配置 Amazon OpenSearch Serverless 与 Keycloak 的 SAML

配置 Amazon OpenSearch Serverless 和 Keycloak 的 SAML 联邦

作者:Arpad Csoke | 发布日期:2024年7月24日
在 中,[中级 (200)](https://aws.amazon.com/blogs/big-data/category/learning- levels/intermediate-200/),


关键点总结

  • Amazon OpenSearch Serverless 是一种无服务器的完整托管搜索和分析平台。
  • 本文介绍了如何使用 Keycloak 作为身份提供者 (IdP) 配置 SAML 认证,以控制对公共 OpenSearch Dashboards 的访问。
  • 了解 SAML 认证后,用户可以通过单一的凭证访问多个应用程序,从而提高用户体验。

Amazon OpenSearch Serverless 是 的一种无服务器版本,区域能够以 PB级别进行搜索和分析工作,而无需管理底层的 OpenSearch 集群。OpenSearch Serverless 支持高达 30TB的时间序列数据。每次创建集合时,系统会自动提供 OpenSearch Dashboards 的安装。

网络配置

OpenSearch Serverless集合的网络配置控制了集合的网络访问方式。您可以选择将集合公开于互联网,允许来自任何网络的访问,或者将其访问限制为仅通过 OpenSearchServerless 管理的 虚拟私有云 (VPC) 端点进行私密访问。此网络访问设置可以单独定义,用于集合的 OpenSearch 端点(用于数据操作)及其对应的 OpenSearch Dashboards端点(用于数据可视化和分析)。在本篇文章中,我们将讨论一个公共可访问的 OpenSearch Serverless 集合。

SAML 认证

SAML 允许用户通过一组凭证访问多个应用程序或服务,从而消除了为每个应用程序或服务单独登录的需要。这不仅提高了用户体验,还减少了管理多个凭证的负担。我们为 OpenSearch Serverless 提供了 ,通过此功能,您可以使用现有的身份提供者 (IdP) 为 OpenSearch Dashboards 端点提供单一登录 (SSO)。OpenSearch Serverless 支持符合 SAML 2.0 标准的 IdP,包括 AWS IAM 身份中心、Okta、Keycloak、Active Directory 联合身份验证服务 (AD FS) 和 Auth0。这一 SAML 认证机制仅用于通过网络浏览器访问 OpenSearch Dashboards 界面。

在本篇文章中,我们将向您展示如何配置 SAML 认证,以控制对公共 OpenSearch Dashboards 的访问。

解决方案概述

以下是一个示例架构图,展示了允许用户使用 Keycloak 进行 SSO 身份验证的 OpenSearch Dashboards。

删除)

登录流程

登录流程包括以下步骤:

  1. 用户在浏览器中访问 OpenSearch Dashboards,并从列表中选择身份提供者。
  2. OpenSearch Serverless 生成一个 SAML 认证请求。
  3. OpenSearch Service 将请求重定向回浏览器。
  4. 浏览器将用户重定向到所选择的 IdP(Keycloak)。Keycloak 提供一个登录页面,用户可以在此输入登录凭证。
  5. 如果认证成功,Keycloak 将 SAML 响应返回给浏览器。
  6. SAML 声明被发送回 OpenSearch Serverless。
  7. OpenSearch Serverless 验证 SAML 声明,并将用户登录到 OpenSearch Dashboards。

前提条件

开始之前,您需要具备以下前提条件:

  1. 一个正在运行的 OpenSearch Serverless 集合
  2. 一个运行正常的 Keycloak 服务器(在本地或云端)
  3. 配置 SAML 认证在 OpenSearch Serverless 中所需的 AWS 身份与访问管理 (IAM) 权限:
    • aoss:CreateSecurityConfig – 创建 SAML 提供者。
    • aoss:ListSecurityConfig – 列出当前账户中的所有 SAML 提供者。
    • aoss:GetSecurityConfig – 查看 SAML 提供者信息。
    • aoss:UpdateSecurityConfig – 修改给定 SAML 提供者的配置,包括 XML 元数据。
    • aoss:DeleteSecurityConfig – 删除 SAML 提供者。

