Включение аутентификации SAML для информационных панелей частного кластера AWS OpenSearch, работающего в VPC
Я хотел бы настроить единый вход для Kibana с Azure Active Directory в качестве поставщика удостоверений и встроенным методом проверки подлинности SAML, который предоставляет OpenSearch.
Однако кластер OpenSearch работает в частных подсетях и не является общедоступным. Это кажется невозможным, потому что конечная точка кластера разрешает частные IP-адреса:
$ dig +short vpc-<cluster-id>.<region>.es.amazonaws.com
10.0.52.81
10.0.52.13
10.0.52.41
Экспериментируя, я заметил , что частный кластер VPC также DNS доступно с « Search- » префиксы и решает общественные изобрами:
$ dig +short search-<cluster-id>.<region>.es.amazonaws.com
54.a.b.227
13.c.d.158
13.e.f.17
В документации не говорится прямо, что метод проверки подлинности SAML недоступен, если кластер находится в частной подсети.
Кто-нибудь сталкивался с такой проблемой?
1 ответ
SAML не требует прямой связи между поставщиком удостоверений и поставщиком услуг, что является отличным преимуществом его использования для единого входа. Это означает, что даже если ваше приложение ElasticSearch/OpenSearch размещено в частном VPC, вы все равно можете использовать SAML, если ваш браузер может взаимодействовать как с вашим кластером ElasticSearch, так и с вашим IdentityProvider. По сути, ваш браузер действует как посредник между вашим поставщиком идентификационной информации и вашим поставщиком услуг.
У Okta есть хорошее описание того, как это работает: https://developer.okta.com/docs/concepts/saml/#planning-for-saml
Результатом этого является то, что, опять же, ваш поставщик удостоверений и поставщик услуг не требуют подключения друг к другу, поэтому нет особых соображений по использованию SAML в частной подсети, а не в общедоступной.