События
9 апр., 15 - 10 апр., 12
Закодируете будущее с помощью ИИ и подключитесь к одноранговым узлам и экспертам Java в JDConf 2025.
ЗарегистрироватьсяНастройте SSH Smallstep для автоматического управления пользователями
В этой статье описаны шаги, которые необходимо выполнить как в Smallstep SSH, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически подготавливает и устраняет пользователей и группы для Smallstep SSH с помощью службы подготовки Microsoft Entra ID. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.
- Создание пользователей в Smallstep SSH
- Удаление пользователей в Smallstep SSH, когда они больше не требуют доступа
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Smallstep SSH
- Управление группами и членством в группах в Smallstep SSH
- Единый вход в Smallstep SSH (рекомендуется)
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
- Учетная запись Smallstep SSH.
- Узнайте, как работает служба предоставления.
- Определите, кто будет находиться в области предоставления доступа.
- Определите, какие данные сопоставлять между идентификатором Microsoft Entra и Smallstep SSH.
Войдите в свою учетную запись Smallstep SSH.
Перейдите на вкладку "Пользователи" и выберите идентификатор Microsoft Entra ID в качестве Поставщика удостоверений.
На следующей странице укажите идентификатор клиента Microsoft Entra и список разрешений для настройки OIDC.
В разделе "Сведения о SCIM" скопируйте и сохраните URL-адрес клиента SCIM и секретный токен . Эти значения будут введены в поле URL-адрес арендатора и секретный токен на вкладке "Настройка" приложения Smallstep SSH.
Примечание. Вам потребуется предоставить доступ к управляемым узлам Smallstep через группы Active Directory. Например, у вас может быть группа для пользователей ssh и один для пользователей sudo. Дополнительные сведения об управлении доступом см. в кратком руководстве по Microsoft Entra и кратком руководстве по узла.
Добавьте Smallstep SSH из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Smallstep SSH. Если вы ранее настроили SSH Smallstep для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи по ссылке.
Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.
Начните с малого. Протестируйте с небольшим набором пользователей и групп перед развертыванием для всех пользователей. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если область задана для всех пользователей и групп, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и /или групп в Smallstep SSH на основе назначений пользователей и /или групп в идентификаторе Microsoft Entra.
Чтобы настроить автоматическую подготовку пользователей для Smallstep SSH в идентификаторе Microsoft Entra ID:
Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
Перейдите в раздел ИдентификацияПриложенияКорпоративные приложения
В списке приложений выберите Smallstep SSH.
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора введите URL-адрес тенанта Smallstep SSH и секретный токен. Щелкните Тест подключения, чтобы убедиться, что Microsoft Entra ID может подключиться к Smallstep SSH. Если подключение завершается ошибкой, убедитесь, что у учетной записи Smallstep SSH есть разрешения администратора и повторите попытку.
В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.
Выберите Сохранить.
В разделе Маппинг выберите Синхронизировать пользователей Microsoft Entra с Smallstep SSH.
Просмотрите атрибуты пользователя, которые синхронизируются из Microsoft Entra ID в Smallstep SSH, в разделе сопоставления атрибутов . Атрибуты, выбранные как свойства для согласования, используются для сопоставления учетных записей пользователей в программе Smallstep SSH при выполнении операций обновления. Если вы решите изменить атрибут назначения , соответствующий, вам нужно будет убедиться, что API Smallstep SSH поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации userName Струна ✓ активный булевый отображаемое имя Струна emails[type eq "рабочий"].value Струна имя.givenName Струна имя_фамилия Струна В разделе Сопоставления выберите Синхронизировать группы Microsoft Entra с Smallstep SSH.
Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с Smallstep SSH, в разделе сопоставления атрибутов. Атрибуты, выбранные в качестве свойств сопоставления, используются для сопоставления групп в Smallstep SSH для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации отображаемое имя Струна ✓ члены Ссылка Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.
Чтобы включить службу подготовки Microsoft Entra для Smallstep SSH, измените состояния подготовки на Onв разделе "Параметры".
Определите пользователей и (или) группы, которых вы хотите провизировать в Smallstep SSH, выбрав нужные значения в Области в разделе Параметры.
Когда вы будете готовы к настройке, нажмите Сохранить.
Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, при условии, что служба подготовки Microsoft Entra работает.
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:
- Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
- Проверьте индикатор хода выполнения , чтобы увидеть состояние цикла подготовки и насколько он близок к завершению.
- Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .