View a markdown version of this page

Autenticación SAML para paneles OpenSearch - OpenSearch Servicio Amazon
Información general de la configuración de SAMLConsideracionesAutenticación SAML para dominios de VPCModificación de la política de acceso al dominioConfiguración de SP- o autenticación IdP-initiatedConfiguración tanto del SP como de la autenticación IdP-initiatedConfigurar la autenticación SAML (AWS CLI)Configuración de la autenticación SAML (API de configuración)Solución de problemas de SAMLDeshabilitar la autenticación SAML

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación SAML para paneles OpenSearch

La autenticación SAML para OpenSearch Dashboards te permite usar tu proveedor de identidad actual para ofrecer el inicio de sesión único (SSO) para los Dashboards de los dominios de Amazon OpenSearch Service que ejecuten OpenSearch Elasticsearch 6.7 o versiones posteriores. Para utilizar la autenticación SAML, debe habilitar el control de acceso detallado.

En lugar de autenticarse a través de Amazon Cognito o la base de datos de usuarios interna, la autenticación SAML OpenSearch para los paneles le permite utilizar proveedores de identidad de terceros para iniciar sesión en los paneles, administrar un control de acceso detallado, buscar sus datos y crear visualizaciones. OpenSearch El servicio es compatible con los proveedores que utilizan el estándar SAML 2.0, como Okta, Keycloak, Microsoft Entra ID, Active Directory Federation Services (ADFS), Auth0 y. AWS IAM Identity Center

La autenticación SAML para los paneles de control solo sirve para acceder a los paneles a través de un navegador web. OpenSearch Sus credenciales de SAML no le permiten realizar solicitudes HTTP directas a las API ni a las API de Dashboards. OpenSearch

Información general de la configuración de SAML

En esta documentación se supone que tiene un proveedor de identidad existente y que está familiarizado con él en cierta medida. No podemos proporcionar pasos de configuración detallados para su proveedor exacto, solo para su dominio de OpenSearch servicio.

El flujo de inicio de sesión en OpenSearch Dashboards puede adoptar una de estas dos formas:

  • Proveedor de servicios (SP) iniciado: navegue al panel (por ejemplo, https://my-domain.us-east-1.es.amazonaws.com/_dashboards), que lo redirige a la pantalla de inicio de sesión. Después de iniciar sesión, el proveedor de identidades lo redirige al panel.

  • Iniciado por el proveedor de identidad (IdP): navega hasta su proveedor de identidad, inicia sesión y elige OpenSearch Dashboards en un directorio de aplicaciones.

OpenSearch El servicio proporciona dos URL de inicio de sesión único IdP-initiated, SP-initiated pero solo necesita la que coincida con el flujo de inicio de sesión deseado en Dashboards. OpenSearch

Independientemente del tipo de autenticación que utilice, el objetivo es iniciar sesión a través de su proveedor de identidades y recibir una aserción SAML que contenga su nombre de usuario (requerido) y cualquier rol backend (opcional, pero recomendado). Esta información permite el control de acceso detallado para asignar permisos a usuarios de SAML. En los proveedores de identidad externos, los roles backend se denominan generalmente “roles” o “grupos”.

Consideraciones

Tenga en cuenta lo siguiente cuando configure la autenticación SAML:

  • Debido al tamaño del archivo de metadatos del IdP, se recomienda utilizar la consola de AWS para configurar la autenticación SAML.

  • Los dominios solo admiten un método de autenticación del panel a la vez. Si tiene habilitada la autenticación de Amazon Cognito para OpenSearch paneles, debe deshabilitarla antes de poder habilitar la autenticación SAML.

  • Si utiliza un equilibrador de carga de red con SAML, primero debe crear un punto de conexión personalizado. Para obtener más información, consulte Crear un punto de conexión personalizado para Amazon OpenSearch Service.

  • Las políticas de control de servicios (SCP) no se aplicarán ni evaluarán en el caso de identidades que no sean de IAM (como SAML en OpenSearch Amazon Serverless y SAML y la autorización básica de usuario interna para Amazon Service). OpenSearch

Autenticación SAML para dominios de VPC

SAML no requiere comunicación directa entre el proveedor de identidades y el proveedor de servicios. Por lo tanto, aunque tu OpenSearch dominio esté alojado en una VPC privada, puedes seguir usando SAML siempre que tu navegador pueda comunicarse con tu OpenSearch clúster y con tu proveedor de identidad. En esencia, el navegador actúa como intermediario entre el proveedor de identidades y el proveedor de servicios. Para ver un útil diagrama que explica el flujo de autenticación SAML, consulte la documentación de Okta.

Modificación de la política de acceso al dominio

Antes de configurar la autenticación SAML, debe actualizar la política de acceso al dominio para permitir a los usuarios de SAML acceder al dominio. De lo contrario, aparecerán errores de acceso denegado.

Recomendamos la siguiente política de acceso al dominio, que proporciona acceso completo a los subrecursos (/*) en el dominio:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:ESHttp*",
      "Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
    }
  ]
}

Para hacer que la política sea más restrictiva, puede agregar una condición de dirección IP a la política. Esta condición limita el acceso únicamente a la subred o rango de direcciones IP especificados. Por ejemplo, la siguiente política solo permite el acceso desde la 192.0.2. 0/24subred:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "es:ESHttp*"
      ],
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "192.0.2.0/24"
          ]
        }
      },
      "Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
    }
  ]
}
nota

Una política de acceso a un dominio abierto requiere que se habilite un control de acceso detallado en el dominio; de lo contrario, aparece el siguiente error:

To protect domains with public access, a restrictive policy or fine-grained access control is required.

Si tiene un usuario maestro o un usuario interno configurado con una contraseña segura, mantener la política abierta mientras usa un control de acceso detallado podría ser aceptable desde el punto de vista de la seguridad. Para obtener más información, consulte Fine-grained control de acceso en Amazon OpenSearch Service.

Configuración de SP- o autenticación IdP-initiated

En estos pasos se explica cómo habilitar la autenticación SAML SP-initiated o la IdP-initiated autenticación para los OpenSearch paneles. Para conocer el paso adicional necesario para habilitar ambas, consulte Configurar tanto el SP como la autenticación. IdP-initiated

Paso 1: habilitar la autenticación SAML

Puede habilitar la autenticación SAML bien durante la creación del dominio o bien seleccionando Acciones, Editar la configuración de seguridad en un dominio existente. Los siguientes pasos varían ligeramente según lo que seleccione.

En la configuración del dominio, en Autenticación SAML para OpenSearch Dashboards/Kibana, selecciona Habilitar la autenticación SAML.

Paso 2: configurar el proveedor de identidades

Ejecute los siguientes pasos en función del momento de configuración de la autenticación SAML.

Si va a crear un nuevo dominio

Si estás creando un dominio nuevo, el OpenSearch servicio aún no puede generar un ID de entidad del proveedor de servicios ni una URL de inicio de sesión único. El proveedor de identidades requiere estos valores para habilitar correctamente la autenticación SAML, pero solo se pueden generar después de crear el dominio. Para evitar esta interdependencia durante la creación del dominio, puede proporcionar valores temporales en la configuración del IdP con el fin de generar los metadatos necesarios, y luego actualizarlos una vez que el dominio esté activo.

Si utiliza un punto de conexión personalizado, puede inferir cuáles serán las URL. Por ejemplo, si tu punto de enlace personalizado eswww.custom-endpoint.com, el ID de la entidad del proveedor de servicios seráwww.custom-endpoint.com, la URL del IdP-initiated SSO será www.custom-endpoint.com/_dashboards/_opendistro/_security/saml/acs/idpinitiated y la URL del SP-initiated SSO será. www.custom-endpoint.com/_dashboards/_opendistro/_security/saml/acs Puede utilizar los valores para configurar el proveedor de identidades antes de crear el dominio. Consulte la siguiente sección para ver ejemplos.

nota

No puede iniciar sesión con un punto de conexión de doble pila porque el FQDN de una solicitud HTTP es diferente del FQDN de una solicitud SAML. Un OpenSearch administrador tendrá que configurar un punto de enlace personalizado y establecer el valor de CNAME en un punto de enlace de doble pila si quieres iniciar sesión con un punto de enlace de doble pila.

Si no utiliza un punto de conexión personalizado, puede introducir valores temporales en el IdP para generar los metadatos necesarios, y luego actualizarlos una vez que el dominio esté activo.

Por ejemplo, en Okta puede introducir https://temp-endpoint.amazonaws.com en los campos URL de inicio de sesión único y URI de audiencia (ID de entidad del SP), lo que permite generar los metadatos. A continuación, cuando el dominio esté activo, podrás recuperar los valores correctos de OpenSearch Service y actualizarlos en Okta. Para obtener instrucciones, consulte Paso 6: Actualizar las URL del IdP.

