Настройка доступа до OpenSearch c использованием LDAP
В данном разделе описывается процедура использования провайдера идентификации в StarVault по протоколу LDAP для доступа к OAuth приложению OpenSearch.
1. Необходимые условия
-
У вас есть токен доступа к хранилищу секретов StarVault с привилегиями root.
-
Модуль OpenSearch установлен в вашем кластере.
-
У вас есть доступ в OpenSearch с учетной записью, имеющей роль admin.
-
Провайдер идентификации LDAP подключен в StarVault.
2. Настройка доступа в StarVault
-
В веб-интерфейсе StarVault выберите вкладку Access, далее Groups.
-
Создайте группу и alias.
-
Нажмите Create group.
-
В поле Name укажите имя группы так же, как группа названа в каталоге LDAP-сервера.
-
В поле Type укажите External.
-
Нажмите Create, чтобы создать группу. Откроется страница с параметрами созданной группы.
-
-
Нажмите Add alias.
-
В поле Name укажите имя алиаса так же, как группа названа в каталоге LDAP-сервера.
-
В поле Auth Backend выберете имя метода аутентификации LDAP.
-
Нажмите Create, чтобы создать alias.
-
Для удобства и простоты администрирования рекомендуется использовать один alias на одну сущность StarVault.
-
-
В веб-интерфейсе StarVault перейдите на вкладку Access → OIDC Provider → Assignments.
-
Нажмите Create assignment.
-
В поле Name укажите любое имя, например название приложения, к которому предоставляется доступ.
-
В поле Groups выберите группу созданную ранее.
-
Нажмите Create.
-
-
Перейдите на вкладку Access → OIDC Provider → Applications.
-
Выберите нужное приложение - oidc-auth-opensearch.
-
Нажмите Edit application.
-
В поле Assignment name выберите ранее созданный Assignment.
-
Нажмите Update.
-
3. Настройка доступа в OpenSearch
-
В веб-интерфейсе OpenSearch перейдите на вкладку Management → Security → Roles.
-
Вы можете создать новую роль или использовать уже существующую. Если используете существующую – нажмите на нее.
-
В настройках роли на вкладке Mapped users нажмите на Map user и добавьте Backend role (имя созданной в StarVault группы).
|
Вы также можете использовать существующие backend-роли. Для этого имя группы должно быть таким же, как и имя backend-роли. |