Zum Hauptinhalt springen

SSO-Verbund konfigurieren

Single Sign-On (SSO)-Verbund ermöglicht es Ihren Benutzern, sich mit ihrem bestehenden Identitätsanbieter (IdP) bei VaultPAM anzumelden. VaultPAM leitet SSO über Keycloak weiter, und der Upstream-Anbieter wird dort konfiguriert. VaultPAM verwendet für diesen Ablauf keinen SAML-Metadaten-Upload.

Voraussetzungen

  • VaultPAM: Org-Admin-Rolle
  • Identitätsanbieter: Admin-Zugriff in Ihrem Entra-ID-Mandanten oder Ihrer Okta-Organisation
  • Keycloak: Zugriff auf den Realm, der die Anmeldung in Ihrer Umgebung vermittelt
  • Protokoll: OIDC / OAuth 2.0, unterstützt von Ihrem IdP und Keycloak

Microsoft Entra ID (Azure AD)

Dieses Verfahren verwendet OIDC über Keycloak. Erstellen Sie in Azure eine OAuth-2.0-App-Registrierung, keine SAML-Unternehmensanwendung.

  1. Gehen Sie im Azure-Portal zu Entra ID > App-Registrierungen > Neue Registrierung.
  2. Benennen Sie die Anwendung VaultPAM, wählen Sie den Kontotyp, der zu Ihrer Mandantengrenze passt, und registrieren Sie sie.
  3. Fügen Sie die Keycloak-Broker-Weiterleitungs-URI für Ihre Umgebung hinzu. Verwenden Sie die Callback-URL für Realm und Anbieter, zum Beispiel https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint.
  4. Erstellen Sie ein Client-Geheimnis und notieren Sie die Anwendungs-(Client-)ID, die Verzeichnis-(Mandanten-)ID und den Wert des Client-Geheimnisses.
  5. Öffnen Sie in der Keycloak-Administrationskonsole den Realm, der die Anmeldung in Ihrer Umgebung vermittelt, und fügen Sie den Microsoft-OIDC-Identitätsanbieter hinzu oder aktualisieren Sie ihn mit der Azure-Issuer-/Discovery-URL, der Client-ID, dem Client-Geheimnis und der Mandantenbeschränkung.
  6. Speichern Sie die IdP-Konfiguration und testen Sie die Anmeldung auf der VaultPAM-Anmeldeseite.
  7. Bestätigen Sie, dass der Login abgeschlossen wird und der Benutzer nach der Keycloak-Weiterleitung in VaultPAM landet.

Erfolgszustand: Benutzer aus dem zugelassenen Entra-ID-Mandanten können sich über Keycloak mit ihren Microsoft-Zugangsdaten bei VaultPAM anmelden.


Okta

Dieses Verfahren verwendet ebenfalls OIDC über Keycloak. Erstellen Sie in Okta eine OIDC-App-Integration, keine SAML-Integration.

  1. Gehen Sie in der Okta Admin-Konsole zu Applications > Applications > App Integration erstellen.
  2. Wählen Sie OIDC - OpenID Connect, wählen Sie Web Application und klicken Sie auf Weiter.
  3. Benennen Sie die Anwendung VaultPAM und fügen Sie die Keycloak-Broker-Weiterleitungs-URI für Ihre Umgebung hinzu.
  4. Notieren Sie die von Okta angezeigte Client ID, das Client Secret und die Issuer-URL.
  5. Öffnen Sie in der Keycloak-Administrationskonsole den Okta-OIDC-Identitätsanbieter und fügen Sie diese Werte sowie die erforderlichen Claim- oder Domain-Restriktionen hinzu oder aktualisieren Sie sie.
  6. Speichern Sie die IdP-Konfiguration und testen Sie die Anmeldung auf der VaultPAM-Anmeldeseite.

Erfolgszustand: Zugewiesene Okta-Benutzer können sich über Keycloak bei VaultPAM anmelden, und das Audit-Log zeichnet die SSO-authentifizierte Sitzung auf.


Fehlerbehebung bei SSO-Problemen

Wenn Benutzer einen Authentifizierungsfehler erhalten oder zur Anmeldeseite zurückgeleitet werden, finden Sie unter SSO-Anmeldung schlägt fehl häufige Ursachen und Lösungen.

Verwandte Artikel