Si va a editar un dominio existente

Si va habilitar la autenticación SAML en un dominio existente, copie el ID de entidad del proveedor de servicios y una de las URL de SSO. Para obtener orientación sobre qué URL debe utilizar, consulte Información general de la configuración de SAML.

Campos de ID de entidad del proveedor de servicios, URL de IdP-initiated SSO y URL de SP-initiated SSO con valores.

Utilice los valores para configurar el proveedor de identidades. Esta es la parte más compleja del proceso, y, desafortunadamente, la terminología y los pasos varían enormemente según el proveedor. Consulte la documentación de su proveedor.

En Okta, por ejemplo, crea una aplicación web SAML 2.0. En URL de inicio de sesión único, especifique la URL de SSO. Para URI de audiencia (ID de identidad del SP), especifique el ID de entidad del SP.

En lugar de usuarios y roles de backend, Okta tiene usuarios y grupos. En Instrucciones de atributo de grupo, se recomienda agregar role al campo Nombre y la expresión regular .+ al campo Filtro. Esta instrucción indica al proveedor de identidades de Okta que incluya todos los grupos de usuarios bajo el campo role de la aserción SAML después de que un usuario se autentica.

En el Centro de identidades de IAM, especifique el ID de la entidad del SP como la audiencia de SAML de la aplicación. También debe especificar las siguientes asignaciones de atributos: Subject=${user:subject}:format=unspecified y Role=${user:groups}:format=uri.

En Auth0, crea una aplicación web regular y habilita el complemento SAML 2.0. En Keycloak, crea un cliente.

Paso 3: Importar metadatos del IdP

Después de configurar el proveedor de identidades, genera un archivo de metadatos de IdP. Este archivo XML contiene información sobre el proveedor, como un certificado TLS, puntos de conexión de inicio de sesión único y el ID de entidad del proveedor de identidad.

Copie el contenido del archivo de metadatos del IdP y péguelo en el campo Metadatos del IdP de la consola de servicio. OpenSearch Alternativamente, seleccione Importar desde archivo XML y cargue el archivo. El archivo de metadatos debe tener un aspecto similar al siguiente:

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="entity-id" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
  <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
      <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>tls-certificate</ds:X509Certificate>
        </ds:X509Data>
      </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="idp-sso-url"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="idp-sso-url"/>
  </md:IDPSSODescriptor>
</md:EntityDescriptor>

Paso 4: configurar los campos SAML

Después de introducir los metadatos del IdP, configure los siguientes campos adicionales en la consola de OpenSearch servicio:

  • ID de entidad del IdP: copie el valor de la propiedad entityID del archivo de metadatos y péguelo en este campo. Muchos proveedores de identidades también muestran este valor como parte de un resumen posterior a la configuración. Algunos proveedores lo llaman el “emisor”.

    nota

    El valor del ID de entidad del IdP debe estar en formato URL (por ejemplo,https://idp.example.com/...). Non-URL valores como una cadena simple (por ejemplo, "JumpCloud«) provocarán un error 500.

  • Nombre de usuario maestro de SAML y función de backend de maestro de SAML: la función de and/or backend de usuario que especifique recibe todos los permisos para el clúster, lo que equivale a un nuevo usuario maestro, pero solo puede usar esos permisos en los paneles. OpenSearch

    Por ejemplo, en Okta, es posible que tenga un usuario jdoe que pertenece al grupo admins. Si agrega jdoe al nombre de usuario maestro de SAML, solo ese usuario recibe permisos completos. Si agrega admins Rol de backend maestro de SAML, cualquier usuario que pertenezca al grupo admins recibe permisos completos.

    nota

    El contenido de la aserción SAML debe coincidir exactamente con las cadenas que se utilicen para el nombre de usuario maestro de SAML y el rol maestro de SAML. Algunos proveedores de identidad agregan un prefijo antes de sus nombres de usuario, lo que puede provocar una coincidencia difícil de diagnosticar. En la interfaz de usuario del proveedor de identidades, es posible que vea jdoe, pero la aserción SAML podría contener auth0|jdoe. Utilice siempre la cadena de la aserción SAML.

