SAMLautenticazione per i OpenSearch pannelli di controllo - OpenSearch Servizio Amazon
SAMLpanoramica della configurazioneConsiderazioniSAMLautenticazione per i domini VPCModifica della policy di accesso al dominioConfigurazione dell'autenticazione avviata da SP o da IdPConfigurazione dell'autenticazione avviata da SP e avviata da IdPConfigurazione dell'autenticazione SAML ()AWS CLIConfigurazione dell'SAMLautenticazione (configurazioneAPI)SAMLrisoluzione dei problemiSAMLDisabilitazione dell'autenticazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SAMLautenticazione per i OpenSearch pannelli di controllo

SAMLl'autenticazione per OpenSearch Dashboards ti consente di utilizzare il tuo provider di identità esistente per offrire single sign-on (SSO) per dashboard su domini OpenSearch Amazon Service che OpenSearch eseguono o Elasticsearch 6.7 o versione successiva. Per utilizzare l'SAMLautenticazione, devi abilitare il controllo granulare degli accessi.

Anziché eseguire l'autenticazione tramite Amazon Cognito o il database utenti internoSAML, l'autenticazione OpenSearch per Dashboards consente di utilizzare provider di identità di terze parti per accedere alle dashboard, gestire il controllo granulare degli accessi, cercare i dati e creare visualizzazioni. OpenSearch Il servizio supporta provider che utilizzano lo standard SAML 2.0, come Okta, Keycloak, Active Directory Federation Services (), Auth0 e. ADFS AWS IAM Identity Center

SAMLl'autenticazione per le dashboard consente solo l'accesso alle OpenSearch dashboard tramite un browser Web. SAMLLe tue credenziali non ti consentono di effettuare HTTP richieste dirette ai nostri dashboard. OpenSearch APIs

SAMLpanoramica della configurazione

Questa documentazione presuppone che si disponga di un fornitore di identità esistente e che si abbia una certa familiarità con esso. Non possiamo fornire passaggi di configurazione dettagliati per il tuo provider esatto, ma solo per il tuo dominio OpenSearch di servizio.

Il flusso di accesso a OpenSearch Dashboards può assumere una delle due forme seguenti:

  • Avviato da provider di servizi (SP): si passa a Dashboards (ad esempio https://my-domain.us-east-1.es.amazonaws.com/_dashboards), che reindirizza alla schermata di accesso. Dopo aver effettuato l'accesso, il provider di identità reindirizza l'utente da Dashboards.

  • Provider di identità (IdP) avviato: accedi al tuo provider di identità, accedi e scegli OpenSearch Dashboard da una directory di applicazioni.

OpenSearch Il servizio fornisce due Single Sign-OnURLs, avviato da SP e avviato da IdP, ma è necessario solo quello che corrisponde al flusso di accesso desiderato per Dashboards. OpenSearch

Indipendentemente dal tipo di autenticazione utilizzato, l'obiettivo è accedere tramite il provider di identità e ricevere un'SAMLasserzione contenente il nome utente (obbligatorio) e gli eventuali ruoli di backend (facoltativo, ma consigliato). Queste informazioni consentono un controllo granulare degli accessi per assegnare le autorizzazioni agli utenti. SAML Nei provider di identità esterni, i ruoli back-end sono in genere denominati "ruoli" o "gruppi".

Considerazioni

Quando configuri l'autenticazione, considera quanto segue: SAML

  • A causa delle dimensioni del file di metadati IdP, consigliamo vivamente di utilizzare la AWS console per configurare l'autenticazione. SAML

  • I domini supportano solo un metodo di autenticazione Dashboards alla volta. Se hai abilitato l'autenticazione Amazon Cognito per OpenSearch dashboard, devi disabilitarla prima di poter abilitare l'autenticazione. SAML

  • Se utilizzi un sistema di bilanciamento del carico di rete conSAML, devi prima creare un endpoint personalizzato. Per ulteriori informazioni, consulta Creazione di un endpoint personalizzato per Amazon Service OpenSearch .

