Autenticazione SAML nella ricerca con OpenSearch

Acquisire informazioni sull'uso dell'autenticazione SAML di OCI Search con OpenSearch.

OCI Search con OpenSearch supporta l'uso di un provider di identità per l'accesso e il controllo ai cluster OpenSearch e ai dashboard OpenSearch. Questa opzione è disponibile tramite il supporto Single Sign-On SAML nel plugin Sicurezza OpenSearch.

Con l'integrazione SAML, è possibile configurare un cluster in modo che OCI OpenSearch, quando un provider di servizi SAML si connette al provider di identità per autenticare gli utenti e passare di nuovo un token di autenticazione a OCI OpenSearch per l'accesso ai cluster OpenSearch e ai dashboard OpenSearch. È inoltre possibile configurare il dashboard OpenSearch in modo che gli utenti vengano reindirizzati alla pagina di connessione del provider di identità per l'autenticazione quando accedono al dashboard OpenSearch.

Nella tabella riportata di seguito vengono descritte le impostazioni di configurazione SAML applicabili alla ricerca con OpenSearch.

Configurazione SAML Descrizione Nome campo o attributo
Metadati SAML File di metadati che descrive le capacità e la configurazione del provider di identità. Obbligatorio.
  • Console: contenuto dei metadati
  • CLI: idp-metadata-content
  • API: idpMetadataContent
ID identità Nome del provider di identità. Obbligatorio.
  • Console: ID identità
  • CLI: id-identità-ipd
  • API: ipdIdentityId
URL dashboard OpenSearch L'URL del dashboard OpenSearch del cluster. Facoltativa.
  • Console: URL dashboard
  • CLI: URL dashboard opendashboard
  • API: opendashboardUrl
Ruolo backend amministratore Ruolo backend nel provider di identità per gli utenti che dispongono delle autorizzazioni di amministratore complete per il cluster. Facoltativa.
  • Console: ruolo backend amministratore
  • CLI: ruolo backend-amministratore
  • API: adminBackendRole
Chiave oggetto Se il provider di identità utilizza il nome elemento predefinito per gli utenti, NameID, non è necessario specificare nulla qui. In caso contrario, utilizzare questo elemento per specificare l'elemento nella risposta SAML che contiene gli utenti. Facoltativa.
  • Console: chiave oggetto
  • CLI: chiave_oggetto
  • API: subjectKey
Chiave ruoli Se si utilizzano i ruoli backend, questa opzione specifica il nome dell'elemento nella risposta SAML contenente i ruoli utente. Facoltativo
  • Console: chiave dei ruoli
  • CLI: chiave-ruoli
  • API: rolesKey

Limitazioni e considerazioni

  • La ricerca con OpenSearch supporta solo l'abilitazione dell'autenticazione SAML nella console per i cluster esistenti. Non è possibile abilitare l'autenticazione SAML quando si crea un nuovo cluster nella console. È possibile abilitare l'autenticazione SAML quando si crea un nuovo cluster OpenSearch utilizzando l'interfaccia CLI o l'API.
  • Quando si crea un nuovo cluster e si abilita l'autenticazione SAML utilizzando l'interfaccia CLI o l'API, è inoltre necessario abilitare il controllo dell'accesso basato sui ruoli per il cluster, con la modalità di sicurezza impostata per l'applicazione.

Requisiti indispensabili

  • Provider di identità esistente.
  • Solo per la console, è necessario creare un cluster OpenSearch esistente.
  • È possibile abilitare SAML solo per un cluster esistente nella console.

    1. Nella pagina elenco Cluster individuare il cluster OpenSearch da utilizzare. Se è necessaria assistenza per trovare la pagina della lista o il cluster, vedere Elenca cluster OpenSearch.
    2. Nella lista Cluster fare clic sul nome del cluster per cui si desidera abilitare SAML.
    3. Nella pagina dei dettagli del cluster fare clic su Altre azioni, quindi selezionare Aggiungi autenticazione SAML.
    4. Nel campo Contenuto metadati incollare il contenuto del file di metadati SAML per il provider di identità.
      Il file di metadati SAML descrive le capacità e la configurazione del provider di identità. Include il certificato del provider di identità.
    5. Specificare il nome del provider di identità in ID identità.
    6. Facoltativamente, è possibile specificare i seguenti dettagli di configurazione:
      • URL dashboard: URL OpenSearch.Dashboard del cluster.
      • Ruolo backend amministratore: ruolo backend nel provider di identità per gli utenti con privilegi di amministratore per il cluster OpenSearch.
      • Chiave dei ruoli: specifica l'attributo nella risposta SAML contenente i ruoli utente.
      • Chiave oggetto: specifica l'attributo nella risposta SAML che contiene gli utenti.
    7. Selezionare Salva modifiche.
  • Per informazioni sull'uso dell'interfaccia CLI, vedere Command Line Interface (CLI). Per un elenco completo dei flag e delle opzioni disponibili per i comandi CLI, consultare il riferimento sui comandi CLI.