Muchos proveedores de identidad te permiten ver un ejemplo de aserción durante el proceso de configuración, y herramientas como estas SAML-tracerpueden ayudarte a examinar el contenido de las aserciones reales y solucionar los problemas que se encuentran en ellas. Las aserciones se ven algo similar a lo siguiente:

<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion ID="id67229299299259351343340162" IssueInstant="2020-09-22T22:03:08.633Z" Version="2.0"
  xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">idp-issuer</saml2:Issuer>
  <saml2:Subject>
    <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">username</saml2:NameID>
    <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
      <saml2:SubjectConfirmationData NotOnOrAfter="2020-09-22T22:08:08.816Z" Recipient="domain-endpoint/_dashboards/_opendistro/_security/saml/acs"/>
    </saml2:SubjectConfirmation>
  </saml2:Subject>
  <saml2:Conditions NotBefore="2020-09-22T21:58:08.816Z" NotOnOrAfter="2020-09-22T22:08:08.816Z">
    <saml2:AudienceRestriction>
      <saml2:Audience>domain-endpoint</saml2:Audience>
    </saml2:AudienceRestriction>
  </saml2:Conditions>
  <saml2:AuthnStatement AuthnInstant="2020-09-22T19:54:37.274Z">
    <saml2:AuthnContext>
      <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
    </saml2:AuthnContext>
  </saml2:AuthnStatement>
  <saml2:AttributeStatement>
    <saml2:Attribute Name="role" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      <saml2:AttributeValue
        xmlns:xs="http://www.w3.org/2001/XMLSchema"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">GroupName Match Matches regex ".+" (case-sensitive)
      </saml2:AttributeValue>
    </saml2:Attribute>
  </saml2:AttributeStatement>
</saml2:Assertion>

Paso 5: (opcional) configurar ajustes adicionales

En Configuración adicional, configure los siguientes campos opcionales:

  • Clave de asunto: puede dejar este campo vacío con el fin de utilizar el elemento NameID de la aserción SAML para el nombre de usuario. Si su aserción no utiliza este elemento estándar y, en su lugar, incluye el nombre de usuario como un atributo personalizado, especifique ese atributo aquí.

  • Clave de roles: si desea utilizar roles de backend (se recomienda), especifique un atributo de la aserción en este campo; por ejemplo, role o group. Esta es otra situación en la que herramientas como SAML-tracerestas pueden ayudar.

  • Duración de la sesión: de forma predeterminada, OpenSearch Dashboards cierra la sesión de los usuarios después de 24 horas. Puede establecer este valor en cualquier número comprendido entre 60 y 1440 (24 horas) especificando un nuevo valor.

Cuando la configuración le parezca adecuada, guarde el dominio.

Paso 6: Actualizar las URL del IdP

Si ha habilitado la autenticación SAML mientras creaba un dominio, habrá tenido que especificar URL temporales para el IdP con el fin de generar el archivo de metadatos XML. Cuando el estado del dominio cambia a Active, puede obtener las URL correctas y modificar el IdP.

Para recuperar las URL, seleccione el dominio, y luego Acciones y Editar la configuración de seguridad. En la sección Autenticación SAML para OpenSearch Dashboards/Kibana, encontrará el ID de entidad del proveedor de servicios y las URL de SSO correctos. Copie los valores y utilícelos para configurar el proveedor de identidades, sustituyendo las URL temporales que proporcionó en el paso 2.

Paso 7: Asignar usuarios de SAML a roles

Una vez que el estado de su dominio sea Activo y su IDP esté configurado correctamente, navegue hasta los OpenSearch paneles.

  • Si ha elegido la SP-initiated URL, navegue hasta. domain-endpoint/_dashboards Para iniciar sesión directamente en un inquilino específico, puede agregar ?security_tenant=tenant-name a la URL.

  • Si eligió la IdP-initiated URL, navegue hasta el directorio de aplicaciones de su proveedor de identidad.

En ambos casos, inicie sesión como usuario maestro SAML o como usuario que pertenece al rol de backend maestro SAML. Para continuar con el ejemplo del paso 7, inicie sesión como jdoe o un miembro del grupo admins.

Una vez que se OpenSearch cargue el panel de mandos, elija Seguridad, Funciones. A continuación, asigne los roles para permitir que otros usuarios accedan a los OpenSearch paneles.

Por ejemplo, podría asignar a su colega de confianza jroe a los roles all_access y security_manager. También puede asignar el rol de backend analysts a los roles readall y opensearch_dashboards_user.