  • Le politiche di controllo del servizio (SCP) non saranno applicabili o valutate in caso di non IAM identità (come in SAML Amazon OpenSearch Serverless SAML e nell'autorizzazione utente interna di base per Amazon OpenSearch Service).

SAMLautenticazione per i domini VPC

SAMLnon richiede una comunicazione diretta tra il provider di identità e il fornitore di servizi. Pertanto, anche se il OpenSearch dominio è ospitato in un ambiente privatoVPC, è comunque possibile utilizzarlo SAML purché il browser sia in grado di comunicare sia con il OpenSearch cluster che con il provider di identità. Il browser agisce essenzialmente come intermediario tra il provider di identità e il provider di servizi. Per un utile diagramma che spiega il flusso di SAML autenticazione, consulta la documentazione di Okta.

Modifica della policy di accesso al dominio

Prima di configurare SAML l'autenticazione, è necessario aggiornare la politica di accesso al dominio per consentire agli SAML utenti di accedere al dominio. Altrimenti, saranno restituiti errori di accesso negato.

Consigliamo la seguente policy di accesso al dominio, che fornisce l'accesso completo alle risorse secondarie (/*) del dominio:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:ESHttp*",
      "Resource": "domain-arn/*"
    }
  ]
}

Per rendere la politica più restrittiva, puoi aggiungere una condizione relativa all'indirizzo IP alla politica. Questa condizione limita l'accesso solo all'intervallo di indirizzi IP o alla sottorete specificati. Ad esempio, la seguente politica consente l'accesso solo dalla sottorete 192.0.2.0/24:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "es:ESHttp*"
      ],
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "192.0.2.0/24"
          ]
        }
      },
      "Resource": "domain-arn/*"
    }
  ]
}
Nota

Una politica di accesso al dominio aperta richiede l'attivazione di un controllo granulare degli accessi sul dominio, altrimenti viene visualizzato il seguente errore:

To protect domains with public access, a restrictive policy or fine-grained access control is required.

Se hai un utente principale o un utente interno configurato con una password robusta, mantenere aperta la policy utilizzando un controllo granulare degli accessi potrebbe essere accettabile dal punto di vista della sicurezza. Per ulteriori informazioni, consulta Controllo granulare degli accessi in Amazon Service OpenSearch .

Configurazione dell'autenticazione avviata da SP o da IdP

Questi passaggi spiegano come abilitare SAML l'autenticazione con l'autenticazione avviata da SP o IdP per i dashboard. OpenSearch Per il passaggio aggiuntivo richiesto per abilitare entrambi, consulta Configurazione dell'autenticazione avviata da SP e avviata da IdP.

Passaggio 1: abilitare l'autenticazione SAML

È possibile abilitare SAML l'autenticazione durante la creazione del dominio o scegliendo Azioni, Modifica configurazione di sicurezza su un dominio esistente. I seguenti passaggi variano leggermente a seconda della scelta effettuata.

All'interno della configurazione del dominio, in SAMLAutenticazione per OpenSearch Dashboards/Kibana, seleziona Abilita autenticazione. SAML

Fase 2: Configurazione del fornitore di identità

Esegui i seguenti passaggi a seconda di quando configuri l'autenticazione. SAML

Se stai creando un nuovo dominio

Se stai creando un nuovo dominio, OpenSearch Service non è ancora in grado di generare un ID di entità del fornitore di servizi o SSOURLs. Il tuo provider di identità richiede questi valori per abilitare correttamente SAML l'autenticazione, ma possono essere generati solo dopo la creazione del dominio. Per ovviare a questa interdipendenza durante la creazione del dominio, puoi fornire valori temporanei nella configurazione dell'IdP per generare i metadati richiesti e quindi aggiornarli una volta che il dominio è attivo.

