Aktivierung des SAML-Verbunds mit AWS Identity and Access Management - OpenSearch Amazon-Dienst
Schritt 1: Richten Sie die Identitätsanbieter-Anwendung (Okta) einSchritt 2: Richten Sie die AWS Konfiguration für Okta einSchritt 3: Erstellen Sie die Amazon OpenSearch Service-Zugriffsrichtlinie in IAMSchritt 4: Überprüfen Sie das vom Identitätsanbieter initiierte Single Sign-On-Erlebnis mit SAML

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung des SAML-Verbunds mit AWS Identity and Access Management

OpenSearch Die Benutzeroberfläche unterstützt Security Assertion Markup Language 2.0 (SAML), einen offenen Standard, den viele Identitätsanbieter verwenden. Dies ermöglicht einen Identitätsverbund mit AWS Identity and Access Management (IAM). Mit dieser Unterstützung können Benutzer in Ihrem Konto oder Ihrer Organisation direkt auf die OpenSearch Benutzeroberfläche zugreifen, indem sie IAM-Rollen übernehmen. Sie können ein vom Identitätsanbieter initiiertes (IdP) Single Sign-On-Erlebnis für Ihre Endbenutzer einrichten, bei dem sie sich beim externen Identitätsanbieter authentifizieren und direkt zu Ihrer definierten Seite in der Benutzeroberfläche weitergeleitet werden können. OpenSearch Sie können auch eine differenzierte Zugriffskontrolle implementieren, indem Sie Ihre Endbenutzer oder Gruppen so konfigurieren, dass sie unterschiedliche IAM-Rollen mit unterschiedlichen Berechtigungen für den Zugriff auf die Benutzeroberfläche und die zugehörigen Datenquellen annehmen. OpenSearch

In diesem Thema step-by-step finden Sie Anweisungen zur Konfiguration der SAML-Verwendung mit der Benutzeroberfläche. OpenSearch In diesen Verfahren verwenden wir als Beispiel die Schritte zur Konfiguration der Okta-Anwendung für Identitäts- und Zugriffsverwaltung. Die Konfigurationsschritte für andere Identitätsanbieter wie Azure Active Directory und Ping sind ähnlich.

Schritt 1: Richten Sie die Identitätsanbieter-Anwendung (Okta) ein

Um SAML mit OpenSearch UI zu verwenden, müssen Sie zunächst Ihren Identitätsanbieter einrichten.

Aufgabe 1: Okta-Benutzer erstellen

  1. Melden Sie sich bei Ihrer Okta-Organisation unter https://login.okta.com/als Benutzer mit Administratorrechten an.

  2. Wählen Sie in der Admin-Konsole im Navigationsbereich unter Verzeichnis die Option Personen aus.

  3. Wählen Sie Person hinzufügen aus.

  4. Geben Sie unter Vorname den Vornamen des Benutzers ein.

  5. Geben Sie unter Nachname den Nachnamen des Benutzers ein.

  6. Geben Sie unter Benutzername den Benutzernamen des Benutzers im E-Mail-Format ein.

  7. Wählen Sie Ich werde ein Passwort festlegen und ein Passwort eingeben

  8. (Optional) Deaktivieren Sie das Feld Benutzer muss das Passwort bei der ersten Anmeldung ändern, wenn Sie nicht möchten, dass der Benutzer das Passwort bei der ersten Anmeldung ändert.

  9. Wählen Sie Speichern.

Aufgabe 2: Gruppen erstellen und zuweisen

  1. Melden Sie sich bei Ihrer Okta-Organisation unter https://login.okta.com/als Benutzer mit Administratorrechten an.

  2. Wählen Sie in der Admin-Konsole im Navigationsbereich unter Verzeichnis die Option Gruppen aus.

  3. Wählen Sie Add Group (Gruppe hinzufügen) aus.

  4. Geben Sie einen Gruppennamen ein und wählen Sie Speichern.

  5. Wählen Sie die neu erstellte Gruppe aus und klicken Sie dann auf Personen zuweisen.

  6. Wählen Sie das Pluszeichen (+) und dann „Fertig“.

  7. (Optional) Wiederholen Sie die Schritte 1—6, um weitere Gruppen hinzuzufügen.

