操作指南|JumpServer与Okta集成对接

2023-10-10 05:59

本文主要是介绍操作指南|JumpServer与Okta集成对接,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文重点介绍两种常见的单点登录协议,即OIDC(OpenID Connect)协议和SAML 2.0(Security Assertion Markup Language)协议,以及如何在JumpServer开源堡垒机上完成与Okta的集成对接。

一、概要

■ 单点登录

单点登录(Single Sign On,简称为SSO)是一种身份验证方案,允许用户使用单一的认证凭证访问到多个独立的软件系统中的任意一个,减少了用户重复认证的步骤,并且统一了不同软件间的用户认证管理。

常见的单点登录认证协议包括: OIDC、OAuth 2.0、SAML 2.0、CAS等。

■ Okta

Okta是一家美国高新技术公司,其软件的主要功能是将一家公司及其员工使用的大量软件应用整合在一起,能够让员工很方便地使用单一、安全的账号登录他们工作所需要使用的各种自有及第三方的网络服务,并且通过细粒度的多租户身份验证确保最终用户的访问体验。

■ OIDC

OIDC(OpenID Connect)在OAuth 2.0上构建了一个身份层,是一个基于OAuth 2.0协议的身份认证标准协议。OIDC使用OAuth 2.0的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(例如服务端应用、移动APP、JavaScript应用),且完全兼容OAuth 2.0协议。

■ SAML

SAML(Security Assertion Markup Language)是一种用于安全性断言的标记语言,目前的最新版本是2.0,是Web浏览器用来通过安全令牌启用单点登录(SSO)的标准协议。

■ OIDC协议与SAML 2.0协议之间的相同点与不同点:

在这里插入图片描述
二、对接前的准备工作

  1. 如果JumpServer需要与Okta平台对接,需要在官网进行注册,Okta平台的官网地址为:https://www.okta.com/;

  2. 注册成功后,Okta会发送一封电子邮件,邮件内容包含独立的平台域名、用户名和临时密码信息。

三、SAML 2.0协议对接

■ 对接步骤:Okta端

  1. 通过官网进入到Okta平台首页后,点击左边菜单栏中的“Applications”→“Applications”;
    在这里插入图片描述

  2. 点击“Create App Integration”按钮;
    在这里插入图片描述

  3. 选择“SAML 2.0”选项后,点击“Next”按钮;
    在这里插入图片描述

  4. 根据提示,创建应用名、登录Logo等配置信息;
    在这里插入图片描述

  5. 配置相应SAML信息;

Single sign on URL(即Okta认证成功的回调地址):http[s]😕/host:port/core/auth/saml2/callback/;

Audience URI(应用堡垒机的标识):http[s]😕/host:port/core/auth/saml2/login/;
在这里插入图片描述

  1. 如果需要配置JumpServer设置中的同步注销功能,还需要在这里单独进行配置,点击“Show Advanced Settings”按钮(无需此功能,可忽略此步骤,建议最后配置此项);
    在这里插入图片描述

需要配置证书,输入以下代码生成一个密钥证书,后续JumpServer堡垒机也会使用到这个密钥证书;

$ openssl genrsa -out server.key 2048  # 这个生成的是 私钥
$ openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"  # 这个是证书

填写Single Logout URL(即Okta注销地址),一般为:http[s]😕/host:port/login/signout;
在这里插入图片描述

若上述URL配置有误,可通过以下图片所示方式获取正确地址,并填入“Single Logout URL”处;
在这里插入图片描述

  1. 设置“Attribute Statements(Optional)”选项卡,这里是用户属性映射,JumpServer默认会把SAML 2.0协议传输过来的uid字段和JumpServer中的username字段相关联;

如果想修改这里的信息,将JumpServer设置为同步修改即可,然后拉到页面底部,点击“Next”按钮;
在这里插入图片描述

  1. 按照下图设置完成后,点击“Finish”按钮;
    在这里插入图片描述

  2. 创建应用成功后,在应用界面找到“SAML Signing Certificates”选项卡,选择状态为“Active”的记录,在“Action”菜单中点击“View IdP metadata”选项;
    在这里插入图片描述

  3. 将弹出的浏览器框地址栏中的地址保存下来,以便后续配置JumpServer;
    在这里插入图片描述

  4. 点击应用名称,进入应用设置中找到“Assignments”选项后,点击“Assign”菜单邀请用户进入当前应用。
    在这里插入图片描述

■ 对接步骤:JumpServer端

  1. 登录JumpServer后,选择“设置”→“认证设置”→“SAML2”;
    在这里插入图片描述

  2. 将对接Okta端操作中的第6步(若上述第6步跳过,则返回第6步生成密钥证书部分,执行命令获取证书)生成的密钥证书上传到JumpServer堡垒机,并把第10步生成的URL地址,填写在“IDP metadata URL”中,即可完成JumpServer端的配置。
    在这里插入图片描述

四、OIDC-OpenID协议对接

■ 对接步骤:Okta端

  1. 通过官网进入到Okta平台首页后,点击左边菜单栏中的“Applications”→“Applications”;
    在这里插入图片描述

  2. 点击“Create App Integration”按钮;
    在这里插入图片描述

  3. 选择“OIDC-OpenID Connect”选项,然后选择“Web Application”选项,点击“Next”按钮;
    在这里插入图片描述

  4. 根据以下图示填写相应内容,其余部分保持默认设置;

