Zabbix

Zabbix (https://www.zabbix.com/ru/) - система мониторинга ИТ-инфраструктуры.

Подключение Zabbix к Blitz Identity Provider выполняется по протоколу SAML и состоит из двух этапов:

• Этап 1. Настройки на стороне Zabbix;
• Этап 2. Настройки на стороне Blitz Identity Provider.

Этап 1. Настройки на стороне Zabbix

Выполните следующие действия:

1. Войдите в Zabbix под учетной записью администратора и перейдите в раздел Пользователи -> Аутентификация -> Настройки SAML.

2. Заполните поля с обязательными параметрами. Подробнее, можно ознакомиться в документации:

• IdP entity ID: https://zabbix.company.com/blitz/saml
• URL единого входа(URL для аутентификации): https://zabbix.company.com/blitz/saml/profile/SAML2/Redirect/SSO
• URL единого выхода(URL для логаута): https://zabbix.company.com/blitz/saml/profile/SAML2/Redirect/SLO 
• Атрибут имени пользователя: email - атрибут задается в IDP
• ID объекта SP: zabbix

3. Создайте пользователя в разделе Пользователи -> Пользователи. В качестве имени пользователя укажите используемый атрибут. В нашем случае это - email. Имя пользователя указываем соответственно example@test.ru

4. Загрузите сертификат idp.crt в Zabbix. 
Сертификат idp.crt формируется во время установки blitz и хранится в директории /usr/share/identityblitz/blitz-config/saml/credentials/idp.crt. Скопируйте сертификат на сервер с Zabbix /var/www/webapps/zabbix/ui/conf/certs/idp.crt и установите разрешение 644. Раскомментируйте строку $SSO['IDP_CERT'] = 'conf/certs/idp.crt'; в директории /var/www/webapps/zabbix/ui/conf/zabbix.conf.php

5. Опционально. Настройка подписи на выход из системы. Установите флажки на подпись запросов/ответов выхода из системы.

5.1. Раскомментируйте строки в директории /var/www/webapps/zabbix/ui/conf/zabbix.conf.php и добавьте сертификат и публичный ключ, пример:
$SSO['SP_KEY']                  = 'conf/certs/idp.key';
$SSO['SP_CERT']                 = 'conf/certs/idp.crt';

Этап 2. Настройки на стороне Blitz Identity Provider

1. Добавьте атрибут email в разделе SAML c кодировщиком SAML2String. Источником атрибута может быть указан любой атрибут из ldap.

2. Создайте приложение, например zabbix. Выберите протокол SAML и задайте настройки: 

2.1. Метаданные. 
Создайте метаданные с помощью samltool 

Добавьте метаданные в настройки приложения:

2.2. SAML профиль. 

• Подписывать утверждения: always
• Шифровать утверждения: never
• Шифровать идентификаторы(Namelds): never
  
•   Включить передачу SAML-утверждений о пользователе в специальном блоке Attribute Statement

В атрибутах пользователя задаем ранее прописанный SAML-атрибут, в нашем случае это email. В итоге должен получиться следующий результат: 

После выполнения всех настроек, будет доступен вход в zabbix, через систему единого входа (SAML)

Подпись на выход из системы