security-master-user-name <username> --security-master-user-password-hash <password> ...remaining required fields
Abilitazione di SAML durante l'aggiornamento di un cluster
È possibile abilitare l'autenticazione SAML per un cluster esistente quando si utilizza il comando update per l'oggetto cluster nell'interfaccia CLI per aggiornare un cluster. È necessario includere il parametro
securitySamlConfig
nel comando update. Vedere la notazione JSON di configurazione SAML nella sezione precedente per un esempio di cosa specificare per questo parametro.Esempio di comando
update
:oci opensearch cluster update --display-name<cluster_name> --opensearch-cluster-id <cluster_ocid --securitySamlConfig <SAML_Config_JSON>
Se il controllo dell'accesso basato sui ruoli non è abilitato per il cluster, è necessario abilitarlo includendo anche i parametri
security-mode
,security-master-user-name
esecurity-master-user-password-hash
. Il parametrosecurity-mode
deve essere impostato suENFORCING
. - Parametri del controllo dell'accesso basato sui ruoli, inclusi
- Per informazioni sull'uso dell'API e sulle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kit and Command Line Interface (interfaccia a riga di comando e kit di sviluppo software).
Abilitazione di SAML durante la creazione di un cluster
È possibile abilitare l'autenticazione SAML quando si utilizza l'operazione CreateOpensearchCluster per creare un cluster. Passare i dettagli di configurazione SAML in CreateOpensearchClusterDetails utilizzando il nuovo attributo
securitySamlConfig
, come mostrato nell'esempio riportato di seguito.POST https://opensearch.us-ashburn-1.oci.oraclecloud.com/20180828/opensearchClusters/ { ... "securitySamlConfig": { "isEnabled": true, "idpEntityId": "<identity_provider_name>", "idpMetadataContent": "xml content" "opendashboardUrl": "https://localhost:5601", "adminBackendRole": "<admin_role_name>", "subjectKey": "<NameID>", "rolesKey": "<group_name>" }, ... }
Abilitazione di SAML durante l'aggiornamento di un cluster
È possibile abilitare l'autenticazione SAML per un cluster esistente quando si utilizza l'operazione UpdateOpensearchCluster per aggiornare un cluster. Passare i dettagli di configurazione SAML in UpdateOpensearchClusterDetails utilizzando il nuovo attributo
securitySamlConfig
, come mostrato nell'esempio riportato di seguito.PUT https://opensearch.us-ashburn-1.oci.oraclecloud.com/20180828/opensearchClusters/ocid1.opensearchcluster.oc1.<unique_ID> { ... "securitySamlConfig": { "isEnabled": true, "idpEntityId": "<identity_provider_name>", "idpMetadataContent": "xml content" "opendashboardUrl": "https://localhost:5601", "adminBackendRole": "<admin_role_name>", "subjectKey": "<NameID>", "rolesKey": "<group_name>" }, ... }