База знаний
Войти

Интеграция с РОСА Менеджер ресурсов

Настоящий раздел описывает интеграцию Комплекса с программным средством "Платформа управления гибридной ИТ-инфраструктурой "РОСА Менеджер ресурсов" (далее — РОСА Менеджер ресурсов).

Сквозная авторизация через SSO (Kerberos)

Оба программных продукта поддерживают внешнюю аутентификацию пользователей с использованием службы каталогов на базе FreeIPA/СИПА, включая реализацию механизма единого входа (SSO) на основе протокола Kerberos.

Для обеспечения сквозной авторизации необходимо выполнить следующие условия:

  1. Оба продукта должны быть настроены на работу с одним и тем же доменом СИПА.

В РОСА Центр Управления настройка внешней аутентификации выполняется в разделе "Управление → Источники аутентификации" с типом FreeIPA (подробнее ).

В РОСА Менеджер ресурсов настройка внешней аутентификации выполняется в разделе "Параметры → Параметры приложения → Сервер → Аутентификация", где выбирается режим "Внешняя (httpd)" (подробнее).

  1. Веб-серверы обоих продуктов должны быть корректно интегрированы с Kerberos, для чего требуется:
  • настроить доверенные SPN (Service Principal Names) для HTTP-сервисов;
  • развернуть на серверах обоих продуктов сертификаты и ключи Kerberos в соответствии с требованиями домена СИПА;
  • обеспечить синхронизацию времени на всех узлах с NTP-сервером домена.
  1. Группы пользователей должны быть сопоставлены между продуктами.

Рекомендуется использовать одинаковые имена групп и ролей в обоих продуктах. Группы из СИПА должны быть привязаны к соответствующим ролям:

  • в РОСА Центр Управления — через механизм внешних групп пользователей (подробнее );
  • в РОСА Менеджер ресурсов — через раздел "Параметры → Управление доступом → Группы" (подробнее ).

После выполнения указанных условий пользователь, прошедший аутентификацию в одном из продуктов, получает доступ к другому продукту без повторного ввода учетных данных при условии, что его браузер поддерживает передачу билетов Kerberos (например, настроена доверенная зона в браузере).

Переход между интерфейсами

При корректной настройке SSO обеспечивается возможность прямого перехода между веб-интерфейсами РОСА Центр Управления и РОСА Менеджер ресурсов:

  • из интерфейса РОСА Центр Управления можно перейти к информации о соответствующем узле или виртуальной машине в РОСА Менеджер ресурсов, если объект зарегистрирован в обоих продуктах;
  • из интерфейса РОСА Менеджер ресурсов можно перейти к странице управления узлом в РОСА Центр Управления, если узел введён в домен СИПА и известен Комплексу.

Для корректной работы переходов необходимо, чтобы:

  • оба продукта были доступны по FQDN-именам из браузера пользователя;
  • в настройках обоих продуктов были указаны корректные URL-адреса друг друга:
    • в РОСА Менеджер ресурсов — через параметр "Настраиваемый URL поддержки" (подробнее );
    • в РОСА Центр Управления — через параметры внешних ссылок в шаблонах или профилях.

Таким образом, при соблюдении указанных требований достигается единый контур управления, позволяющий администратору использовать оба продукта как интегрированное решение для управления гибридной ИТ-инфраструктурой.