    Abilitazione di SAML durante la creazione di un cluster

    È possibile abilitare l'autenticazione SAML quando si utilizza il comando create per creare un cluster nell'oggetto cluster nell'interfaccia CLI. Oltre ai parametri richiesti per il comando create, è necessario includere anche i seguenti parametri:

    • Parametri del controllo dell'accesso basato sui ruoli, inclusi security-mode, security-master-user-name e security-master-user-password-hash. Il parametro security-mode deve essere impostato su ENFORCING.
    • Parametro securitySamlConfig che contiene la configurazione SAML. Di seguito è riportato un esempio JSON con configurazione SAML per questo parametro.
      {
          "isEnabled": true,
          "idpEntityId": "<identity_provider_name>",
          "idpMetadataContent": "xml content"
          "opendashboardUrl": "https://localhost:5601",
          "adminBackendRole": "<admin_role_name>",
          "subjectKey": "<NameID>",
          "rolesKey": "<group_name>"
          }

      Mentre l'esempio precedente include tutti i campi di configurazione SAML disponibili, sono obbligatori solo i campi isEnabled, idpEntityId e idpMetadataContent.

    Esempio di comando create:

    oci opensearch cluster create --compartment-id <compartment_ocid> --securitySamlConfig <SAML_Config_JSON> --security-mode ENFORCING --security-master-user-name <username> --security-master-user-password-hash <password> ...remaining required fields
                            

    Abilitazione di SAML durante l'aggiornamento di un cluster

    È possibile abilitare l'autenticazione SAML per un cluster esistente quando si utilizza il comando update per l'oggetto cluster nell'interfaccia CLI per aggiornare un cluster. È necessario includere il parametro securitySamlConfig nel comando update. Vedere la notazione JSON di configurazione SAML nella sezione precedente per un esempio di cosa specificare per questo parametro.

    Esempio di comando update:

    oci opensearch cluster update --display-name<cluster_name> --opensearch-cluster-id <cluster_ocid --securitySamlConfig <SAML_Config_JSON>
                            

    Se il controllo dell'accesso basato sui ruoli non è abilitato per il cluster, è necessario abilitarlo includendo anche i parametri security-mode, security-master-user-name e security-master-user-password-hash. Il parametro security-mode deve essere impostato su ENFORCING.

  • Per informazioni sull'uso dell'API e sulle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kit and Command Line Interface (interfaccia a riga di comando e kit di sviluppo software).

    Abilitazione di SAML durante la creazione di un cluster

    È possibile abilitare l'autenticazione SAML quando si utilizza l'operazione CreateOpensearchCluster per creare un cluster. Passare i dettagli di configurazione SAML in CreateOpensearchClusterDetails utilizzando il nuovo attributo securitySamlConfig, come mostrato nell'esempio riportato di seguito.

    POST https://opensearch.us-ashburn-1.oci.oraclecloud.com/20180828/opensearchClusters/
    {
      ...
      "securitySamlConfig": {
        "isEnabled": true,
        "idpEntityId": "<identity_provider_name>",
        "idpMetadataContent": "xml content"
        "opendashboardUrl": "https://localhost:5601",
        "adminBackendRole": "<admin_role_name>",
        "subjectKey": "<NameID>",
        "rolesKey": "<group_name>"
      },
      ...
    }

    Abilitazione di SAML durante l'aggiornamento di un cluster

    È possibile abilitare l'autenticazione SAML per un cluster esistente quando si utilizza l'operazione UpdateOpensearchCluster per aggiornare un cluster. Passare i dettagli di configurazione SAML in UpdateOpensearchClusterDetails utilizzando il nuovo attributo securitySamlConfig, come mostrato nell'esempio riportato di seguito.

    PUT https://opensearch.us-ashburn-1.oci.oraclecloud.com/20180828/opensearchClusters/ocid1.opensearchcluster.oc1.<unique_ID>
    {
      ...
      "securitySamlConfig": {
        "isEnabled": true,
        "idpEntityId": "<identity_provider_name>",
        "idpMetadataContent": "xml content"
        "opendashboardUrl": "https://localhost:5601",
        "adminBackendRole": "<admin_role_name>",
        "subjectKey": "<NameID>",
        "rolesKey": "<group_name>"
      },
      ...
    }