Si prefiere usar la API en lugar de los OpenSearch paneles, consulte el siguiente ejemplo de solicitud:

PATCH _plugins/_security/api/rolesmapping
[
  {
    "op": "add", "path": "/security_manager", "value": { "users": ["master-user", "jdoe", "jroe"], "backend_roles": ["admins"] }
  },
  {
    "op": "add", "path": "/all_access", "value": { "users": ["master-user", "jdoe", "jroe"], "backend_roles": ["admins"] }
  },
  {
    "op": "add", "path": "/readall", "value": { "backend_roles": ["analysts"] }
  },
  {
    "op": "add", "path": "/opensearch_dashboards_user", "value": { "backend_roles": ["analysts"] }
  }
]

Configuración tanto del SP como de la autenticación IdP-initiated

Si desea configurar tanto el SP como la IdP-initiated autenticación, debe hacerlo a través de su proveedor de identidad. Por ejemplo, en Okta, puede seguir estos pasos:

  1. Dentro de su aplicación SAML, vaya a General, Configuración SAML.

  2. Para la URL de inicio de sesión único, proporcione URL SSO iniciado por IdP. Por ejemplo, https://search-domain-hash/_dashboards/_opendistro/_security/saml/acs/idpinitiated.

  3. Habilite Permitir que esta aplicación solicite otras URL de SSO.

  4. En Direcciones URL de SSO que se pueden solicitar, agregue una o varias URL de SSO iniciadas por SP. Por ejemplo, https://search-domain-hash/_dashboards/_opendistro/_security/saml/acs.

Configurar la autenticación SAML (AWS CLI)

El siguiente AWS CLI comando habilita la autenticación SAML para los OpenSearch paneles de control de un dominio existente:

aws opensearch update-domain-config \
  --domain-name my-domain \
  --advanced-security-options '{"SAMLOptions":{"Enabled":true,"MasterUserName":"my-idp-user","MasterBackendRole":"my-idp-group-or-role","Idp":{"EntityId":"entity-id","MetadataContent":"metadata-content-with-quotes-escaped"},"RolesKey":"optional-roles-key","SessionTimeoutMinutes":180,"SubjectKey":"optional-subject-key"}}'

Debe escapar de todas las comillas y caracteres de nueva línea en el XML de metadatos. Por ejemplo, utilice <KeyDescriptor use=\"signing\">\n en lugar de <KeyDescriptor use="signing"> y un salto de línea. Para obtener información detallada sobre la utilización de la AWS CLI, consulte la Referencia de los comandos de la AWS CLI.

Configuración de la autenticación SAML (API de configuración)

La siguiente solicitud a la API de configuración habilita la autenticación SAML para los OpenSearch paneles de control de un dominio existente:

POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
  "AdvancedSecurityOptions": {
    "SAMLOptions": {
      "Enabled": true,
      "MasterUserName": "my-idp-user",
      "MasterBackendRole": "my-idp-group-or-role",
      "Idp": {
        "EntityId": "entity-id",
        "MetadataContent": "metadata-content-with-quotes-escaped"
      },
      "RolesKey": "optional-roles-key",
      "SessionTimeoutMinutes": 180,
      "SubjectKey": "optional-subject-key"
    }
  }
}

Debe escapar de todas las comillas y caracteres de nueva línea en el XML de metadatos. Por ejemplo, utilice <KeyDescriptor use=\"signing\">\n en lugar de <KeyDescriptor use="signing"> y un salto de línea. Para obtener información detallada sobre el uso de la API de configuración, consulta la referencia de la API OpenSearch de servicio.

Solución de problemas de SAML

Error Details

Tu solicitud: '/some/path' no está permitida.

Compruebe que ha proporcionado la dirección URL de SSO correcta (paso 3) a su proveedor de identidad.

Proporcione un documento de metadatos del proveedor de identidad válido para habilitar SAML.

El archivo de metadatos del IdP no cumple con el estándar SAML 2.0. Verifique si hay errores mediante una herramienta de validación.

Las opciones de configuración de SAML no son visibles en la consola.

Actualice a la versión más reciente del software de servicio.

Error de configuración de SAML: se produjo un error al recuperar la configuración de SAML. Verifique su configuración.

Este error genérico puede producirse por muchas razones.

  • Compruebe que ha proporcionado a su proveedor de identidad el ID de entidad del SP y la dirección URL de SSO correctos.

  • Vuelva a generar el archivo de metadatos del IdP y verifique el ID de entidad de IdP. Agregue todos los metadatos actualizados en la consola de AWS .

  • Verifique que la política de acceso a su dominio permita el acceso a los OpenSearch paneles y_plugins/_security/*. En general, recomendamos una política de acceso abierto para dominios que utilicen un control de acceso detallado.

  • Consulte la documentación de su proveedor de identidades a fin de conocer los pasos necesarios para configurar SAML.

Rol faltante: no hay roles disponibles para este usuario. Póngase en contacto con el administrador del sistema.

