Создать SAML-приложение в Yandex Identity Hub для интеграции с Managed Service for OpenSearch

OpenSearch — это легко масштабируемая система поисковых и аналитических инструментов с открытым исходным кодом. OpenSearch включает в себя пользовательский интерфейс визуализации данных OpenSearch Dashboards. Yandex Managed Service for OpenSearch — сервис для управления кластерами OpenSearch в инфраструктуре Yandex Cloud. Managed Service for OpenSearch поддерживает SAML-аутентификацию для обеспечения безопасного единого входа пользователей организации.

Чтобы пользователи вашей организации могли аутентифицироваться в Managed Service for OpenSearch с помощью технологии единого входа по стандарту SAML, создайте SAML-приложение в Identity Hub и настройте его на стороне Identity Hub и на стороне кластера OpenSearch.

Управлять SAML-приложениями может пользователь, которому назначена роль organization-manager.samlApplications.admin или выше.

Перед началом работыПеред началом работы

Убедитесь, что вы можете подключиться к OpenSearch Dashboards с использованием реквизитов пользователя admin. О том, как создать и настроить кластер OpenSearch, см. в разделе Создание кластера OpenSearch.

В этом практическом руководстве предполагается, что веб-интерфейс OpenSearch Dashboards доступен по URL:

https://c-cat0adul1fj0********.rw.mdb.yandexcloud.kz/

Чтобы дать доступ пользователям вашей организации в Managed Service for OpenSearch:

1. Создайте приложение.
2. Настройте интеграцию.
3. Убедитесь в корректной работе приложения.

Создайте приложениеСоздайте приложение

Настройте интеграциюНастройте интеграцию

Чтобы настроить интеграцию Managed Service for OpenSearch с созданным SAML-приложением в Identity Hub, выполните настройки на стороне кластера OpenSearch и на стороне Identity Hub.

1. Получите метаданные для созданного ранее приложения:

   1. Войдите в сервис Yandex Identity Hub.
   2. На панели слева выберите Приложения и выберите созданное ранее SAML-приложение.
   3. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте значение параметра Issuer / IdP EntityID, которое необходимо задать на стороне кластера OpenSearch.
   4. На вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) нажмите кнопку Скачать файл с метаданными.

   Скачанный XML-файл содержит необходимые метаданные и сертификат, который используется для проверки подписи SAML-ответов.

2. Настройте SSO для кластера OpenSearch.

   Совет

   Далее приведены инструкции для консоли управления, но можно использовать и другие доступные интерфейсы Yandex Cloud.

   Чтобы настроить источник аутентификации Identity Hub:

   1. В консоли управления перейдите на страницу каталога и выберите сервис Managed Service for OpenSearch.

   2. Нажмите на имя нужного кластера и выберите вкладку Источники аутентификации.

   3. Нажмите кнопку Настроить.

   4. Укажите нужные значения настроек:

      • idp_entity_id — идентификатор провайдера. Введите сохраненное ранее значение параметра Issuer / IdP EntityID.

      • idp_metadata_file — выберите и загрузите ранее скачанный файл с метаданными.

      • sp_entity_id — идентификатор поставщика услуг.

        Этот идентификатор должен совпадать с URL для подключения к OpenSearch Dashboards:

        https://c-cat0adul1fj0********.rw.mdb.yandexcloud.kz/
        

      • kibana_url — URL для подключения к OpenSearch Dashboards.

      • roles_key — атрибут, в котором хранится перечень ролей. Укажите значение groups.

      • subject_key — оставьте поле пустым.

      • Таймаут сессии — оставьте значение 0.

      • Активировать — убедитесь, что эта опция включена.

   5. Нажмите кнопку Сохранить. Дождитесь, когда статус кластера изменится на Running. Применение настроек может занять несколько минут.

3. Настройте сопоставление ролей в OpenSearch.

