操作指南|JumpServer与Okta集成对接

2023-10-10 05:59

本文主要是介绍操作指南|JumpServer与Okta集成对接,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文重点介绍两种常见的单点登录协议,即OIDC(OpenID Connect)协议和SAML 2.0(Security Assertion Markup Language)协议,以及如何在JumpServer开源堡垒机上完成与Okta的集成对接。

一、概要

■ 单点登录

单点登录(Single Sign On,简称为SSO)是一种身份验证方案,允许用户使用单一的认证凭证访问到多个独立的软件系统中的任意一个,减少了用户重复认证的步骤,并且统一了不同软件间的用户认证管理。

常见的单点登录认证协议包括: OIDC、OAuth 2.0、SAML 2.0、CAS等。

■ Okta

Okta是一家美国高新技术公司,其软件的主要功能是将一家公司及其员工使用的大量软件应用整合在一起,能够让员工很方便地使用单一、安全的账号登录他们工作所需要使用的各种自有及第三方的网络服务,并且通过细粒度的多租户身份验证确保最终用户的访问体验。

■ OIDC

OIDC(OpenID Connect)在OAuth 2.0上构建了一个身份层,是一个基于OAuth 2.0协议的身份认证标准协议。OIDC使用OAuth 2.0的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(例如服务端应用、移动APP、JavaScript应用),且完全兼容OAuth 2.0协议。

■ SAML

SAML(Security Assertion Markup Language)是一种用于安全性断言的标记语言,目前的最新版本是2.0,是Web浏览器用来通过安全令牌启用单点登录(SSO)的标准协议。

■ OIDC协议与SAML 2.0协议之间的相同点与不同点:

在这里插入图片描述
二、对接前的准备工作

  1. 如果JumpServer需要与Okta平台对接,需要在官网进行注册,Okta平台的官网地址为:https://www.okta.com/;

  2. 注册成功后,Okta会发送一封电子邮件,邮件内容包含独立的平台域名、用户名和临时密码信息。

三、SAML 2.0协议对接

■ 对接步骤:Okta端

  1. 通过官网进入到Okta平台首页后,点击左边菜单栏中的“Applications”→“Applications”;
    在这里插入图片描述

  2. 点击“Create App Integration”按钮;
    在这里插入图片描述

  3. 选择“SAML 2.0”选项后,点击“Next”按钮;
    在这里插入图片描述

  4. 根据提示,创建应用名、登录Logo等配置信息;
    在这里插入图片描述

  5. 配置相应SAML信息;

Single sign on URL(即Okta认证成功的回调地址):http[s]😕/host:port/core/auth/saml2/callback/;

Audience URI(应用堡垒机的标识):http[s]😕/host:port/core/auth/saml2/login/;
在这里插入图片描述

  1. 如果需要配置JumpServer设置中的同步注销功能,还需要在这里单独进行配置,点击“Show Advanced Settings”按钮(无需此功能,可忽略此步骤,建议最后配置此项);
    在这里插入图片描述

需要配置证书,输入以下代码生成一个密钥证书,后续JumpServer堡垒机也会使用到这个密钥证书;

$ openssl genrsa -out server.key 2048  # 这个生成的是 私钥
$ openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"  # 这个是证书

填写Single Logout URL(即Okta注销地址),一般为:http[s]😕/host:port/login/signout;
在这里插入图片描述

若上述URL配置有误,可通过以下图片所示方式获取正确地址,并填入“Single Logout URL”处;
在这里插入图片描述

  1. 设置“Attribute Statements(Optional)”选项卡,这里是用户属性映射,JumpServer默认会把SAML 2.0协议传输过来的uid字段和JumpServer中的username字段相关联;

如果想修改这里的信息,将JumpServer设置为同步修改即可,然后拉到页面底部,点击“Next”按钮;
在这里插入图片描述

  1. 按照下图设置完成后,点击“Finish”按钮;
    在这里插入图片描述

  2. 创建应用成功后,在应用界面找到“SAML Signing Certificates”选项卡,选择状态为“Active”的记录,在“Action”菜单中点击“View IdP metadata”选项;
    在这里插入图片描述

  3. 将弹出的浏览器框地址栏中的地址保存下来,以便后续配置JumpServer;
    在这里插入图片描述

  4. 点击应用名称,进入应用设置中找到“Assignments”选项后,点击“Assign”菜单邀请用户进入当前应用。
    在这里插入图片描述

■ 对接步骤:JumpServer端

  1. 登录JumpServer后,选择“设置”→“认证设置”→“SAML2”;
    在这里插入图片描述

  2. 将对接Okta端操作中的第6步(若上述第6步跳过,则返回第6步生成密钥证书部分,执行命令获取证书)生成的密钥证书上传到JumpServer堡垒机,并把第10步生成的URL地址,填写在“IDP metadata URL”中,即可完成JumpServer端的配置。
    在这里插入图片描述

四、OIDC-OpenID协议对接

■ 对接步骤:Okta端

  1. 通过官网进入到Okta平台首页后,点击左边菜单栏中的“Applications”→“Applications”;
    在这里插入图片描述

  2. 点击“Create App Integration”按钮;
    在这里插入图片描述

  3. 选择“OIDC-OpenID Connect”选项,然后选择“Web Application”选项,点击“Next”按钮;
    在这里插入图片描述

  4. 根据以下图示填写相应内容,其余部分保持默认设置;

