配置 Okta (SAML)

如果你的组织使用 Okta Identity Provider (IdP) 进行用户身份验证,你可以通过配置 Rancher 来允许用户使用 IdP 凭证登录。

配置 Okta (SAML) - 图1备注

Okta 集成仅支持服务提供商发起的登录。

先决条件

在 Okta 中,使用以下设置创建一个新的 SAML 应用。如需获取帮助,请参见 Okta 文档

设置
Single Sign on URLhttps://yourRancherHostURL/v1-saml/okta/saml/acs
Audience URI (SP Entity ID)https://yourRancherHostURL/v1-saml/okta/saml/metadata

在 Rancher 中配置 Okta

  1. 在左上角,单击 ☰ > 用户 & 认证

  2. 在左侧导航栏,单击认证

  3. 单击 Okta

  4. 填写配置 Okta 账号表单。下面的示例描述了如何将 Okta 属性从属性语句映射到 Rancher 中的字段:

    字段描述
    显示名称字段属性语句中包含用户显示名称的属性名称。
    用户名字段属性语句中包含用户名/给定名称的属性名称。
    UID 字段属性语句中每个用户唯一的属性名称。
    用户组字段组属性语句中公开你的组的属性名称。
    Rancher API 主机Rancher Server 的 URL。
    私钥/证书密钥/证书对,用于断言加密。
    元数据 XML你在应用 Sign On 部分中找到的 Identity Provider metadata 文件。

    配置 Okta (SAML) - 图2提示

    你可以使用 openssl 命令生成一个密钥/证书对。例如:

    1. openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout myservice.key -out myservice.crt
  5. 完成配置 Okta 账号表单后,单击启用

    Rancher 会将你重定向到 IdP 登录页面。输入使用 Okta IdP 进行身份验证的凭证,来验证你的 Rancher Okta 配置。

    配置 Okta (SAML) - 图3备注

    如果什么都没有发生,很可能是因为你的浏览器阻止了弹出窗口。请在弹出窗口阻止程序中禁用 Rancher 域,并在其他类似扩展中将 Rancher 列入白名单。

结果:已将 Rancher 配置为使用 Okta。你的用户现在可以使用 Okta 登录名登录 Rancher。

配置 Okta (SAML) - 图4SAML 身份提供商注意事项

  • SAML 协议不支持搜索或查找用户或组。因此,将用户或组添加到 Rancher 时不会对其进行验证。
  • 添加用户时,必须正确输入确切的用户 ID(即 UID 字段)。键入用户 ID 时,将不会搜索可能匹配的其他用户 ID。
  • 添加组时,必须从文本框旁边的下拉列表中选择组。Rancher 假定来自文本框的任何输入都是用户。
  • 用户组下拉列表仅显示你所属的用户组。如果你不是某个组的成员,你将无法添加该组。