[comment]: # ({2b789eb7-e09cf279})
# 12 Configuració de SAML amb Okta

Aquesta secció descriu com configurar [Okta](https://okta.com) per activar l'autenticació SAML 2.0 i aprovisionament d'usuaris per Zabbix. 

[comment]: # ({/2b789eb7-e09cf279})

[comment]: # ({9295c91d-c8df5f13})
#### Configuració d'Okta

1\. Aneu a <https://okta.com> i enregistreu-vos o connecteu-vos al vostre compte.

2\. A la interfície Web d'Okta, accediu a *Aplicacions → Aplicacions*.

3\. Premeu el botó "Crear una nova aplicació".

(![](../../../../assets/en/manual/appendix/install/okta_create_app.png)).

Trieu SAML 2.0 com a mètode de connexió i premeu el botó *Següent*.

![](../../../../assets/en/manual/appendix/install/okta_app1.png){width="600"}

4\. Ompliu els camps de la pestanya *Paràmetres generals* i premeu *Next*.

5\. A la pestanya *Configurar SAML*, entreu els valors que hi ha aquí sota, i després premeu *Next*.

![](../../../../assets/en/manual/appendix/install/okta_app_conf.png){width="600"}

-   A la secció **Generl** :
    -  *URL d'autenticació única*:
     `http://<vostra-url-zabbix>/zabbix/index/_sso.php?acs`<br>
    Veieu que emprem "http" i no pas "https", doncs el paràmetre `acs` no es retalla a la petició. La casella *Empreu aquesta URL com a Origen i Destí*.
    -   *Audiència URI (SP Entity ID)*: `zabbix`<br>
        Veieu que aquest valor s'emprarà a l'asserció SAML com a únic identificador de proveïdor del servei (si no es correspon pas, la operació serà rebutjada). És possible especificar una URL o tota una cadena de dades en aquest camp.
    -   *Default RelayState*:<br>
        Deixeu aquest camp buit; si es demana una redirecció personal, es pot afegir a Zabbix als paràmetres *Usuaris → Usuaris*.
    -   Ompliu els altres camps segons les vostres preferències.

- A **Declaracions d'atributs/Declaracions d'atributs de grup**, afegiu-hi:

![](../../../../assets/en/manual/appendix/install/okta_app2.png)

Aquestes declaracions d'atributs s'insereixen a les afirmacions SAML compartides amb Zabbix.

Si voleu configurar l'inici de sessió SAML a Zabbix *sense* subministrament d'usuaris JIT, només cal l'atribut de correu electrònic.

::: noteclassic
 Si voleu emprar una connexió xifrada, genereu els certificats de xifrat privats i públics, i pugeu el públic a Okta. El formulari de càrrega de certificat apareix quan *Xifrat d'asserció* s'estableix a Xifrat (cliqueu a *Veure paràmetres avançats* per trobar aquest paràmetres).
:::

6\. A la pestanya següent, trieu "sóc un editor de programari. Vull integrar la meva aplicació amb Okta" i premeu "Acabar".

7\. Ara, accediu a la pestanya *Assignacions* i premeu el botó "Assignar", després trieu "Assignar a persones" al menú desplegable.

![](../../../../assets/en/manual/appendix/install/okta_app_assign.png)

8\. A una finestra contextual que apareixerà, assigneu l'aplicació creada a les persones que emprearan SAML 2.0 per autenticar amb Zabbix, i després premeu "Registrar i anar enrere".

9\. Accediu a la pestanya "Connexió" i premeu el botó "Afegir les instruccions de configuració". Les instruccions de configuració s'afegiran a una nova pestanya: deseu aquesta pestanya oberta mentre configureu Zabbix.

Les **instruccions** de configuració s'obriran en una pestanya nova; mantingueu aquesta pestanya oberta mentre configureu Zabbix.