Se utilizzi un endpoint personalizzato, puoi dedurre quale URLs sarà. Ad esempio, se l'endpoint personalizzato èwww.custom-endpoint.com, l'ID dell'entità del fornitore di servizi saràwww.custom-endpoint.com, l'IdP avviato SSO URL sarà e l'www.custom-endpoint.com/_dashboards/_opendistro/_security/saml/acs/idpinitiatedSP-avviato sarà. SSO URL www.custom-endpoint.com/_dashboards/_opendistro/_security/saml/acs Puoi utilizzare i valori per configurare il tuo fornitore di identità prima della creazione del dominio. Per gli esempi consultare la prossima sezione.

Nota

Non è possibile accedere con un endpoint dual stack perché il valore di una richiesta è diverso da quello FQDN di una HTTP richiesta. FQDN SAML Un OpenSearch amministratore dovrà configurare un endpoint personalizzato e impostare il CNAME valore su un endpoint dual stack se desideri accedere utilizzando un endpoint dual stack.

Se non utilizzi un endpoint personalizzato, puoi inserire valori temporanei nel tuo IdP per generare i metadati richiesti e quindi aggiornarli in un secondo momento dopo l'attivazione del dominio.

Ad esempio, all'interno di Okta, puoi https://temp-endpoint.amazonaws.com inserire i campi Single sign-on URL e Audience URI (SP Entity ID), che ti consentono di generare i metadati. Quindi, dopo che il dominio è attivo, puoi recuperare i valori corretti da OpenSearch Service e aggiornarli in Okta. Per istruzioni, consulta Passaggio 6: aggiorna il tuo IdP URLs.

Se stai modificando un dominio esistente

Se stai abilitando SAML l'autenticazione su un dominio esistente, copia l'ID dell'entità del fornitore di servizi e uno dei. SSO URLs Per indicazioni su quale URL usare, consultaSAMLpanoramica della configurazione.

Service provider entity ID and SSO URLs for SAML authentication configuration.

Utilizzare questi valori per configurare il fornitore di identità. Questa è la parte più complessa del processo e, sfortunatamente, la terminologia e i passaggi variano notevolmente a seconda del provider. Consultare la documentazione del provider.

In Okta, ad esempio, si crea un'applicazione web SAML 2.0. Per Single Sign-On URL, specificare. SSO URL Per Audience URI (SP Entity ID), specificare l'ID dell'entità SP.

Piuttosto che utenti e ruoli di back-end, Okta utilizza utenti e gruppi. Per Group Attribute Statements (Istruzioni degli attributi di gruppo), consigliamo di aggiungere role al campo Name (Nome) e l'espressione regolare .+ al campo Filter (Filtro). Questa istruzione indica al provider di identità Okta di includere tutti i gruppi di utenti role nel campo dell'SAMLasserzione dopo l'autenticazione di un utente.

In IAM Identity Center, si specifica l'ID dell'entità SP come destinatario dell'applicazione. SAML È inoltre necessario specificare le seguenti mappature degli attributi: Subject=${user:subject}:format=unspecified e. Role=${user:groups}:format=uri

In Auth0, crei una normale applicazione web e abiliti il SAML componente aggiuntivo 2.0. In Keycloak, crei un client.

Fase 3: Importazione dei metadati dell'IdP

Dopo aver configurato il provider di identità, viene generato un file di metadati IdP. Questo XML file contiene informazioni sul provider, come un TLS certificato, gli endpoint Single Sign-on e l'ID dell'entità del provider di identità.

Copia il contenuto del file di metadati IdP e incollalo nel campo Metadati da IdP della console di servizio. OpenSearch In alternativa, scegli Importa da XML file e carica il file. Il file dei metadati dovrebbe avere un aspetto simile al seguente:

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="entity-id" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
  <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>tls-certificate</ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="idp-sso-url"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="idp-sso-url"/>
  </md:IDPSSODescriptor>
</md:EntityDescriptor>

Passaggio 4: Configurare i campi SAML

Dopo aver inserito i metadati IdP, configura i seguenti campi aggiuntivi nella OpenSearch console di servizio:

  • IdP entity ID (ID entità IdP): copiare il valore della proprietà entityID dal file di metadati e incollarlo in questo campo. Molti provider di identità visualizzano questo valore anche come parte di un riepilogo successivo alla configurazione. Alcuni fornitori lo chiamano "emittente".

