本文介绍了对vPC中运行的私有AWS OpenSearch集群的仪表板启用SAML身份验证的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

我想将Kibana的单一登录配置为使用Azure Active Directory作为身份提供程序,并使用OpenSearch提供的嵌入式SAML身份验证方法。

但是,OpenSearch集群运行在私有子网中,不能公开使用。这似乎是不可能的,因为集群的端点解析私有IP:

$ dig +short vpc-<cluster-id>.<region>.es.amazonaws.com
10.0.52.81
10.0.52.13
10.0.52.41

在实验中,我注意到私有网络中的内网集群也有";搜索-";前缀和解析公网ips:

$ dig +short search-<cluster-id>.<region>.es.amazonaws.com
54.a.b.227
13.c.d.158
13.e.f.17

documentation并未明确表示当群集驻留在私有子网中时,SAML身份验证方法不可用。

有人面临过这样的挑战吗?

SAML

推荐答案不需要身份提供者和服务提供者之间的直接通信,这是使用它进行单点登录的一个极好的好处。这意味着,即使您的ElasticSearch/OpenSearch应用程序托管在私有vPC中,只要您的浏览器可以与您的ElasticSearch集群和您的身份提供商通信,您仍然可以使用SAML。实际上,您的浏览器充当身份提供商和服务提供商之间的中间人。

Okta在这里很好地描述了它是如何工作的:https://developer.okta.com/docs/concepts/saml/#planning-for-saml

这样做的结果是,您的身份提供商和服务提供商之间不需要相互连接,因此在私有子网中使用SAML与在公用子网中使用SAML没有特殊的考虑。

这篇关于对vPC中运行的私有AWS OpenSearch集群的仪表板启用SAML身份验证的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持!

10-29 17:30