[comment]: # ({/9295c91d-c8df5f13})

[comment]: # ({940784da-bdad4ea8})
#### Configuració de Zabbix
1\. A Zabbix, aneu a [Configuració SAML](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix)
i ompliu les opcions de configuració basades en la configuració d'Okta:

![](../../../../assets/en/manual/appendix/install/okta_zabbix_saml.png){width="600"}

|Camp Zabbix|Camp de configuració a Okta|Valor de mostra|
|----|----|--|
|*ID de l'entitat d'IdP*|Emissor del proveïdor d'identitat||
|*URL del servei SSO*|URL d'inici de sessió únic del proveïdor d'identitat||
|*Atribut del nom d'usuari*|Nom de l'atribut|`usrEmail`|
|*ID d'entitat SP*|URI del públic|`zabbix`|
|*Atribut del nom del grup*|Nom de l'atribut|`grups`|
|*Atribut del nom d'usuari*|Nom de l'atribut|`nom_usuari`|
|*Atribut del cognom de l'usuari*|Nom de l'atribut|`cognom_usuari`|

També és necessari per configurar el grup d'usuaris i l'assignació de mitjans.

2\. Baixeu el certificat proporcionat a les instruccions de configuració d'Okta SAML a la carpeta *ui/conf/certs* com a idp.crt.

Establiu-hi permisos 664 executant:

     chmod 644 idp.crt

3\. Si *Assertion Encryption* s'ha establert com a "Encriptat" a Okta, la casella de selecció "Assercions" del paràmetre *Encriptar* hauria d'ésser marcada a Zabbix, també.

4\. Premeu el botó "Actualitzar" per desar aquesta configuració.

[comment]: # ({/940784da-bdad4ea8})

[comment]: # ({87d78e73-ff17ddca})

#### Aprovisionament SCIM

1\. Per activar l'aprovisionament SCIM, aneu a "General" -> "Configuració de l'aplicació" de l'aplicació a Okta.

Marqueu la casella de selecció *Activar l'aprovisionament SCIM*. Com a resultat, apareix una nova pestanya *Aprovisionament*.

2\. Aneu a la pestanya "Aprovisionament" per configurar una connexió SCIM:

- A *URL base del connector SCIM* especifiqueu el camí a la interfície Zabbix i afegiu-hi `api_scim.php`, és a dir:<br>
     `https://<your-zabbix-url>/zabbix/api_scim.php`
- *Camp identificador únic per als usuaris*: `email`
- *Mode d'autenticació*: `Capçalera HTTP`
- A *Autorització* introduïu un testimoni d'API vàlid amb drets de superadministrador

![](../../../../assets/en/manual/appendix/install/okta_scim_conn.png){width="600"}

::: noteimportant
Si teniu problemes d'autenticació, veieu [reenviament de capçaleres d'autorització](/manual/installation/known_issues#authorization-header-forwarding).
:::

3\. Feu clic a *Provar la configuració del connector* per provar la connexió. Si tot és correcte, es veurà un missatge exitós.

4\. A "Aprovisionament" -> "A l'aplicació", assegureu-vos de marcar les caselles de selecció següents:

- Crear usuaris
- Actualitzar els atributs d'usuari
- Desactivar usuaris

Això assegurarà que aquests tipus de petició s'enviaran a Zabbix.

5\. Assegureu-vos que tots els atributs definits a SAML siguin definits a SCIM. Podeu accedir a l'editor de perfils de la vostra aplicació a "Aprovisionament" -> "A l'aplicació", fent clic a *Anar a l'Editor de perfils*.

Feu clic a *Afegir un atribut*. Ompliu els valors de *Nom visible*, *Nom de la variable*, *Nom extern* amb el nom d'atribut SAML, per exemple, `nom_usuari`.

![](../../../../assets/en/manual/appendix/install/okta_add_attr.png)

*L'espai de noms extern* hauria de ser el mateix que l'esquema d'usuari: `urn:ietf:params:scim:schemas:core:2.0:User`

6\. Aneu a "Aprovisionament" -> "A l'aplicació" -> "Assignacions d'atributs" de la vostra aplicació. Feu clic a *Veure els atributs no assignats* a la part inferior. Apareixen els nous atributs afegits.

7\. Assignar cada atribut afegit.

![](../../../../assets/en/manual/appendix/install/okta_map_attr.png)

8\. Afegir usuaris a la pestanya "Tasques". Els usuaris prèviament s'han d'afegir a *Directori* -> *Persones*. Totes aquestes tasques s'enviaran com a peticions a Zabbix.

9\. Afegiu grups a la pestanya "Push Groups". El patró de mapatge del grup d'usuaris a la configuració de Zabbix SAML ha de coincidir amb un grup especificat aquí. Si no hi ha cap coincidència, l'usuari no es pot crear a Zabbix.

La informació sobre els membres del grup s'envia cada vegada que es fa algun canvi.

[comment]: # ({/87d78e73-ff17ddca})