Guten Tag,
Wir nutzen OPSI mit einer Enterprise-Lizenz und daher wollte ich die SSO über Microsoft Entra implementieren.
Alles hat geklappt nur scheint die Anmeldung nur für gewisse Accounts zu funktionieren. Wir haben einen dedizierten Admin-Account pro Benutzer,
welcher auch Admin in der ganzen Microsoft Entra Umgebung ist. Mit diesen Benutzern kann ich mich Problemlos an OPSI per SSO anmelden.
Möchte ich nun einen "Nicht-Admin" erlauben sich per SSO an OPSI anzumelden, dann erhalte ich in den Logs die Meldung "SAML login error: Not an admin user". Um einen Benutzer hinzuzufügen, gehe ich nach folgenden Schritten vor:
- Enterprise application öffnen
- Benutzer in er app hinzufügen
- Prüfen ob die Rolle für opsiadmin zugewiesen wurde
Laut Dokumentation müsste dies reichen, um einem Benutzer Zugriff auf OPSI-Configed zu geben. Habe ich etwas vergessen? Wie interpretiere ich die Meldung "not an admin user"?
SSO per Microsoft Entra
-
j.schneider
- uib-Team
- Beiträge: 2042
- Registriert: 29 Mai 2008, 15:14
Re: SSO per Microsoft Entra
Hallo,
opsi übernimmt die Rollen aus EntraID standardmäßig 1:1 als opsi-Gruppen.
Die Meldung "Not an admin user" bedeutet, dass der authentifizierte Benutzer nicht der Gruppe "opsiadmin" zugeordnet wurde und der Zugriff daher verweigert wird.
Ab Log-Level 6 (info) werden die Rollen und Gruppen im opsiconfd protokolliert.
Die Meldungen sehen dabei etwas so aus:
Um das Log-Level auf "info" zu erhöhen kann man in der /etc/opsi/opsiconfd.conf setzen:
Danach den opsiconfd veranlassen die Konfiguration neu einzulesen:
Die Meldungen kann man sich dann beispielsweise über den opsiconfd logviewer anzeigen lassen:
Man kann die Zuordnung von Entra-Rollen zu opsi-Gruppen bei Bedarf auch über die /etc/opsi/opsiconfd.conf konfigurieren:
Wenn alles funktioniert das Log-Level bitte wieder reduzieren.
Grüße
Jan Schneider
opsi übernimmt die Rollen aus EntraID standardmäßig 1:1 als opsi-Gruppen.
Die Meldung "Not an admin user" bedeutet, dass der authentifizierte Benutzer nicht der Gruppe "opsiadmin" zugeordnet wurde und der Zugriff daher verweigert wird.
Ab Log-Level 6 (info) werden die Rollen und Gruppen im opsiconfd protokolliert.
Die Meldungen sehen dabei etwas so aus:
Code: Alles auswählen
SAML SSO successful for user ... with roles ...
SAML roles mapped to groups ...
Code: Alles auswählen
log-level = 6
Code: Alles auswählen
opsiconfd reload
Code: Alles auswählen
opsiconfd log-viewer -l6
Code: Alles auswählen
saml-role-group-mappings=["entra-id-role=opsiadmin", "other-role=opsiadmin"]
Grüße
Jan Schneider
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
-
philipp.schalcher
- Beiträge: 4
- Registriert: 04 Nov 2024, 10:08
Re: SSO per Microsoft Entra
Super, der Tipp mit dem Loglevel hat massiv weitergeholfen. Anscheinend wurde die Rolle meinem persönlichen Account nicht sauber zugewiesen und daher konnte ich mich nicht anmelden. Meinen Account aus der App in Entra zu entfernen und wieder hinzuzufügen hat das Problem gelöst.
Danke vielmals für die Hilfe.
Danke vielmals für die Hilfe.