Wazuh 4.12.0 Alpha 1版本SAML单点登录功能深度解析

概述

Wazuh作为一款开源的安全监控平台，在4.12.0 Alpha 1版本中增强了其单点登录(SAML SSO)功能。本文将详细介绍如何在该版本中配置和使用SAML SSO功能，包括与Okta和Microsoft Entra ID(原Azure AD)的集成。

环境准备

在开始配置SAML SSO前，需要确保已正确部署Wazuh环境：

1. 核心组件：包括Wazuh索引器、服务器和仪表盘，推荐使用CentOS 8系统
2. 代理节点：可选择Fedora 41等系统部署Wazuh代理
3. 网络配置：确保各组件间网络连通，特别是HTTPS端口(默认443)

Microsoft Entra ID集成配置

应用注册与角色配置

1. 在Entra ID中创建新应用注册
2. 定义两种应用角色：
   • Admin角色：拥有完全管理权限
   • Read-only角色：仅具备查看权限
3. 为用户分配相应角色

Wazuh索引器配置

1. 修改/etc/wazuh-indexer/opensearch-security/config.yml文件，添加SAML认证域
2. 配置身份提供商(IdP)元数据URL和实体ID
3. 设置服务提供商(SP)实体ID和角色键
4. 执行securityadmin.sh脚本应用配置变更

角色映射配置

1. 编辑/etc/wazuh-indexer/opensearch-security/roles_mapping.yml文件
2. 将Entra ID中的角色映射到Wazuh内部角色
3. 再次执行securityadmin.sh脚本使映射生效

仪表盘配置

1. 修改/etc/wazuh-dashboard/opensearch_dashboards.yml文件
2. 启用SAML认证类型
3. 配置XSFR保护白名单
4. 重启Wazuh仪表盘服务

Okta集成配置

Okta应用配置

1. 在Okta中创建用户和组：
   • 管理员用户组(wazuh-admins)
   • 只读用户组(wazuh-readonly)
2. 创建SAML 2.0应用
3. 配置单点登录URL和受众URI
4. 配置属性声明(特别是角色属性)

Wazuh索引器配置

1. 更新config.yml文件中的SAML配置部分
2. 设置Okta提供的元数据URL和实体ID
3. 执行安全管理员脚本应用配置

角色映射

1. 在roles_mapping.yml中定义Okta组到Wazuh角色的映射
   • wazuh-admins组映射到all_access角色
   • wazuh-readonly组映射到只读角色
2. 应用角色映射配置

功能验证

完成配置后，可通过以下方式验证SAML SSO功能：

1. 管理员登录：使用具有Admin角色的账号登录，应能访问所有功能
2. 只读用户登录：使用只读角色账号登录，应只能查看数据不能修改
3. 权限验证：检查各角色是否只能执行其权限范围内的操作

最佳实践

1. 证书管理：确保证书有效且安全存储
2. 角色设计：遵循最小权限原则设计角色
3. 日志监控：监控SAML登录日志以发现异常行为
4. 备份配置：在修改关键配置文件前进行备份

总结

Wazuh 4.12.0 Alpha 1的SAML SSO功能为企业用户提供了更安全、便捷的身份验证方式。通过与主流身份提供商如Microsoft Entra ID和Okta的集成，企业可以充分利用现有的身份管理系统，同时满足安全合规要求。本文详细介绍了配置流程和注意事项，为管理员实施该功能提供了全面指导。