Naar hoofdinhoud gaan

SSO-federatie configureren

Single sign-on (SSO) federatie stelt uw gebruikers in staat om zich bij VaultPAM aan te melden met behulp van uw bestaande identiteitsprovider (IdP). VaultPAM stuurt SSO via Keycloak, en de upstream-provider wordt daar geconfigureerd. VaultPAM gebruikt geen SAML-metagegevensupload voor deze werkstroom.

Vereisten

  • VaultPAM: Organisatiebeheerderrol
  • Identiteitsprovider: Beheertoegang in uw Entra ID-tenant of Okta-organisatie
  • Keycloak: Toegang tot de realm die aanmelding voor uw omgeving bemiddelt
  • Protocol: OIDC / OAuth 2.0 ondersteund door uw IdP en Keycloak

Microsoft Entra ID (Azure AD)

Deze procedure maakt gebruik van OIDC via Keycloak. Maak een OAuth 2.0-app-registratie in Azure aan, geen SAML-bedrijfstoepassing.

  1. Ga in de Azure-portal naar Entra ID > App-registraties > Nieuwe registratie.
  2. Noem de toepassing VaultPAM, kies het accounttype dat uw tenantgrens aansluit, en registreer deze.
  3. Voeg de Keycloak-broker-omleidings-URI voor uw omgeving toe. Gebruik de callback-URL voor de realm en provider, bijvoorbeeld https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint.
  4. Maak een clientgeheim aan en noteer de Application (client) ID, Directory (tenant) ID en de clientgeheimenwaarde.
  5. Open in de Keycloak-beheerconsole de realm die aanmelding voor uw omgeving bemiddelt en voeg de Microsoft OIDC-identiteitsprovider toe of werk deze bij met de Azure-verlener of discovery-URL, client-ID, clientgeheim en tenantbeperking.
  6. Sla de IdP-configuratie op en test aanmelding vanaf de VaultPAM-aanmeldingspagina.
  7. Bevestig dat de aanmelding is voltooid en dat de gebruiker in VaultPAM terechtkomt na de Keycloak-omleiding.

Successtatus: Gebruikers van de toegestane Entra ID-tenant kunnen zich via Keycloak bij VaultPAM aanmelden met hun Microsoft-referenties.


Okta

Deze procedure maakt ook gebruik van OIDC via Keycloak. Maak een OIDC-app-integratie in Okta aan, geen SAML-integratie.

  1. Ga in de Okta-beheerconsole naar Applications > Applications > Create App Integration.
  2. Selecteer OIDC - OpenID Connect, kies Web Application en klik op Next.
  3. Noem de toepassing VaultPAM en voeg de Keycloak-broker-omleidings-URI voor uw omgeving toe.
  4. Noteer de Client ID, Client Secret en issuer-URL die door Okta worden weergegeven.
  5. Open in de Keycloak-beheerconsole de Okta OIDC-identiteitsprovider en werk deze bij met deze waarden en eventuele vereiste claim- of domeinbeperkingen.
  6. Sla de IdP-configuratie op en test aanmelding vanaf de VaultPAM-aanmeldingspagina.

Successtatus: Toegewezen Okta-gebruikers kunnen zich via Keycloak bij VaultPAM aanmelden, en het Audit Log registreert de SSO-geverifieerde sessie.


SSO-problemen oplossen

Als gebruikers een verificatiefout ontvangen of terug worden geleid naar de aanmeldingspagina, zie SSO-aanmelding mislukt voor veelvoorkomende oorzaken en oplossingen.

Gerelateerde artikelen