   Чтобы группы пользователей Identity Hub сопоставлялись с ролями OpenSearch при аутентификации:

   1. Подключитесь к OpenSearch Dashboards от имени пользователя admin.
   2. В меню слева выберите OpenSearch Plugins → Security.
   3. На панели слева выберите Roles.
   4. Настройте сопоставления ролей:
      1. Нажмите на имя нужной роли. В данном руководстве это роль kibana_user.
      2. Перейдите на вкладку Mapped users.
      3. Нажмите кнопку Manage mapping.
      4. В блоке Backend roles введите имя группы пользователей Identity Hub, которой будет сопоставлена роль в OpenSearch, например, opensearch-users.
      5. Нажмите кнопку Map.

   Теперь пользователи вашей организации, добавленные в группу opensearch-users, будут получать роль kibana_user при успешной аутентификации в OpenSearch Dashboards.

Настройте SAML-приложение на стороне Yandex Identity HubНастройте SAML-приложение на стороне Yandex Identity Hub

Настройте эндпоинты поставщика услугНастройте эндпоинты поставщика услуг

Добавьте атрибут групп пользователейДобавьте атрибут групп пользователей

Необходимо, чтобы пользователи в OpenSearch при входе получали одну из базовых ролей. Чтобы это выполнялось, источник аутентификации Identity Hub должен передавать в SAML-ответе список групп пользователей, которым в OpenSearch будут сопоставлены роли. Для этого:

Подробнее о настройке атрибутов см. Настройте атрибуты пользователей и групп.

Добавьте пользователейДобавьте пользователей

Чтобы пользователи вашей организации могли аутентифицироваться в OpenSearch Dashboards с помощью SAML-приложения Identity Hub, необходимо явно добавить в SAML-приложение нужных пользователей и группы пользователей.

1. Если вы настроили сопоставление ролей на стороне Managed Service for OpenSearch, создайте нужные группы:

   Интерфейс Cloud Center

   1. Войдите в сервис Yandex Identity Hub.
   2. На панели слева выберите Группы.
   3. В правом верхнем углу страницы нажмите Создать группу.
   4. Задайте название, например, opensearch-users. Название группы должно точно соответствовать имени группы пользователей, указанному при сопоставлении с ролью OpenSearch.
   5. Нажмите Создать группу.
   6. Добавьте пользователей в группу:
      1. Перейдите на вкладку Участники.
      2. Нажмите Добавить участника.
      3. В открывшемся окне выберите нужных пользователей.
      4. Нажмите Сохранить.

2. Добавьте пользователей в приложение:

   Интерфейс Cloud Center

   1. Войдите в сервис Yandex Identity Hub.
   2. На панели слева выберите Приложения и выберите нужное приложение.
   3. Перейдите на вкладку Пользователи и группы.
   4. Нажмите Добавить пользователей.
   5. В открывшемся окне выберите нужного пользователя или группу пользователей.
   6. Нажмите Добавить.

Убедитесь в корректной работе приложенияУбедитесь в корректной работе приложения

Чтобы убедиться в корректной работе SAML-приложения и интеграции с Managed Service for OpenSearch, выполните аутентификацию в OpenSearch Dashboards от имени одного из добавленных в приложение пользователей. Для этого:

1. В браузере перейдите по адресу вашего экземпляра OpenSearch Dashboards.
2. Если вы были авторизованы в OpenSearch Dashboards, выйдите из профиля.
3. На странице аутентификации OpenSearch Dashboards нажмите Log in with single sign-on.
4. На странице аутентификации Yandex Cloud укажите адрес электронной почты и пароль пользователя. Пользователь должен состоять в группе, добавленной в приложение.
5. Убедитесь, что вы авторизовались в OpenSearch Dashboards.
6. Если вы настроили сопоставление ролей, то:
   1. Нажмите на иконку пользователя в OpenSearch Dashboards.
   2. Перейдите в View roles and identities.
   3. Убедитесь, что в блоке Roles отображается роль kibana_user, а в блоке Backend roles — роль opensearch-users.