App integration name(Okta端应用名称):不重复即可;

Sign-in redirect URIs(认证成功回调地址):域名更换成自己的即可;

Sign-out redirect URIs(注销用户会话后的重定向地址):选填;
在这里插入图片描述
在这里插入图片描述

  1. 跳转到应用信息详情页后,进入“Okta API Scopes”选项卡进行授权;
    在这里插入图片描述

  2. 在页面最底部找到okta.users.read,点击右侧“Grant”按钮完成授权动作,即可完成Okta端的对接设置。
    在这里插入图片描述

■ 对接步骤:JumpServer端

  1. 登录JumpServer后,选择“设置”→“认证设置”→“OIDC”,并根据下图填入相应参数,域名处更换为自己的Okta域名;
    在这里插入图片描述

  2. 在Okta端配置客户端ID(Client ID)及客户端密钥(Client Secret);
    在这里插入图片描述

  3. 按照下图设置相应信息,即可完成JumpServer端的对接设置。
    在这里插入图片描述
    在这里插入图片描述

这篇关于操作指南|JumpServer与Okta集成对接的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/178441

相关文章

Python包管理工具pip的升级指南

《Python包管理工具pip的升级指南》本文全面探讨Python包管理工具pip的升级策略,从基础升级方法到高级技巧,涵盖不同操作系统环境下的最佳实践,我们将深入分析pip的工作原理,介绍多种升级方... 目录1. 背景介绍1.1 目的和范围1.2 预期读者1.3 文档结构概述1.4 术语表1.4.1 核

PowerShell中15个提升运维效率关键命令实战指南

《PowerShell中15个提升运维效率关键命令实战指南》作为网络安全专业人员的必备技能,PowerShell在系统管理、日志分析、威胁检测和自动化响应方面展现出强大能力,下面我们就来看看15个提升... 目录一、PowerShell在网络安全中的战略价值二、网络安全关键场景命令实战1. 系统安全基线核查

Java操作Word文档的全面指南

《Java操作Word文档的全面指南》在Java开发中,操作Word文档是常见的业务需求,广泛应用于合同生成、报表输出、通知发布、法律文书生成、病历模板填写等场景,本文将全面介绍Java操作Word文... 目录简介段落页头与页脚页码表格图片批注文本框目录图表简介Word编程最重要的类是org.apach

Python设置Cookie永不超时的详细指南

《Python设置Cookie永不超时的详细指南》Cookie是一种存储在用户浏览器中的小型数据片段,用于记录用户的登录状态、偏好设置等信息,下面小编就来和大家详细讲讲Python如何设置Cookie... 目录一、Cookie的作用与重要性二、Cookie过期的原因三、实现Cookie永不超时的方法(一)

Linux中压缩、网络传输与系统监控工具的使用完整指南

《Linux中压缩、网络传输与系统监控工具的使用完整指南》在Linux系统管理中,压缩与传输工具是数据备份和远程协作的桥梁,而系统监控工具则是保障服务器稳定运行的眼睛,下面小编就来和大家详细介绍一下它... 目录引言一、压缩与解压:数据存储与传输的优化核心1. zip/unzip:通用压缩格式的便捷操作2.

Python实现对阿里云OSS对象存储的操作详解

《Python实现对阿里云OSS对象存储的操作详解》这篇文章主要为大家详细介绍了Python实现对阿里云OSS对象存储的操作相关知识,包括连接,上传,下载,列举等功能,感兴趣的小伙伴可以了解下... 目录一、直接使用代码二、详细使用1. 环境准备2. 初始化配置3. bucket配置创建4. 文件上传到os

mysql表操作与查询功能详解

《mysql表操作与查询功能详解》本文系统讲解MySQL表操作与查询,涵盖创建、修改、复制表语法,基本查询结构及WHERE、GROUPBY等子句,本文结合实例代码给大家介绍的非常详细,感兴趣的朋友跟随... 目录01.表的操作1.1表操作概览1.2创建表1.3修改表1.4复制表02.基本查询操作2.1 SE

Linux中SSH服务配置的全面指南

《Linux中SSH服务配置的全面指南》作为网络安全工程师,SSH(SecureShell)服务的安全配置是我们日常工作中不可忽视的重要环节,本文将从基础配置到高级安全加固,全面解析SSH服务的各项参... 目录概述基础配置详解端口与监听设置主机密钥配置认证机制强化禁用密码认证禁止root直接登录实现双因素

在Spring Boot中集成RabbitMQ的实战记录

《在SpringBoot中集成RabbitMQ的实战记录》本文介绍SpringBoot集成RabbitMQ的步骤,涵盖配置连接、消息发送与接收,并对比两种定义Exchange与队列的方式:手动声明(... 目录前言准备工作1. 安装 RabbitMQ2. 消息发送者(Producer)配置1. 创建 Spr

c++中的set容器介绍及操作大全

《c++中的set容器介绍及操作大全》:本文主要介绍c++中的set容器介绍及操作大全,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录​​一、核心特性​​️ ​​二、基本操作​​​​1. 初始化与赋值​​​​2. 增删查操作​​​​3. 遍历方