Подключение zabbix к blitz

Zabbix (https://www.zabbix.com/ru/) - система мониторинга ИТ-инфраструктуры.

Подключение Zabbix к Blitz Identity Provider выполняется по протоколу SAML и состоит из двух этапов:

• Этап 1. Настройки на стороне Zabbix;
• Этап 2. Настройки на стороне Blitz Identity Provider.

Этап 1. Настройки на стороне Zabbix

Выполните следующие действия:

1. Войдите в Zabbix под учетной записью администратора и перейдите в раздел Пользователи -> Аутентификация -> Настройки SAML.
2. Заполните поля с обязательными параметрами. Подробнее, можно ознакомиться в документации:
   
   • IdP entity ID: https://login.company.com/blitz/saml
   • URL единого входа(URL для аутентификации): https://login.company.com/blitz/saml/profile/SAML2/Redirect/SSO
   • URL единого выхода(URL для логаута): https://login.company.com/blitz/saml/profile/SAML2/Redirect/SLO 
   • Атрибут имени пользователя: email - атрибут задается в IDP
   • ID объекта SP: zabbix

   3. Создайте пользователя в разделе Пользователи -> Пользователи. В качестве имени пользователя укажите используемый атрибут. В нашем случае это - email. Имя пользователя указываем соответственно example@test.ru

    4. Загрузите сертификат idp.crt в Zabbix. 
Сертификат idp.crt формируется во время установки blitz и хранится в директории /usr/share/identityblitz/blitz-config/saml/credentials/idp.crt. Скопируйте сертификат на сервер с Zabbix /var/www/webapps/zabbix/ui/conf/certs/idp.crt и установите разрешение 644. Раскомментируйте строку $SSO['IDP_CERT'] = 'conf/certs/idp.crt'; в директории /var/www/webapps/zabbix/ui/conf/zabbix.conf.php

 

Этап 2. Настройки на стороне Blitz Identity Provider

  1. Добавьте атрибут email в разделе SAML c кодировщиком SAML2String. Источником атрибута может быть указан любой атрибут из ldap.

2. Создайте приложение, например zabbix. Выберите протокол SAML и задайте настройки: 

 

Метаданные. 
Создайте метаданные с помощью samltool 

Добавьте метаданные в настройки приложения:

SAML профиль. 

Подписывать утверждения: always
Шифровать утверждения: never
Шифровать идентификаторы(Namelds): never

  Включить передачу SAML-утверждений о пользователе в специальном блоке Attribute Statement

В атрибутах пользователя задаем ранее прописанный SAML-атрибут, в нашем случае это email. В итоге должен получиться следующий результат: 

После выполнения всех настроек, будет доступен вход в zabbix через систему единого входа (SAML)