对vPC中运行的私有AWS OpenSearch集群的仪表板启用SAML身份验证 [英] Enable SAML authentication for Dashboards of private AWS OpenSearch cluster running in VPC

问题描述

我想将Kibana的单一登录配置为使用Azure Active Directory作为身份提供程序，并使用OpenSearch提供的嵌入式SAML身份验证方法。

但是，OpenSearch集群运行在私有子网中，不能公开使用。 这似乎是不可能的，因为集群的端点解析私有IP：

$ dig +short vpc-<cluster-id>.<region>.es.amazonaws.com
10.0.52.81
10.0.52.13
10.0.52.41

在实验中，我注意到私有网络中的内网集群也有"；搜索-"；前缀和解析公网ips：

$ dig +short search-<cluster-id>.<region>.es.amazonaws.com
54.a.b.227
13.c.d.158
13.e.f.17

documentation并未明确表示当群集驻留在私有子网中时，SAML身份验证方法不可用。

有人面临过这样的挑战吗？

SAML

推荐答案不需要身份提供者和服务提供者之间的直接通信，这是使用它进行单点登录的一个极好的好处。这意味着，即使您的ElasticSearch/OpenSearch应用程序托管在私有vPC中，只要您的浏览器可以与您的ElasticSearch集群和您的身份提供商通信，您仍然可以使用SAML。实际上，您的浏览器充当身份提供商和服务提供商之间的中间人。

Okta在这里很好地描述了它是如何工作的：https://developer.okta.com/docs/concepts/saml/#planning-for-saml

这样做的结果是，您的身份提供商和服务提供商之间不需要相互连接，因此在私有子网中使用SAML与在公用子网中使用SAML没有特殊的考虑。

这篇关于对vPC中运行的私有AWS OpenSearch集群的仪表板启用SAML身份验证的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！