Aufgabe 3: Okta-Anwendungen erstellen

  1. Melden Sie sich bei Ihrer Okta-Organisation unter https://login.okta.com/als Benutzer mit Administratorrechten an.

  2. Wählen Sie in der Admin-Konsole im Navigationsbereich unter Anwendungen die Option Anwendungen aus.

  3. Wählen Sie Create App Integration (App-Integration erstellen).

  4. Wählen Sie SAML 2.0 als Anmeldemethode und klicken Sie dann auf Weiter.

  5. Geben Sie einen Namen für Ihre App-Integration ein (z. B.OpenSearch_UI) und wählen Sie dann Weiter.

  6. Geben Sie die folgenden Werte in die App ein. Sie müssen keine anderen Werte ändern:

    1. 1. Geben Sie für Single Sign On URL die kommerziellen AWS Regionen oder die https://signin.aws.amazon.com/saml für Ihre Region spezifische URL ein.

    2. 2. Geben Sie als Zielgruppen-URI (SP Entity ID) einurn:amazon:webservices.

    3. 3. Geben Sie als Namens-ID-Format den Wert einEmailAddress.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie Ich bin ein Okta-Kunde, der eine interne App hinzufügt, und wählen Sie dann Dies ist eine interne App, die wir erstellt haben aus.

  9. Wählen Sie Finish (Abschließen).

  10. Wählen Sie „Aufgaben“ und dann „Zuweisen“.

  11. Wählen Sie Zu Gruppen zuweisen und dann neben den Gruppen, die Sie hinzufügen möchten, die Option Zuweisen aus.

  12. Wählen Sie Erledigt aus.

Aufgabe 4: Richten Sie die erweiterte Okta-Konfiguration ein

Nachdem Sie die benutzerdefinierte SAML-Anwendung erstellt haben, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei Ihrer Okta-Organisation unter https://login.okta.com/als Benutzer mit Administratorrechten an.

    Wählen Sie auf der Administratorkonsole im Bereich Allgemein unter SAML-Einstellungen die Option Bearbeiten aus.

  2. Wählen Sie Weiter aus.

  3. Stellen Sie den Standard-Relay-Status auf den OpenSearch UI-Endpunkt ein und verwenden Sie dabei das folgende Format:

    https://region.console.aws.amazon.com/aos/home?region=region#opensearch/applications/application-id/redirectToDashboardURL.

    Im Folgenden wird ein Beispiel gezeigt:

    https://us-east-2.console.aws.amazon.com/aos/home?region=us-east-2#opensearch/applications/abc123def4567EXAMPLE/redirectToDashboardURL

  4. Fügen Sie unter Attributanweisungen (optional) die folgenden Eigenschaften hinzu:

    1. Geben Sie die IAM-Rolle und den Identitätsanbieter mithilfe des Role-Attributs in einem kommagetrennten Format an. Sie werden dieselbe IAM-Rolle und denselben Identitätsanbieter in einem späteren Schritt beim Einrichten der Konfiguration verwenden. AWS

    2. Legen Sie user.login für fest. RoleSessionName Dies wird als Kennung für die temporären Anmeldeinformationen verwendet, die ausgestellt werden, wenn die Rolle übernommen wird.

    Als Referenz:

    Name Format des Namens Format Beispiel

    https://aws.amazon.com/SAML/Attributes/Role

    Nicht spezifiziert

    arn:aws:iam::aws-account-id:role/role-name,arn:aws:iam::aws-account-id:saml-provider/provider-name

    arn:aws:iam::111222333444:role/oktarole,arn:aws:iam::111222333444:saml-provider/oktaidp

    https://aws.amazon.com/SAML/Attributes/RoleSessionName

    Nicht spezifiziert

    user.login

    user.login

  5. Nachdem Sie die Attributeigenschaften hinzugefügt haben, klicken Sie auf Weiter und anschließend auf Fertig stellen.

Ihre Attribute sollten ein ähnliches Format wie in der folgenden Abbildung haben. Der Standard-Relay-State-Wert ist die URL zur Definition der Landingpage für Endbenutzer in Ihrem Konto oder Ihrer Organisation, nachdem diese die Single Sign-On-Validierung von Okta abgeschlossen haben. Sie können es auf eine beliebige Seite in der OpenSearch Benutzeroberfläche festlegen und diese URL dann den vorgesehenen Endbenutzern zur Verfügung stellen.

