Configura federazione SSO
La federazione single sign-on (SSO) consente agli utenti di accedere a VaultPAM utilizzando il provider di identità (IdP) esistente. VaultPAM instrada l'SSO attraverso Keycloak, e il provider upstream viene configurato lì. VaultPAM non utilizza caricamenti di metadati SAML per questo flusso.
Prerequisiti
- VaultPAM: ruolo Org Admin
- Provider di identità: accesso amministrativo nel tenant Entra ID o nell'organizzazione Okta
- Keycloak: accesso al realm che gestisce l'accesso per il tuo ambiente
- Protocollo: OIDC / OAuth 2.0 supportati dal tuo IdP e da Keycloak
Microsoft Entra ID (Azure AD)
Questa procedura utilizza OIDC attraverso Keycloak. Crea una registrazione app OAuth 2.0 in Azure, non un'applicazione enterprise SAML.
- Nel portale Azure, accedi a Entra ID > Registrazioni app > Nuova registrazione.
- Assegna all'applicazione il nome VaultPAM, scegli il tipo di account che corrisponde ai limiti del tuo tenant e registrala.
- Aggiungi l'URI di reindirizzamento del broker Keycloak per il tuo ambiente. Utilizza l'URL di callback per il realm e il provider, ad esempio
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Crea un segreto client e annota l'ID applicazione (client), l'ID directory (tenant) e il valore del segreto client.
- Nella console di amministrazione di Keycloak, apri il realm che gestisce l'accesso per il tuo ambiente e aggiungi o aggiorna il provider di identità OIDC Microsoft con l'issuer Azure o l'URL di discovery, l'ID client, il segreto client e la restrizione del tenant.
- Salva la configurazione dell'IdP e testa l'accesso dalla pagina di login di VaultPAM.
- Conferma che l'accesso si completa e che l'utente atterra in VaultPAM dopo il reindirizzamento di Keycloak.
Stato di successo: Gli utenti dal tenant Entra ID consentito possono accedere a VaultPAM attraverso Keycloak con le loro credenziali Microsoft.
Okta
Questa procedura utilizza anch'essa OIDC attraverso Keycloak. Crea un'integrazione app OIDC in Okta, non un'integrazione SAML.
- Nella console di amministrazione Okta, accedi a Applications > Applications > Create App Integration.
- Seleziona OIDC - OpenID Connect, scegli Web Application e fai clic su Next.
- Assegna all'applicazione il nome VaultPAM e aggiungi l'URI di reindirizzamento del broker Keycloak per il tuo ambiente.
- Annota l'ID client, il segreto client e l'URL issuer mostrati da Okta.
- Nella console di amministrazione di Keycloak, aggiungi o aggiorna il provider di identità OIDC Okta con questi valori e eventuali restrizioni di claim o dominio richieste.
- Salva la configurazione dell'IdP e testa l'accesso dalla pagina di login di VaultPAM.
Stato di successo: Gli utenti Okta assegnati possono accedere a VaultPAM attraverso Keycloak e l'Audit Log registra la sessione autenticata tramite SSO.
Se gli utenti ricevono un errore di autenticazione o vengono reindirizzati alla pagina di login, consulta SSO login failing per le cause comuni e le soluzioni.