Überblick
The uipathctl.sh
script is required to enable SSO authentication. For more details on the script and the parameters you need to use, see Using uipathctl.sh.
Vorbereiten der Konfigurationsdateien
Sie müssen die RBAC-Datei und die Connector-Datei generieren, bevor Sie SSO für ArgoCD aktivieren.
Die RBAC-Datei
The RBAC file contains access rules. For details on the built-in role definitions, see ArgoCD documentation. For details on the ArgoCD account types and their permissions, see Managing the cluster in ArgoCD. We recommend using these roles when defining your groups, but you can create your own set of permissions.
Konfigurieren der RBAC-Datei
- Erstellen Sie eine Datei mit dem Namen
policy.csv
, fügen Sie den folgenden Inhalt hinzu und speichern Sie die Datei:
p, role:uipath-sync, applications, get, */*, allow
p, role:uipath-sync, applications, sync, */*, allow
g, argocdro, role:uipath-sync
- Verknüpfen Sie Ihre RBAC-Gruppen mit der integrierten Administratorrolle und der schreibgeschützten UiPath -Rolle argocdro, indem Sie die folgenden Zeilen an die RBAC-Datei
policy.csv
anfügen:
g, <your_ldap_readonly_group_name>, role:uipath-sync
g, <your_ldap_admin_group_name>, role:admin
- Speichern Sie die aktualisierte
policy.csv
RBAC-Datei.
Beispiel:
Angenommen, Ihre LDAP-Gruppe für ArgoCD-Administratoren ist „Administratoren“ und die LDAP-Gruppe für schreibgeschützte ArgoCD-Benutzer ist „Readers“. Die RBAC-Datei sollte wie folgt lauten:
p, role:uipath-sync, applications, get, */*, allow
p, role:uipath-sync, applications, sync, */*, allow
g, argocdro, role:uipath-sync
g, Readers, role:uipath-sync
g, Administrators, role:admin
Für erweiterte Anwendungsfälle klicken Sie auf , um die Standard-RBAC-Datei anzuzeigen.
# Built-in policy which defines two roles: role:readonly and role:admin,
# and additionally assigns the admin user to the role:admin role.
# There are two policy formats:
# 1. Applications, logs, and exec (which belong to a project):
# p, <user/group>, <resource>, <action>, <project>/<object>
# 2. All other resources:
# p, <user/group>, <resource>, <action>, <object>
p, role:readonly, applications, get, */*, allow
p, role:readonly, certificates, get, *, allow
p, role:readonly, clusters, get, *, allow
p, role:readonly, repositories, get, *, allow
p, role:readonly, projects, get, *, allow
p, role:readonly, accounts, get, *, allow
p, role:readonly, gpgkeys, get, *, allow
p, role:readonly, logs, get, */*, allow
p, role:admin, applications, create, */*, allow
p, role:admin, applications, update, */*, allow
p, role:admin, applications, delete, */*, allow
p, role:admin, applications, sync, */*, allow
p, role:admin, applications, override, */*, allow
p, role:admin, applications, action/*, */*, allow
p, role:admin, applicationsets, get, */*, allow
p, role:admin, applicationsets, create, */*, allow
p, role:admin, applicationsets, update, */*, allow
p, role:admin, applicationsets, delete, */*, allow
p, role:admin, certificates, create, *, allow
p, role:admin, certificates, update, *, allow
p, role:admin, certificates, delete, *, allow
p, role:admin, clusters, create, *, allow
p, role:admin, clusters, update, *, allow
p, role:admin, clusters, delete, *, allow
p, role:admin, repositories, create, *, allow
p, role:admin, repositories, update, *, allow
p, role:admin, repositories, delete, *, allow
p, role:admin, projects, create, *, allow
p, role:admin, projects, update, *, allow
p, role:admin, projects, delete, *, allow
p, role:admin, accounts, update, *, allow
p, role:admin, gpgkeys, create, *, allow
p, role:admin, gpgkeys, delete, *, allow
p, role:admin, exec, create, */*, allow
g, role:admin, role:readonly
g, admin, role:admin
Die LDAP-Connector-Datei
Die LDAP-Connector-Datei enthält die LDAP-Parameter, die zum Konfigurieren von SSO für ArgoCD erforderlich sind.
Wenn Sie bereits über eine LDAP-Connector-Datei (
ldap_connector.yaml
) verfügen, fahren Sie mit Aktivieren des SSO für ArgoCD fort .
Führen Sie die folgenden Schritte aus, um SSO über LDAP zu konfigurieren:
- Generieren Sie die LDAP-Vorlagendatei, indem Sie den folgenden Befehl ausführen. Die Connector-Vorlagendatei wird in demselben Verzeichnis generiert, in dem Sie den Befehl ausführen.
./uipathctl.sh sso-generate-connector --sso-connector-type ldap --install-type [online|offline] --accept-license-agreement
- Kopieren Sie die Ausgabe, die bei
---
beginnt, und speichern Sie sie alsldap_connector.yaml
.
Klicken Sie hier, um ein Beispiel für eine openLDAP-Connector-Datei anzuzeigen.
---
type: ldap
# Required field for connector id.
id: ldap
# Required field for connector name.
name: OpenLDAP
config:
host: openldap:389
insecureNoSSL: true
startTLS: false
bindDN: cn=admin,dc=example,dc=org
bindPW: adminpassword
usernamePrompt: Email Address
userSearch:
baseDN: ou=People,dc=example,dc=org
filter: "(objectClass=person)"
username: mail
idAttr: DN
emailAttr: mail
nameAttr: cn
# Group search queries for groups given a user entry.
groupSearch:
baseDN: ou=Groups,dc=example,dc=org
filter: "(objectClass=groupOfNames)"
userMatchers:
- userAttr: DN
groupAttr: member
nameAttr: cn
Klicken Sie hier, um ein Beispiel für eine Active Directory-LDAP-Connectordatei anzuzeigen.
---
id: ldap
name: ActiveDirectory
type: ldap
config:
bindDN: cn=admin,cn=Users,dc=example,dc=local
bindPW: "<admins's password>"
groupSearch:
baseDN: dc=example,dc=local
filter: "(objectClass=group)"
nameAttr: cn
userMatchers:
- userAttr: distinguishedName
groupAttr: member
host: "ldaphost:389"
insecureNoSSL: true
insecureSkipVerify: true
startTLS: false
userSearch:
baseDN: cn=Users,dc=example,dc=local
emailAttr: userPrincipalName
filter: (objectClass=person)
idAttr: DN
nameAttr: cn
username: userPrincipalName
usernamePrompt: Email Address
- Aktualisieren Sie die LDAP-Connector-Datei mit den erforderlichen Informationen und speichern Sie sie. Wir empfehlen die Verwendung von LDAPS.
Aktivieren von SSO für ArgoCD
Nachdem Sie den RBAC und die Connector-Datei vorbereitet haben, können Sie SSO für ArgoCD aktivieren.
Verwenden von LDAP
Aktivieren Sie das SSO für ArgoCD, indem Sie den folgenden Befehl in dem Verzeichnis ausführen, in dem die Connector-Datei gespeichert ist:
./uipathctl.sh sso-apply-overlays --install-type [online|offline] --accept-license-agreement --sso-connector-file ldap_connector.yaml --sso-rbac-file policy.csv
Nachdem Sie den vorherigen Befehl ausgeführt haben, sollten Sie eine SSO-Anmeldeschaltfläche auf der ArgoCD-Anmeldeseite sehen. Geben Sie den Benutzernamen und das Kennwort Ihrer Unternehmensdomäne an.
Aktualisiert vor 4 Monaten