[comment]: # ({c072fc2a-e4f1d565})
# 10 Configuració de SAML amb Microsoft Entra ID

[comment]: # ({/c072fc2a-e4f1d565})

[comment]: # ({8babfe4a-a0a53862})
#### Vista general

Aquesta secció ofereix directrius per configurar l'inici de sessió únic i el subministrament d'usuaris a Zabbix
des de Microsoft Entra ID (abans Microsoft Azure Active Directory) mitjançant l'autenticació SAML 2.0.

[comment]: # ({/8babfe4a-a0a53862})

[comment]: # ({b4d9f9a1-e67fa93a})
#### Configuració de Microsoft Entra ID

[comment]: # ({/b4d9f9a1-e67fa93a})

[comment]: # ({b07cb90f-a1dfbfbb})

##### Crear aplicació

1\. Inicieu sessió al vostre compte de [Microsoft entra ID](https://entra.microsoft.com). Amb finalitats de prova, podeu crear un compte de prova de franc a Microsoft Azure.

2\. Al centre d'administració de Microsoft Entra, trieu *Aplicacions* -> *Aplicacions empresarials* -> *Afegir una aplicació nova* -> *Creeu la vostra pròpia aplicació*.

3\. Afegiu el nom de la vostra aplicació i trieu l'opció *Integra qualsevol altra aplicació...*. Després d'això, feu clic a *Crear*.

![](../../../../assets/en/manual/appendix/install/entra_create_app.png)

[comment]: # ({/b07cb90f-a1dfbfbb})

[comment]: # ({70c506a8-735ad315})

##### Configuració de l'inici de sessió únic (single sign-on)

1\. A la pàgina de la vostra aplicació, aneu a *Configurar l'inici de sessió únic* i feu clic a *Comença*. A continuació, seleccioneu *SAML*.

2\. Editeu *Configuració bàsica de SAML*:

- A *Identificador (ID d'entitat)*, establiu un nom únic per identificar la vostra aplicació a Entre ID Active Directory, per exemple, `zabbix`;
- A *Reply URL (Assertion Consumer Service URL)* establiu el punt final d'inici de sessió únic de Zabbix: `https://<zabbix-instance-url>/zabbix/index_sso.php?acs`:

![](../../../../assets/en/manual/appendix/install/entra_basic_saml.png){width="600"}

Tingueu en compte que aquest camp requereix "https". Perquè això funcioni amb Zabbix, cal afegir a `conf/zabbix.conf.php` la línia següent:

```
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
```

3\. Editeu *Atributs i reclamacions*. Heu d'afegir tots els atributs que vulgueu passar a Zabbix (nom_usuari, cognom_usuari, correu electrònic_usuari, mòbil_usuari, grups).

Els noms dels atributs són arbitraris. Es poden emprar diferents noms d'atributs, però cal que coincideixin amb el valor del camp respectiu a la configuració de Zabbix SAML.

- Feu clic a *Afegeix una nova reclamació* per afegir un atribut:

![](../../../../assets/en/manual/appendix/install/entra_claim.png)

- Feu clic a *Afegir una reclamació de grup* per afegir un atribut per passar grups a Zabbix:

![](../../../../assets/en/manual/appendix/install/entra_claim_group.png)

4\. A *SAML Certificates*, descarregueu el certificat proporcionat per Entra ID i col·loqueu-lo a `conf/certs` de la instal·lació de la interfície Zabbix.

