[comment]: # ({28802075-11206317})
# 11 Configuració de SAML amb Microsoft Entra ID

[comment]: # ({/28802075-11206317})

[comment]: # ({375b74d6-d1a8a2fc})

#### Vista general

Aquesta secció proporciona directrius per configurar l'inici de sessió únic a Zabbix
des del Microsoft Entra ID (anteriorment Microsoft Azure Active Directory) mitjançant l'autenticació SAML 2.0.

Tingueu en compte que perquè l'inici de sessió únic funcioni, el nom d'usuari ha d'existir a Zabbix; tanmateix, no s'utilitzarà pas el mot de pas de Zabbix. Si l'autenticació té èxit, Zabbix farà coincidir un nom d'usuari local amb l'atribut de nom d'usuari retornat per SAML.

[comment]: # ({/375b74d6-d1a8a2fc})

[comment]: # ({b4d9f9a1-ed685e3c})
#### Configuració de Microsoft Entra ID

[comment]: # ({/b4d9f9a1-ed685e3c})

[comment]: # ({42f21e5b-440025da})

##### Crear aplicació

1\. Inicieu sessió al centre d'administració de Microsoft Entra, a [Microsoft Entra ID](https://entra.microsoft.com). Amb finalitats de prova, podeu crear un compte de prova de franc a Microsoft Entra ID.

2\. Al centre d'administració de Microsoft Entra, trieu *Aplicacions* -> *Aplicacions empresarials* -> *Afegir una aplicació nova* -> *Creeu la vostra pròpia aplicació*.

3\. Afegiu el nom de la vostra aplicació i trieu l'opció *Integra qualsevol altra aplicació...*. Després d'això, feu clic a *Crear*.

![](../../../../assets/en/manual/appendix/install/entra_create_app.png){width="550"}

[comment]: # ({/42f21e5b-440025da})

[comment]: # ({86fef1ed-82aca309})

##### Configuració de l'inici de sessió únic

1\. A la pàgina de l'aplicació, aneu a *Configuració de l'inici de sessió únic* i feu clic a *Començar*. Tot seguit, trieu *SAML*.

2\. Editeu la *Configuració bàsica de SAML*:

- A *Identificador (ID d'entitat)* definiu un nom únic per identificar la vostra aplicació amb l'ID de Microsoft Entra, per exemple, `zabbix`;

- A *URL de resposta (URL del servei de consum d'asserció)* definiu el punt final de l'inici de sessió únic de Zabbix: `https://<camí-a-la-ui-de-zabbix>/index_sso.php?acs`:

![](../../../../assets/en/manual/appendix/install/entra_basic_saml.png){width="600"}

Tingueu en compte que cal "https". Perquè això funcioni amb Zabbix, cal afegir a `conf/zabbix.conf.php` la següent línia:

```
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
```

3\. Editeu *Atributs i reclamacions*. Heu d'afegir l'atribut de nom d'usuari que voleu passar a Zabbix (`user_email`, en aquest cas).
\
Els noms dels atributs són arbitraris. Es poden utilitzar noms d'atributs diferents, però cal que coincideixin amb el valor del camp respectiu a la configuració SAML de Zabbix.

- Feu clic a *Afegeix una nova reclamació* per afegir un atribut:

![](../../../../assets/en/manual/appendix/install/azure_claim.png)

4\. A *Certificats SAML*, descarregueu el certificat Base64 proporcionat per Entra ID i col·loqueu-lo a `conf/certs` de la instal·lació del frontend de Zabbix.

Establiu-hi permisos 644 executant:

chmod 644 entra.cer

Assegureu-vos que `conf/zabbix.conf.php` contingui la línia:

```
$SSO['IDP_CERT'] = 'conf/certs/entra.cer';
```

5\. Utilitzeu els valors de *Configura <nom de la vostra aplicació>* a Entra ID per configurar l'autenticació SAML de Zabbix (veieu la secció següent):

![](../../../../assets/en/manual/appendix/install/entra_sso_settings.png){width="550"}

[comment]: # ({/86fef1ed-82aca309})

[comment]: # ({29ded936-b1c1c877})
#### Configuració de Zabbix

1\. A Zabbix, aneu a [Configuració SAML](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix)
i ompliu les opcions de configuració basades en la configuració d'Entra ID:

![](../../../../assets/en/manual/appendix/install/entra_zabbix_conf.png){width="600"}

|Camp Zabbix|Camp de configuració a Entra ID|Valor de mostra|
|----|----|--|
|*Identificador d'entitat d'IdP*|Identificador d'Entra| |
|*URL del servei SSO*|URL d'inici de sessió| |
|*URL del servei SLO*|URL de tancament| |
|*SP entity ID*|Identificador (ID d'entitat)| |
|*Atribut nom d'usuari*|Atribut personalitzat (reclamació)|`email_usuari`|

Feu clic a *Actualitzar* per desar aquesta configuració.

[comment]: # ({/29ded936-b1c1c877})

[comment]: # ({c0cb36b9-389c9019})

#### Signatura de peticions d'autenticació

És possible configurar l'ID d'Entra per [validar la signatura](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) de les peticions d'autenticació signades.

Perquè això funcioni, creeu claus públiques/privades:

```bash
openssl req -x509 -newkey rsa:4096 -keyout /usr/share/zabbix/conf/certs/request-sign.key -out /usr/share/zabbix/conf/certs/request-sign.pem -sha256 -days 1825 -nodes
```

Assigneu permisos:

```bash
chown apache /usr/share/zabbix/conf/certs/request-sign.key 
chmod 400 /usr/share/zabbix/conf/certs/request-sign.key
```

Actualitzeu la configuració de la interfície de Zabbix afegint:

```php
$SSO['SP_KEY'] = 'conf/certs/request-sign.key';
$SSO['SP_CERT'] = 'conf/certs/request-sign.crt';
```

[comment]: # ({/c0cb36b9-389c9019})

[comment]: # ({612478ad-95037e87})

#### Resolució de problemes

Poden produir-se problemes d'autenticació amb els navegadors MicroSoft Edge quan un usuari que prova iniciar sessió a Zabbix mitjançant SAML ja ha iniciat sessió amb el perfil de MicroSoft Edge. Com a senyal d'aquest problema, l'usuari pot iniciar sessió a Zabbix amb MicroSoft Edge en mode privat.

Per evitar problemes d'autenticació en aquest cas, pot ser necessari definir `requestedAuthnContext` a "false" al fitxer de configuració del frontend de Zabbix (*zabbix.conf.php*).

```php
$SSO['SETTINGS'] = [
'security' => [
'requestedAuthnContext' => false
]
];
```

[comment]: # ({/612478ad-95037e87})