Im Bereich „SAML 2.0" werden die Standard-Relay-Status-URL und die Metadaten-URL für eine Anwendung gemeldet.

Schritt 2: Richten Sie die AWS Konfiguration für Okta ein

Führen Sie die folgenden Aufgaben aus, um Ihre AWS Konfiguration für Okta einzurichten.

Aufgabe 1: Sammeln Sie Okta-Informationen

Für diesen Schritt müssen Sie Ihre Okta-Informationen sammeln, damit Sie sie später konfigurieren können. AWS

  1. Melden Sie sich bei Ihrer Okta-Organisation unter https://login.okta.com/als Benutzer mit Administratorrechten an.

  2. Wählen Sie auf der Registerkarte Anmelden in der unteren rechten Ecke der Seite die Option SAML-Setup-Anweisungen anzeigen aus.

  3. Notieren Sie sich den Wert für die Single Sign-On-URL des Identity Providers. Sie können diese URL verwenden, wenn Sie eine Verbindung zu einem SQL-Client eines Drittanbieters wie SQL Workbench/J herstellen.

  4. Verwenden Sie die Identitätsanbieter-Metadaten in Block 4 und speichern Sie dann die Metadatendatei im XML-Format (z. B.). metadata.xml

Aufgabe 2: Erstellen Sie den IAM-Anbieter

Gehen Sie wie folgt vor, um Ihren IAM-Anbieter zu erstellen:

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich unter Access Management die Option Identity Providers aus.

  3. Wählen Sie Add provider (Anbieter hinzufügen) aus.

  4. Wählen Sie als Anbietertyp die Option SAML aus.

  5. Geben Sie für den Anbieternamen einen Namen ein.

  6. Wählen Sie für Metadaten-Dokument die Option Datei auswählen und laden Sie die Metadatendatei (.xml) hoch, die Sie zuvor heruntergeladen haben.

  7. Wählen Sie Add provider (Anbieter hinzufügen) aus.

Aufgabe 3: IAM-Rolle erstellen

Gehen Sie wie folgt vor, um Ihre AWS Identity and Access Management Rolle zu erstellen:

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter Zugriffsverwaltung die Option Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie für Vertrauenswürdigen Entitätstyp die Option SAML 2.0-Verbund aus.

  5. Wählen Sie für einen SAML 2.0-basierten Anbieter den Identitätsanbieter aus, den Sie zuvor erstellt haben.

  6. Wählen Sie Programmatisch und Zugriff zulassen aus. AWS Management Console

  7. Wählen Sie Weiter aus.

  8. Aktivieren Sie in der Liste der Berechtigungsrichtlinien die Kontrollkästchen für die Richtlinie, die Sie zuvor erstellt haben, und für OpenSearchFullAccess.

  9. Wählen Sie Weiter aus.

  10. Geben Sie im Bereich Überprüfung in das Feld Rollenname den Namen Ihrer Rolle ein, zum Beispieloktarole.

  11. (Optional) Geben Sie unter Beschreibung eine kurze Beschreibung des Zwecks der Rolle ein.

  12. Wählen Sie Rolle erstellen aus.

  13. Navigieren Sie zu der Rolle, die Sie gerade erstellt haben, wählen Sie die Registerkarte Vertrauensbeziehungen und dann Vertrauensrichtlinie bearbeiten aus.

  14. Wählen Sie im Bereich Aussage bearbeiten unter Aktionen für STS hinzufügen das Feld für aus TagSession.

  15. Wählen Sie Richtlinie aktualisieren.

Schritt 3: Erstellen Sie die Amazon OpenSearch Service-Zugriffsrichtlinie in IAM

Dieses Thema enthält Informationen zur Konfiguration Ihrer IAM-Rollen mit Zugriff auf OpenSearch Dienste. Wir stellen Beispiele für zwei Gruppen zur Verfügung Alice und zeigenBob, wie Sie mit Okta eine differenzierte Zugriffskontrolle für Ihre Benutzergruppen erreichen können.