Se ha autenticado correctamente, pero el nombre de usuario y los roles de backend de la aserción SAML no se asignan a ningún rol y, por lo tanto, no tienen permisos. Estos mapeos distinguen entre mayúsculas y minúsculas.

El administrador del sistema puede verificar el contenido de su afirmación de SAML mediante una herramienta similar y SAML-tracer, a continuación, comprobar su asignación de funciones mediante la siguiente solicitud:

GET _plugins/_security/api/rolesmapping

Su navegador redirige o recibe continuamente errores HTTP 500 al intentar acceder a los paneles. OpenSearch

Estos errores pueden producirse si la aserción SAML contiene un gran número de roles con un total aproximado de 1500 caracteres. Por ejemplo, si transfiere 80 roles, cuya longitud media es de 20 caracteres, es posible que supere el límite de tamaño de las cookies en su navegador web. A partir de OpenSearch la versión 2.7, la aserción SAML admite funciones de hasta 5000 caracteres.

No puede cerrar sesión en ADFS.

ADFS requiere que todas las solicitudes de cierre de sesión estén firmadas, algo que el OpenSearch servicio no admite. Elimine <SingleLogoutService /> del archivo de metadatos del IdP para obligar al OpenSearch Servicio a utilizar su propio mecanismo de cierre de sesión interno.

Could not find entity descriptor for __PATH__.

El ID de entidad del IdP proporcionado en el XML de metadatos al OpenSearch servicio es diferente al de la respuesta de SAML. Para ello, asegúrese de que coincidan. Active los registros de errores de aplicaciones de CW en su dominio para encontrar el mensaje de error y depurar el problema de integración con SAML.

Signature validation failed. SAML response rejected.

OpenSearch El servicio no puede verificar la firma de la respuesta de SAML mediante el certificado del IdP proporcionado en el XML de metadatos. Puede deberse a un error manual o a que su IdP haya rotado su certificado. Actualice el certificado más reciente de su IdP en el XML de metadatos proporcionado al OpenSearch Servicio a través del. Consola de administración de AWS

__PATH__ is not a valid audience for this response.

El campo de audiencia de la respuesta de SAML no coincide con el punto de conexión del dominio. Para corregir este error, actualice el campo de audiencia del SP para que coincida con el punto de conexión de su dominio. Si ha activado los puntos de conexión personalizados, el campo de audiencia debe coincidir con su punto de conexión personalizado. Active los registros de errores de aplicaciones de CW en su dominio para encontrar el mensaje de error y depurar el problema de integración con SAML.

Su navegador recibe un mensaje de error HTTP 400 con Invalid Request Id en la respuesta.

Este error suele producirse si has configurado la IdP-initiated URL con ese formato<DashboardsURL>/_opendistro/_security/saml/acs. En su lugar, configure la URL con el formato <DashboardsURL>/_opendistro/_security/saml/acs/idpinitiated.

La respuesta se recibió en __PATH__ en vez de __PATH__.

El campo de destino de la respuesta SAML no coincide con ninguno de los siguientes formatos de URL:

  • <DashboardsURL>/_opendistro/_security/saml/acs

  • <DashboardsURL>/_opendistro/_security/saml/acs/idpinitiated.

Según el flujo de inicio de sesión que utilices (SP-initiated o IdP-initiated), introduce un campo de destino que coincida con una de las OpenSearch URL.

La respuesta tiene un atributo InResponseTo, pero no se esperaba InResponseTo.

Estás utilizando la IdP-initiated URL para un flujo de inicio de SP-initiated sesión. En su lugar, usa SP-initiated la URL.

Deshabilitar la autenticación SAML

Para deshabilitar la autenticación SAML en los OpenSearch paneles de control (consola)

  1. Seleccione el dominio, Acciones y Editar la configuración de seguridad.

  2. Desmarque Habilitar la autenticación SAML.

  3. Seleccione Guardar cambios.

  4. Después de que el dominio termine de procesar, compruebe el mapeo de roles de control de acceso detallado con la siguiente solicitud:

    GET _plugins/_security/api/rolesmapping

    Al deshabilitar la autenticación SAML para los paneles de control, no se eliminan las asignaciones del nombre de usuario maestro de SAML, la función de backend del maestro de SAML. and/or Si desea eliminar estos mapeos, inicie sesión en Dashboards con la base de datos de usuario interna (si está habilitada) o utilice la API para eliminarlos:

    PUT _plugins/_security/api/rolesmapping/all_access
{
  "users": [
    "master-user"
  ]
}