Настройка SSO в Automation Controller с использованием ALD Pro#
Automation Controller может использовать контроллер домена ALD Pro в качестве поставщика услуг аутентификации (SSO) с применением метода LDAP.
Описание сценария#
Процесс настройки SSO для Automation Controller с использованием ALD Pro состоит из следующих этапов:
Настройка домена ALD Pro.
Параметры домена:
Параметр
Значение
Версия ALD Pro
2.4.0Название домена
domain.exampleFQDN контроллера домена
dc.domain.exampleВ домене необходимо создать следующие группы:
network_admins;gitflic_admins;controller_admins.
Пользователи этих групп при авторизации в Automation Controller будут автоматически получать необходимые привилегии.
Изменение настроек Automation Controller.
В организации
Defaultнеобходимо создать командыNetwork AdminsиGitFlic Adminsс необходимыми привилегиями. Пользователи доменных группnetwork_adminsиgitflic_adminsавтоматически становятся участниками этих команд.Пользователи доменной группы
controller_adminsавтоматически получают привилегии администратора Automation Controller.Проверка работоспособности SSO.
Подготовка к работе#
Подготовьте окружение к настройке SSO:
Авторизуйтесь в панели управления контроллером домена ALD Pro.
Чтобы Automation Controller мог получать данные для авторизации из ALD Pro, создайте учетную запись пользователя
acadminи добавьте ее в группуadmin.Создайте группы
network_admins,gitflic_adminsиcontroller_admins.Добавьте в созданные группы нужных пользователей.
Настройка Automation Controller#
Авторизуйтесь в Automation Controller от имени администратора и выполните следующие действия:
В организации
Defaultсоздайте командыNetwork AdminsиGitFlic Admins, следуя инструкции.По своему усмотрению настройте доступ для каждой команды к различным ресурсам. Порядок настройки описан в инструкции.
На панели навигации выберите ().
Нажмите на ссылку Настройки LDAP (LDAP Settings).
В окне Подробности (Details) нажмите кнопку Редактировать (Edit).
Заполните поля формы Редактировать детали (Edit Details):
URI сервера LDAP (LDAP Server URI):
ldap://dc.domain.example:389
Пароль привязки к LDAP (LDAP Bind Password): пароль учетной записи, от имени которой Automation Controller будет обращаться к ALD Pro для получения данных авторизации.
Тип группы LDAP (LDAP Group Type): NestedMemberDNGroupType.
Запуск LDAP с TLS (LDAP Start TLS): если для защиты подключения к контроллеру домена используется сертификат, выданный удостоверяющим центром, переведите этот переключатель во включенное положение.
LDAP Bind DN:
UID=acadmin,CN=users,CN=accounts,DC=domain,DC=example
Шаблон уникального наименования (DN) пользователя в LDAP (LDAP User DN Template):
UID=%(user)s,CN=users,CN=accounts,DC=domain,DC=example
Групповой поиск по LDAP (LDAP Group Search):
[ "cn=groups,cn=accounts,dc=domain,dc=example", "SCOPE_SUBTREE", "(objectClass=groupOfNames)" ]
Ассоциация пользовательских атрибутов с LDAP (LDAP User Attribute Map):
{ "email": "email", "last_name": "sn", "first_name": "givenName" }
Параметры типа группы LDAP (LDAP Group Type Parameters):
{ "name_attr": "cn", "member_attr": "member" }
Пользовательские флаги LDAP по группам (LDAP User Flags By Group):
{ "is_superuser": [ "CN=controller_admins,CN=groups,CN=accounts,DC=domain,DC=example" ] }
Ассоциация организации с LDAP (LDAP Organization Map):
{ "Default": { "remove_admins": false, "remove_users": false, "users": [ "CN=network_admins,CN=groups,CN=accounts,DC=domain,DC=example", "CN=gitflic_admins,CN=groups,CN=accounts,DC=domain,DC=example" ] } }
Ассоциация группы с LDAP (LDAP Team Map):
{ "Network Admins": { "organization": "Default", "remove": true, "users": "CN=network_admins,CN=groups,CN=accounts,DC=domain,DC=example" }, "GitFlic Admins": { "organization": "Default", "remove": true, "users": "CN=gitflic_admins,CN=groups,CN=accounts,DC=domain,DC=example" } }
Нажмите кнопку Сохранить (Save).
Проверка работоспособности SSO#
Чтобы проверить корректность настроек SSO, выполните следующие действия:
Завершите сессию администратора Automation Controller или откройте страницу авторизации в приватной вкладке.
На странице авторизации введите данные доменного пользователя:
Имя пользователя (Username): краткое название доменной учетной записи.
Например, если полное название доменной учетной записи
johndow@domain.example, введите толькоjohndow.Пароль (Password): пароль доменной учетной записи.
Нажмите кнопку Вход (Login).
Убедитесь, что авторизация прошла успешно и доступны ресурсы, разрешения для которых были настроены на уровне команд.
Особенности проекта#
Обратите внимание на следующие особенности проекта:
Создание отдельного доменного пользователя для настройки SSO.
Настройка сопоставления доменных групп и команд Automation Controller.
Особенности заполнения полей при настройке параметров LDAP.
Заключение#
В этом сценарии вы познакомились с основными шагами по настройке SSO в Automation Controller с использованием в качестве поставщика услуг единого входа контроллера домена ALD Pro. Из всей последовательности шагов важно выделить следующие действия:
Подготовка окружения.
Настройка параметров Automation Controller.
Проверка корректности работы SSO.