App integration name(Okta端应用名称):不重复即可;

Sign-in redirect URIs(认证成功回调地址):域名更换成自己的即可;

Sign-out redirect URIs(注销用户会话后的重定向地址):选填;
在这里插入图片描述
在这里插入图片描述

  1. 跳转到应用信息详情页后,进入“Okta API Scopes”选项卡进行授权;
    在这里插入图片描述

  2. 在页面最底部找到okta.users.read,点击右侧“Grant”按钮完成授权动作,即可完成Okta端的对接设置。
    在这里插入图片描述

■ 对接步骤:JumpServer端

  1. 登录JumpServer后,选择“设置”→“认证设置”→“OIDC”,并根据下图填入相应参数,域名处更换为自己的Okta域名;
    在这里插入图片描述

  2. 在Okta端配置客户端ID(Client ID)及客户端密钥(Client Secret);
    在这里插入图片描述

  3. 按照下图设置相应信息,即可完成JumpServer端的对接设置。
    在这里插入图片描述
    在这里插入图片描述

这篇关于操作指南|JumpServer与Okta集成对接的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/178441

相关文章

从入门到进阶讲解Python自动化Playwright实战指南

《从入门到进阶讲解Python自动化Playwright实战指南》Playwright是针对Python语言的纯自动化工具,它可以通过单个API自动执行Chromium,Firefox和WebKit... 目录Playwright 简介核心优势安装步骤观点与案例结合Playwright 核心功能从零开始学习

Java堆转储文件之1.6G大文件处理完整指南

《Java堆转储文件之1.6G大文件处理完整指南》堆转储文件是优化、分析内存消耗的重要工具,:本文主要介绍Java堆转储文件之1.6G大文件处理的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言文件为什么这么大?如何处理这个文件?分析文件内容(推荐)删除文件(如果不需要)查看错误来源如何避

Java docx4j高效处理Word文档的实战指南

《Javadocx4j高效处理Word文档的实战指南》对于需要在Java应用程序中生成、修改或处理Word文档的开发者来说,docx4j是一个强大而专业的选择,下面我们就来看看docx4j的具体使用... 目录引言一、环境准备与基础配置1.1 Maven依赖配置1.2 初始化测试类二、增强版文档操作示例2.

Ubuntu 24.04启用root图形登录的操作流程

《Ubuntu24.04启用root图形登录的操作流程》Ubuntu默认禁用root账户的图形与SSH登录,这是为了安全,但在某些场景你可能需要直接用root登录GNOME桌面,本文以Ubuntu2... 目录一、前言二、准备工作三、设置 root 密码四、启用图形界面 root 登录1. 修改 GDM 配

JSONArray在Java中的应用操作实例

《JSONArray在Java中的应用操作实例》JSONArray是org.json库用于处理JSON数组的类,可将Java对象(Map/List)转换为JSON格式,提供增删改查等操作,适用于前后端... 目录1. jsONArray定义与功能1.1 JSONArray概念阐释1.1.1 什么是JSONA

PostgreSQL中rank()窗口函数实用指南与示例

《PostgreSQL中rank()窗口函数实用指南与示例》在数据分析和数据库管理中,经常需要对数据进行排名操作,PostgreSQL提供了强大的窗口函数rank(),可以方便地对结果集中的行进行排名... 目录一、rank()函数简介二、基础示例:部门内员工薪资排名示例数据排名查询三、高级应用示例1. 每

SpringBoot结合Docker进行容器化处理指南

《SpringBoot结合Docker进行容器化处理指南》在当今快速发展的软件工程领域,SpringBoot和Docker已经成为现代Java开发者的必备工具,本文将深入讲解如何将一个SpringBo... 目录前言一、为什么选择 Spring Bootjavascript + docker1. 快速部署与

Spring Boot集成Druid实现数据源管理与监控的详细步骤

《SpringBoot集成Druid实现数据源管理与监控的详细步骤》本文介绍如何在SpringBoot项目中集成Druid数据库连接池,包括环境搭建、Maven依赖配置、SpringBoot配置文件... 目录1. 引言1.1 环境准备1.2 Druid介绍2. 配置Druid连接池3. 查看Druid监控

创建Java keystore文件的完整指南及详细步骤

《创建Javakeystore文件的完整指南及详细步骤》本文详解Java中keystore的创建与配置,涵盖私钥管理、自签名与CA证书生成、SSL/TLS应用,强调安全存储及验证机制,确保通信加密和... 目录1. 秘密键(私钥)的理解与管理私钥的定义与重要性私钥的管理策略私钥的生成与存储2. 证书的创建与

Python包管理工具pip的升级指南

《Python包管理工具pip的升级指南》本文全面探讨Python包管理工具pip的升级策略,从基础升级方法到高级技巧,涵盖不同操作系统环境下的最佳实践,我们将深入分析pip的工作原理,介绍多种升级方... 目录1. 背景介绍1.1 目的和范围1.2 预期读者1.3 文档结构概述1.4 术语表1.4.1 核