  • SAMLnome utente principale e ruolo SAML principale di backend: l'utente e/o il ruolo di backend specificato riceve le autorizzazioni complete per il cluster, equivalenti a quelle di un nuovo utente principale, ma può utilizzare tali autorizzazioni solo all'interno delle dashboard. OpenSearch

    Ad esempio, in Okta è possibile avere un utente jdoe che appartiene al gruppo admins. Se lo aggiungi jdoe al campo nome utente SAML principale, solo quell'utente riceve le autorizzazioni complete. Se lo aggiungi admins al campo del ruolo SAML principale del backend, qualsiasi utente che appartiene al admins gruppo riceve le autorizzazioni complete.

    Nota

    Il contenuto dell'SAMLasserzione deve corrispondere esattamente alle stringhe utilizzate per il nome utente SAML principale e il ruolo principale. SAML Alcuni provider di identità aggiungono un prefisso prima dei nomi utente, il che può causare una mancata corrispondenza. hard-to-diagnose Nell'interfaccia utente del provider di identità, potresti vederejdoe, ma l'SAMLasserzione potrebbe contenere. auth0|jdoe Usa sempre la stringa contenuta nell'SAMLasserzione.

Molti provider di identità consentono di visualizzare un'asserzione di esempio durante il processo di configurazione e strumenti come SAML-tracer possono aiutarti a esaminare e risolvere i problemi relativi al contenuto delle asserzioni reali. Le asserzioni hanno il seguente aspetto:

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion ID="id67229299299259351343340162" IssueInstant="2020-09-22T22:03:08.633Z" Version="2.0"
  xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">idp-issuer</saml2:Issuer>
  <saml2:Subject>
    <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">username</saml2:NameID>
    <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
      <saml2:SubjectConfirmationData NotOnOrAfter="2020-09-22T22:08:08.816Z" Recipient="domain-endpoint/_dashboards/_opendistro/_security/saml/acs"/>
    </saml2:SubjectConfirmation>
  </saml2:Subject>
  <saml2:Conditions NotBefore="2020-09-22T21:58:08.816Z" NotOnOrAfter="2020-09-22T22:08:08.816Z">
    <saml2:AudienceRestriction>
      <saml2:Audience>domain-endpoint</saml2:Audience>
    </saml2:AudienceRestriction>
  </saml2:Conditions>
  <saml2:AuthnStatement AuthnInstant="2020-09-22T19:54:37.274Z">
    <saml2:AuthnContext>
      <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
    </saml2:AuthnContext>
  </saml2:AuthnStatement>
  <saml2:AttributeStatement>
    <saml2:Attribute Name="role" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      <saml2:AttributeValue
        xmlns:xs="http://www.w3.org/2001/XMLSchema"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">GroupName Match Matches regex ".+" (case-sensitive)
      </saml2:AttributeValue>
    </saml2:Attribute>
  </saml2:AttributeStatement>
</saml2:Assertion>

Fase 5: (facoltativo) configurazione delle impostazioni aggiuntive

In Additional settings (Impostazioni aggiuntive), configura i seguenti campi facoltativi:

  • Chiave dell'oggetto: puoi lasciare vuoto questo campo per utilizzare l'NameIDelemento dell'asserzione per il nome utente. SAML Se l'asserzione non utilizza questo elemento standard e include invece il nome utente come attributo personalizzato, specificare tale attributo qui.

  • Roles key )Chiave ruoli): Se si desidera utilizzare i ruoli back-end (scelta consigliata), specificare un attributo dall'asserzione in questo campo, ad esempio role o group. Questa è un'altra situazione in cui strumenti come SAML-tracer possono essere d'aiuto.

