最近添加的对AWS弹性搜索解决方案的SAML支持:https://aws.amazon.com/about-aws/whats-new/2020/10/amazon-elasticsearch-service-adds-native-saml-authentication-kibana/
在其文档中列出支持后端角色:https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/saml.html
例如,在Okta中,您可能有一个属于组管理员的用户jdoe。如果将jdoe添加到SAML主用户名字段,则只有该用户才能获得完全权限。如果将管理员添加到SAML主后端角色字段,则属于管理员组的任何用户都将获得完全权限。
如果要使用后端角色(推荐(,请在"角色"键字段中的断言中指定一个属性,例如角色或组。这是像SAML tracer这样的工具可以提供帮助的另一种情况。
但一些用户在使用AWS控制台后,在完成配置时会遇到问题。
答案在AWS控制台之外,必须在Elastic Search集群中完成,主用户是您在集群中创建的内部用户,通过IAM角色或使用AWS控制台中弹性搜索的修改身份验证向导的SAML配置部分中的主用户字段。您必须:
- 创建与SAML属性值匹配的后端角色
- 在新的后端角色和实际的弹性搜索角色之间创建映射
通过创建自定义的类似"属性/声明"的角色或组配置完IdP之后,以及在Elastic搜索集群中配置SAML身份验证集成之后。
1.-使用您的主用户登录Kibana2.-转到OpenDistro->安全性->角色->要授予访问权限的角色,即readall3.-转到角色屏幕下的映射用户选项卡4.-在"后端角色"字段中,键入您通过以下步骤创建的Azure声明的VALUE:https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-enterprise-app-role-management作为参考,索赔值为:user.assignedroles。声明密钥是您将Azure Enterprise应用程序配置为的任何密钥。您将有一个键值对";您选择的索赔名称":用户指定的角色5.-在Kibana 中保存映射
使用Azure IdP使用分配了不同Azure声明的用户登录Kibana。Open Distro Security插件将解析SAML令牌属性,找到user.assignedroles的字段,并将其作为Kibana后端角色映射到实际的Elastic Search角色。