Establiu-hi permisos 664 executant:

     chmod 644 entra.cer

Assegureu-vos que `conf/zabbix.conf.php` contingui la línia:

```
$SSO['IDP_CERT'] = 'conf/certs/entra.cer';
```

5\. Empreu els valors de *Configurar <nom de l'aplicació>* a Entra ID per configurar l'autenticació SAML de Zabbix (vegeu la secció següent):

![](../../../../assets/en/manual/appendix/install/entra_sso_settings.png){width="550"}

[comment]: # ({/70c506a8-735ad315})

[comment]: # ({e0a5dfda-3cfedb12})
#### Configuració de Zabbix

1\. A Zabbix, aneu a [Configuració SAML](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix)
i ompliu les opcions de configuració basades en la configuració d'Entra ID:

![](../../../../assets/en/manual/appendix/install/entra_zabbix_conf.png){width="600"}

|Camp Zabbix|Camp de configuració a Entra ID|Valor de mostra|
|----|----|--|
|*Identificador d'entitat d'IdP*|Identificador d'Entra||
|*URL del servei SSO*|URL d'inici de sessió||
|*URL del servei SLO*|URL de tancament||
|*Atribut nom d'usuari*|Atribut personalitzat (reclamació)|`email_usuari`|
|*Atribut del nom del grup*|Atribut personalitzat (reclamació)|`grups`|
|*Atribut del nom d'usuari*|Atribut personalitzat (reclamació)|`nom_usuari`|
|*Atribut del cognom de l'usuari*|Atribut personalitzat (reclamació)|`cognom_usuari`|

També és necessari per configurar l'assignació de grups d'usuaris. El mapatge de mitjans és opcional.

Feu clic a *Actualitzar* per desar aquesta configuració.

[comment]: # ({/e0a5dfda-3cfedb12})

[comment]: # ({f679b8b0-b35c1e16})

#### Aprovisionament d'usuaris SCIM

1\. A la pàgina de l'aplicació Entra ID, des del menú principal obriu la pàgina Aprovisionament. Feu clic a *Començar* i, a continuació, trieu Mode d'aprovisionament automàtic:

- A *Tenant URL*, establiu el valor següent: `https://<zabbix-instance-url>/zabbix/api_scim.php`
- A *Token secret*, introduïu un token de l'API Zabbix amb permisos de superadministrador.
- Feu clic a *Provar connexió* per veure si la connexió s'estableix.

![](../../../../assets/en/manual/appendix/install/entra_api_connection.png){width="550"}

Deseu la configuració.

2\. Ara podeu afegir tots els atributs que es passaran amb SCIM a Zabbix. Per fer-ho, feu clic a *Mapatges* i després a *Aprovisionar usuaris d'Entra Active Directory*.

![](../../../../assets/en/manual/appendix/install/entra_scim_mappings_add.png){width="550"}

A la part inferior de la llista de mapatge d'atributs, activeu *Veure les opcions avançades* i feu clic a *Editar la llista d'atributs per a customappsso*.

A la part inferior de la llista d'atributs, afegiu els vostres propis atributs de tipus "Cadena":

![](../../../../assets/en/manual/appendix/install/entra_scim_attrib.png){width="550"}

Deseu la llista.

3\. Ara podeu afegir mapes per als atributs afegits. A la part inferior de la llista de mapes d'atributs, feu clic a *Afegir un mapa nou* i creeu mapes tal com es mostra a continuació:

![](../../../../assets/en/manual/appendix/install/entra_scim_mapping.png){width="550"}

Quan s'afegeixin tots els mapes, deseu la llista de mapes.

![](../../../../assets/en/manual/appendix/install/entra_scim_mappings.png){width="550"}

4\. Com a requisit previ per a l'aprovisionament d'usuaris a Zabbix, heu de tindre usuaris i grups configurats a Entra.

Per fer-ho, trieu *Entra Active Directory* al menú principal d'Azure (veieu la part superior esquerra de la pantalla) i, a continuació, afegiu usuaris/grups a les pàgines d'usuaris i grups respectius.

5\. Quan s'hagin creat usuaris i grups a Entra AD, podeu anar al menú *Usuaris i grups* de la vostra aplicació i afegir-los a l'aplicació.

6\. Aneu al menú *Aprovisionament* de la vostra aplicació i feu clic a *Començar l'aprovisionament* perquè els usuaris s'aprovisionin a Zabbix.

Tingueu en compte que la petició de PATCH d'usuaris a Entra no admet els canvis als suports.

[comment]: # ({/f679b8b0-b35c1e16})