  • Durata della sessione: per impostazione predefinita, OpenSearch Dashboards disconnette gli utenti dopo 24 ore. È possibile configurare questo valore su qualsiasi numero compreso tra 60 e 1.440 (24 ore) specificando un nuovo valore.

Se la configurazione ti soddisfa, salva il dominio.

Passaggio 6: aggiorna il tuo IdP URLs

Se hai abilitato SAML l'autenticazione durante la creazione di un dominio, dovevi specificare il valore temporaneo URLs all'interno del tuo IdP per generare il XML file di metadati. Dopo che lo stato del dominio è cambiato inActive, puoi ottenere il tuo URLs IdP corretto e modificarlo.

Per recuperarloURLs, seleziona il dominio e scegli Azioni, Modifica configurazione di sicurezza. In SAMLAutenticazione per OpenSearch Dashboards/Kibana, puoi trovare l'ID corretto dell'entità del fornitore di servizi e. SSO URLs Copia i valori e usali per configurare il tuo provider di identità, sostituendo il valore temporaneo URLs fornito nel passaggio 2.

Passaggio 7: mappare SAML gli utenti ai ruoli

Una volta che lo stato del dominio è Attivo e il tuo IdP è configurato correttamente, accedi a OpenSearch Dashboards.

  • Se hai scelto URL SP-Initiated, accedi a. domain-endpoint/_dashboards Per accedere direttamente a un tenant specifico, puoi aggiungere a. ?security_tenant=tenant-name URL

  • Se hai scelto l'IdP avviatoURL, accedi alla directory delle applicazioni del tuo provider di identità.

In entrambi i casi, accedi come utente SAML principale o come utente che appartiene al ruolo di backend SAML principale. Per continuare l'esempio dalla fase 7, accedere come jdoe o come membro del gruppo admins.

Dopo il caricamento di OpenSearch Dashboards, scegli Sicurezza, Ruoli. Quindi, mappa i ruoli per consentire ad altri utenti di accedere alle OpenSearch dashboard.

Ad esempio, è possibile mappare il collega fidato jroe ai ruoli all_access e security_manager. È inoltre possibile mappare il ruolo back-end analysts ai ruoli readall e opensearch_dashboards_user.

Se preferisci utilizzare le OpenSearch dashboard API anziché le dashboard, consulta la seguente richiesta di esempio:

PATCH _plugins/_security/api/rolesmapping
[
  {
    "op": "add", "path": "/security_manager", "value": { "users": ["master-user", "jdoe", "jroe"], "backend_roles": ["admins"] }
  },
  {
    "op": "add", "path": "/all_access", "value": { "users": ["master-user", "jdoe", "jroe"], "backend_roles": ["admins"] }
  },
  {
    "op": "add", "path": "/readall", "value": { "backend_roles": ["analysts"] }
  },
  {
    "op": "add", "path": "/opensearch_dashboards_user", "value": { "backend_roles": ["analysts"] }
  }
]

Configurazione dell'autenticazione avviata da SP e avviata da IdP

Se si desidera configurare sia l'autenticazione avviata da SP che quella avviata da IdP, è necessario farlo tramite il provider di identità. Ad esempio, in Okta, puoi eseguire le operazioni seguenti:

  1. All'interno SAML dell'applicazione, vai a Generali, SAMLimpostazioni.

  2. Per il Single Sign-on URL, fornisci il tuo IdP -initiated. SSO URL Ad esempio https://search-domain-hash/_dashboards/_opendistro/_security/saml/acs/idpinitiated.

  3. Abilita Consenti a questa app di richiederne altre. SSO URLs

  4. In Requestable SSO URLs, aggiungi uno o più SP SSO URLs -initiated. Ad esempio https://search-domain-hash/_dashboards/_opendistro/_security/saml/acs.

Configurazione dell'autenticazione SAML ()AWS CLI

Il AWS CLI comando seguente abilita SAML l'autenticazione per i OpenSearch dashboard su un dominio esistente:

aws opensearch update-domain-config \
  --domain-name my-domain \
  --advanced-security-options '{"SAMLOptions":{"Enabled":true,"MasterUserName":"my-idp-user","MasterBackendRole":"my-idp-group-or-role","Idp":{"EntityId":"entity-id","MetadataContent":"metadata-content-with-quotes-escaped"},"RolesKey":"optional-roles-key","SessionTimeoutMinutes":180,"SubjectKey":"optional-subject-key"}}'

È necessario evitare tutte le virgolette e i caratteri di nuova riga nei metadati. XML Ad esempio, utilizzare <KeyDescriptor use=\"signing\">\n invece di <KeyDescriptor use="signing"> e un'interruzione di riga. Per informazioni dettagliate sull'utilizzo di AWS CLI, consultate il AWS CLI Command Reference.

Configurazione dell'SAMLautenticazione (configurazioneAPI)

La seguente richiesta alla configurazione API abilita SAML l'autenticazione per le OpenSearch dashboard su un dominio esistente:

POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
  "AdvancedSecurityOptions": {
    "SAMLOptions": {
      "Enabled": true,
      "MasterUserName": "my-idp-user",
      "MasterBackendRole": "my-idp-group-or-role",
      "Idp": {
        "EntityId": "entity-id",
        "MetadataContent": "metadata-content-with-quotes-escaped"
      },
      "RolesKey": "optional-roles-key",
      "SessionTimeoutMinutes": 180,
      "SubjectKey": "optional-subject-key"
    }
  }
}

È necessario evitare tutte le virgolette e i caratteri di nuova riga nei metadati. XML Ad esempio, utilizzare <KeyDescriptor use=\"signing\">\n invece di <KeyDescriptor use="signing"> e un'interruzione di riga. Per informazioni dettagliate sull'utilizzo della configurazioneAPI, consulta il riferimento al OpenSearch servizio API.

SAMLrisoluzione dei problemi

Errore Informazioni

La tua richiesta: '/some/path'non è consentito.

Verifica di aver fornito i dati corretti SSOURL(fase 3) al tuo provider di identità.

Fornisci un documento di metadati valido per il provider di identità da abilitare. SAML

Il file di metadati IdP non è conforme allo standard 2.0. SAML Verificare la presenza di errori utilizzando uno strumento di convalida.

SAMLle opzioni di configurazione non sono visibili nella console.

Effettuare l'aggiornamento alla versione più recente del software di assistenza.

SAMLerrore di configurazione: Qualcosa è andato storto durante il recupero della SAML configurazione, controlla le impostazioni.

Questo errore generico può verificarsi per molti motivi.

  • Verifica di aver fornito al tuo provider di identità l'ID dell'entità SP corretto e. SSO URL

  • Rigenerare il file di metadati IdP e verificare l'ID entità IdP. Aggiungere tutti i metadati aggiornati nella console AWS .

  • Verifica che la politica di accesso al dominio consenta l'accesso a OpenSearch dashboard e_plugins/_security/*. In generale, per domini che utilizzano un controllo granulare degli accessi è preferibile utilizzare una policy di accesso aperta.

  • Consulta la documentazione del tuo provider di identità per conoscere i passaggi da seguire per la configurazioneSAML.

Ruolo mancante: nessun ruolo disponibile per questo utente, contatta l'amministratore di sistema.

L'autenticazione è avvenuta con successo, ma il nome utente e gli eventuali ruoli di backend dell'SAMLasserzione non sono mappati su nessun ruolo e quindi non dispongono di autorizzazioni. Queste mappature distinguono tra maiuscole e minuscole.

L'amministratore di sistema può verificare il contenuto dell'SAMLasserzione utilizzando uno strumento come SAML-tracer, quindi controllare la mappatura dei ruoli utilizzando la seguente richiesta:

GET _plugins/_security/api/rolesmapping

Il browser reindirizza continuamente o riceve HTTP 500 errori quando tenta di accedere alle dashboard. OpenSearch

Questi errori possono verificarsi se l'SAMLasserzione contiene un numero elevato di ruoli per un totale di circa 1.500 caratteri. Ad esempio, se si superano 80 ruoli, la cui lunghezza media è di 20 caratteri, è possibile che il limite di dimensione per i cookie nel browser Web venga superato. A partire dalla OpenSearch versione 2.7, SAML assertion supporta ruoli fino a 5000 caratteri.