Sample group: Alice

Anforderung:

GET _plugins/_security/api/roles/alice-group

Ergebnis:

{
  "alice-group": {
    "reserved": false,
    "hidden": false,
    "cluster_permissions": [
      "unlimited"
    ],
    "index_permissions": [
      {
        "index_patterns": [
          "alice*"
        ],
        "dls": "",
        "fls": [],
        "masked_fields": [],
        "allowed_actions": [
          "indices_all"
        ]
      }
    ],
    "tenant_permissions": [
      {
        "tenant_patterns": [
          "global_tenant"
        ],
        "allowed_actions": [
          "kibana_all_write"
        ]
      }
    ],
    "static": false
  }
}
Sample group: Bob

Anforderung:

GET _plugins/_security/api/roles/bob-group

Ergebnis:

{
  "bob-group": {
    "reserved": false,
    "hidden": false,
    "cluster_permissions": [
      "unlimited"
    ],
    "index_permissions": [
      {
        "index_patterns": [
          "bob*"
        ],
        "dls": "",
        "fls": [],
        "masked_fields": [],
        "allowed_actions": [
          "indices_all"
        ]
      }
    ],
    "tenant_permissions": [
      {
        "tenant_patterns": [
          "global_tenant"
        ],
        "allowed_actions": [
          "kibana_all_write"
        ]
      }
    ],
    "static": false
  }
}

Sie können die Amazon OpenSearch Service-Domänenrollen mithilfe der Backend-Rollenzuweisung IAM-Rollen zuordnen, wie im folgenden Beispiel gezeigt:

{
  "bob-group": {
    "hosts": [],
    "users": [],
    "reserved": false,
    "hidden": false,
    "backend_roles": [
      "arn:aws:iam::111222333444:role/bob-group"
    ],
    "and_backend_roles": []
  },
  "alice-group": {
    "hosts": [],
    "users": [],
    "reserved": false,
    "hidden": false,
    "backend_roles": [
      "arn:aws:iam::111222333444:role/alice-group"
    ],
    "and_backend_roles": []
  }
}

Schritt 4: Überprüfen Sie das vom Identitätsanbieter initiierte Single Sign-On-Erlebnis mit SAML

Öffnen Sie die URL für Default Relay State, um die Okta-Authentifizierungsseite zu öffnen. Geben Sie die Anmeldeinformationen eines Endbenutzers ein. Sie werden automatisch zur OpenSearch Benutzeroberfläche weitergeleitet.

Sie können Ihre aktuellen Anmeldeinformationen überprüfen, indem Sie auf das Benutzersymbol unten im Navigationsbereich klicken, wie in der folgenden Abbildung dargestellt:

Wenn Sie auf der Okta-Seite „Einstellungen und Einstellungen“ das Benutzersymbol auswählen, werden die Anmeldeinformationen des aktuellen Benutzers angezeigt.

Sie können die detaillierten Zugriffsberechtigungen für den Benutzer auch überprüfen, indem Sie unten im Navigationsbereich auf die Entwicklertools zugreifen und Abfragen in der Konsole ausführen. Im Folgenden finden Sie Beispielabfragen.

Example 1: Displays information about the current user

Anforderung:

GET _plugins/_security/api/account

Ergebnis:

{
  "user_name": "arn:aws:iam::XXXXXXXXXXXX:role/bob-group",
  "is_reserved": false,
  "is_hidden": false,
  "is_internal_user": false,
  "user_requested_tenant": null,
  "backend_roles": [
    "arn:aws:iam::XXXXXXXXXXXX:role/bob-group"
  ],
  "custom_attribute_names": [],
  "tenants": {
    "global_tenant": true,
    "arn:aws:iam::XXXXXXXXXXXX:role/bob-group": true
  },
  "roles": [
    "bob-group"
  ]
}
Example 2: Displays actions permitted for a user

Anforderung:

GET bob-test/_search

Ergebnis:

{
  "took": 390,
  "timed_out": false,
  "_shards": {
    "total": 5,
    "successful": 5,
    "skipped": 0,
    "failed": 0
  },
  "hits": {
    "total": {
      "value": 1,
      "relation": "eq"
    },
    "max_score": 1,
    "hits": [
      {
        "_index": "bob-test",
        "_id": "ui01N5UBCIHpjO8Jlvfy",
        "_score": 1,
        "_source": {
          "title": "Your Name",
          "year": "2016"
        }
      }
    ]
  }
}
Example 3: Displays actions not permitted for a user

Anforderung:

GET alice-test

Ergebnis:

{
  "error": {
    "root_cause": [
      {
        "type": "security_exception",
        "reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
      }
    ],
    "type": "security_exception",
    "reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
  },
  "status": 403
}