1

我想使用 Azure Active Directory 作为身份提供者和 OpenSearch 提供的嵌入式 SAML 身份验证方法为 Kibana 配置单点登录。

但是,OpenSearch 集群在私有子网中运行,不能公开使用。这似乎是不可能的,因为集群的端点解析了私有 ip:

$ dig +short vpc-<cluster-id>.<region>.es.amazonaws.com
10.0.52.81
10.0.52.13
10.0.52.41

在试验过程中,我注意到 VPC 中的私有集群也有带有“ search- ”前缀的可用 dns 并解析公共 ip:

$ dig +short search-<cluster-id>.<region>.es.amazonaws.com
54.a.b.227
13.c.d.158
13.e.f.17

文档没有明确说明当集群位于私有子网中时,SAML 身份验证方法不可用。

有没有人遇到过这样的挑战?

4

1 回答 1

1

SAML 不需要身份提供者和服务提供者之间的直接通信,这是将其用于 SSO 的一大好处。这意味着即使您的 ElasticSearch/OpenSearch 应用程序托管在私有 VPC 中,只要您的浏览器可以与 ElasticSearch 集群和 IdentityProvider 通信,您仍然可以使用 SAML。本质上,您的浏览器充当身份提供者和服务提供者之间的中间人。

Okta 在这里很好地描述了它的工作原理:https ://developer.okta.com/docs/concepts/saml/#planning-for-saml

这样做的结果是,您的身份提供者和服务提供者之间不需要相互连接,因此在私有子网中使用 SAML 而不是在公共子网中使用 SAML 没有特殊考虑。

于 2021-11-10T23:40:58.263 回答