Non puoi disconnetterti da. ADFS

ADFSrichiede la firma di tutte le richieste di disconnessione, cosa che OpenSearch il Servizio non supporta. Rimuovi <SingleLogoutService /> dal file di metadati IdP per forzare il OpenSearch servizio a utilizzare il proprio meccanismo di disconnessione interno.

Could not find entity descriptor for __PATH__.

L'ID dell'entità dell'IdP fornito nei metadati XML al OpenSearch Servizio è diverso da quello nella risposta. SAML Per risolvere questo problema, assicurati che corrispondano. Abilita i registri degli errori dell'applicazione CW sul tuo dominio per trovare il messaggio di errore per il debug del SAML problema di integrazione.

Signature validation failed. SAML response rejected.

OpenSearch Il servizio non è in grado di verificare la firma nella SAML risposta utilizzando il certificato dell'IdP fornito nei metadati. XML Potrebbe trattarsi di un errore manuale o il certificato del tuo IdP potrebbe aver modificato il certificato. Aggiorna il certificato più recente del tuo IdP nei metadati XML forniti al OpenSearch Servizio tramite. AWS Management Console

__PATH__ is not a valid audience for this response.

Il campo audience nella SAML risposta non corrisponde all'endpoint del dominio. Per correggere questo errore, aggiorna il campo SP audience in modo che corrisponda all'endpoint del tuo dominio. Se hai abilitato gli endpoint personalizzati, il campo audience deve corrispondere al tuo endpoint personalizzato. Abilita i registri degli errori dell'applicazione CW sul tuo dominio per trovare il messaggio di errore per eseguire il debug del problema di integrazione. SAML

Il tuo browser riceve un errore HTTP 400 Invalid Request Id nella risposta.

Questo errore si verifica in genere se hai configurato l'IdP avviato URL con il formato. <DashboardsURL>/_opendistro/_security/saml/acs Invece, configuralo URL con il formato. <DashboardsURL>/_opendistro/_security/saml/acs/idpinitiated

La risposta è stata ricevuta al __PATH__ posto di__PATH__.

Il campo di destinazione in SAML risposta non corrisponde a uno dei seguenti URL formati:

  • <DashboardsURL>/_opendistro/_security/saml/acs

  • <DashboardsURL>/_opendistro/_security/saml/acs/idpinitiated.

A seconda del flusso di accesso utilizzato (avviato da SP o avviato da IDP), inserisci un campo di destinazione che corrisponda a uno dei. OpenSearch URLs

La risposta ha un InResponseTo attributo, mentre non era previsto. InResponseTo

Stai utilizzando l'IdP avviato URL per un flusso di accesso avviato da SP. Utilizza URL invece SP-Initiated.

SAMLDisabilitazione dell'autenticazione

Per disabilitare SAML l'autenticazione per OpenSearch Dashboard (console)

  1. Scegli il dominio, Operazioni quindi Modifica configurazione di sicurezza.

  2. Deseleziona Abilita l'autenticazione. SAML

  3. Scegli Save changes (Salva modifiche).

  4. Al termine dell'elaborazione del dominio, verificare la mappatura dei ruoli del controllo granulare degli accessi con la seguente richiesta:

    GET _plugins/_security/api/rolesmapping

    La disabilitazione SAML dell'autenticazione per le dashboard non rimuove le mappature per il nome utente SAML principale e/o il ruolo di backend principale. SAML Se desideri rimuovere queste mappature, accedi a Dashboards utilizzando il database utenti interno (se abilitato) o usa il per rimuoverle: API

    PUT _plugins/_security/api/rolesmapping/all_access
{
  "users": [
    "master-user"
  ]
}