在 Keycloak 中创建和配置客户端

完成以下步骤以创建 Keycloak 客户端:

  1. 登录您的 Keycloak 管理页面。
  2. 在导航面板中选择 客户端 。 删除)
  3. 客户端类型 中选择 SAML
  4. 客户端ID 中输入 aws:opensearch:AWS_ACCOUNT_ID,其中 AWS_ACCOUNT_ID 是您的 AWS 账户 ID。
  5. 为您的客户端输入名称和描述。 删除)
  6. 有效重定向 URI 中,输入断言消费者服务 (ACS) 的地址,其中 REGION 是您创建 OpenSearch Serverless 集合的 AWS 区域。
  7. 主 SAML 处理 URL 中,输入前面的 ACS 地址。 删除)

删除)

删除)

创建 SAML 提供者

当您的 OpenSearch Serverless 集合处于活动状态时,您需要创建 SAML 提供者。此 SAML提供者可以分配给同一区域中的任何集合。完成以下步骤:

  1. 在 OpenSearch Service 控制台中,导航到 无服务器 ,在左侧菜单中选择 安全 下的 SAML 认证 。 删除)
  2. 输入您的 SAML 提供者的名称和描述。

删除)

  1. 附加设置 下,您可以选择性地添加自定义用户 ID 和组属性(本示例中我们将其留空)。

删除)

您现在已经为 OpenSearch Serverless 配置了 SAML 提供者。接下来,您需要配置数据访问策略,以便用户能够访问集合。

创建数据访问策略

在配置 SAML 提供者后,您需要为 OpenSearch Serverless 创建数据访问策略,以允许用户访问。

  1. 在 OpenSearch Service 控制台中,导航到 无服务器 ,在左侧菜单中选择 安全 下的 数据访问策略 。 删除)
  2. 输入访问策略的名称和可选描述。

删除)

  1. 对于 规则名称 ,输入一个名称。

删除)

  1. 对于 SAML 提供者名称 ,选择之前创建的提供者。

删除)

删除)

  1. 选择 保存
  2. 选择 授予 为资源授予权限。
  3. 授予资源和权限 部分,您可以指定希望为给定用户在集合级别和索引模式级别提供的访问权限。
    有关如何为用户设置更细粒度的访问权限的更多信息,请参考 和 。

删除)

  1. 如果需要,您可以创建其他规则。

删除)

现在,您已创建数据访问策略,允许用户访问 OpenSearch Dashboards 并执行允许的操作。

访问 OpenSearch Dashboards

完成以下步骤以登录 OpenSearch Dashboards:

  1. 在 OpenSearch Service 控制台中,导航到 无服务器 ,在左侧菜单中选择 仪表盘 。 删除)

这会在新浏览器标签页中打开 OpenSearch 登录页面。

删除) 您将被重定向到 Keycloak 的登录页面。

删除)

成功登录后,您将被重定向到 OpenSearch Dashboards,可以执行数据访问策略允许的操作。

您已经成功将 OpenSearch Dashboards 与 Keycloak 进行联邦集成。

清理工作

当您完成该解决方案后,如果不再需要所创建的资源,请删除它们。

  1. 删除您的 OpenSearch Serverless 集合。
  2. 删除您的数据访问策略。
  3. 删除 SAML 提供者。

结论

在本文中,我们演示了如何设置 Keycloak 作为 IdP 以使用 SAML 认证访问 OpenSearch Serverless仪表板。欲了解更多详情,请参考 。


关于作者

删除)ArpadCsoke** 是亚马逊网络服务的解决方案架构师。他的职责包括帮助大型企业客户了解和利用 AWS 环境,作为技术顾问为他们解决问题。

Leave a Reply

Required fields are marked *