[comment]: # ({1d2b9c81-8f00730a})
# 12 Configuració de SAML amb OneLogin

[comment]: # ({/1d2b9c81-8f00730a})

[comment]: # ({b873fa12-11a4d77c})
#### Vista general

Aquesta secció ofereix directrius per configurar l'inici de sessió únic i el subministrament d'usuaris a Zabbix
des de [OneLogin](https://onelogin.com) mitjançant l'autenticació SAML 2.0.

[comment]: # ({/b873fa12-11a4d77c})

[comment]: # ({b1fbe677-c7a7ae6f})
#### Configuració de OneLogin

[comment]: # ({/b1fbe677-c7a7ae6f})

[comment]: # ({ac4e104b-e2f01445})

##### Crear una aplicació

1\. Inicieu sessió al vostre compte a OneLogin. Amb finalitats de prova, podeu crear un compte de desenvolupador gratuït a OneLogin.

2\. A la interfície web de OneLogin, navegueu a *Aplicacions → Aplicacions*.

3\. Feu clic a "Afegir aplicació" i cerqueu l'aplicació adequada. Les directrius d'aquesta pàgina es basen en l'exemple de l'aplicació *SCIM Provisioner amb SAML (SCIM v2 Enterprise, SAML complet)*.

4\. Per començar, és possible que vulgueu personalitzar el nom de visualització de la vostra aplicació. També podeu afegir la icona i els detalls de l'aplicació. Després d'això, feu clic a *Desar*.

[comment]: # ({/ac4e104b-e2f01445})

[comment]: # ({762b27a6-8a863c83})

##### Configurant l'aprovisionament SSO/SCIM

1\. A *Configuració* -> *Detalls de l'aplicació*, establiu el punt final d'inici de sessió únic de Zabbix `http://<zabbix-instance-url>/zabbix/index_sso.php?acs` com el valor d'aquests camps:

- *Validador d'URL ACS (consumidor)*
- *URL ACS (consumidor)*

Tingueu en compte l'ús de "http" i no de "https", de manera que el paràmetre `acs` no es retalla a la petició.

![](../../../../assets/en/manual/appendix/install/onelogin_endpoints.png){width="600"}

També és possible emprar "https". Perquè això funcioni amb Zabbix, cal afegir a `conf/zabbix.conf.php` la línia següent:

```
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
```

Deixeu altres opcions amb els seus valors predeterminats.

2\. A *Configuració* -> *Connexió API*, establiu els valors següents:

- *URL base SCIM*: `https://<zabbix-instance-url>/zabbix/api_scim.php`
- *SCIM JSON Template*: hauria de contindre tots els atributs personalitzats que voldríeu passar a Zabbix mitjançant SCIM, com ara `user_name`, `user_lastname`, `user_email` i `user_mobile`:

```
{
   "schemas": [
     "urn:ietf:params:scim:schemas:core:2.0:Usuari"
   ],
   "userName": "{$parameters.scimusername}",
   "name": {
     "familyName": "{$user.lastname}",
     "givenName": "{$user.firstname}"
   },
    "user_name": "{$user.firstname}",
    "user_lastname": "{$user.lastname}",
    "user_mobile": "{$user.phone}",
    "user_email": "{$user.email}"
}
```
Els noms dels atributs són arbitraris. Es poden emprar diferents noms d'atributs, però cal que coincideixin amb el valor del camp respectiu a la configuració de Zabbix SAML.

Tingueu en compte que perquè el subministrament d'usuaris funcioni, OneLogin ha de rebre com a resposta un atribut 'name' amb 'givenName' i 'familyName', encara que el proveïdor de serveis no ho requereixi. Per tant, cal especificar-ho a l'esquema de la part de configuració de l'aplicació.

- *SCIM Bearer Token*: introduïu un token de l'API Zabbix amb permisos de superadministrador.

Feu clic a *Habilitar* per activar la connexió.

![](../../../../assets/en/manual/appendix/install/onelogin_api_connection.png){width="600"}

3\. A la pàgina *Aprovisionament*, activeu l'opció Aprovisionament:

![](../../../../assets/en/manual/appendix/install/onelogin_provisioning.png){width="600"}

4\. La pàgina *Paràmetres* conté una llista de paràmetres predeterminats:

- Assegureu-vos que el "scimusername" coincideixi amb el valor d'inici de sessió de l'usuari a OneLogin (per exemple, correu electrònic);
- Marqueu l'opció *Inclou a l'aprovisionament d'usuaris* per al paràmetre 'Grups';
- Feu clic a "+" per crear els paràmetres personalitzats necessaris per a les afirmacions SAML i el subministrament d'usuaris, com ara `user_name`, `user_lastname`, `user_email` i `user_mobile`:

![](../../../../assets/en/manual/appendix/install/onelogin_param_add.png)

Quan afegiu un paràmetre, assegureu-vos de marcar les opcions *Incloure a l'asserció SAML* i *Incloure a l'aprovisionament d'usuari*.

- Afegiu un paràmetre "grup" que coincideixi amb els rols d'usuari a OneLogin. Els rols d'usuari es passaran com una cadena, separats per un punt i coma `;`. Els rols d'usuari de OneLogin s'empraran per crear grups d'usuaris a Zabbix:

![](../../../../assets/en/manual/appendix/install/onelogin_param_group.png)

Comproveu la llista de paràmetres:

![](../../../../assets/en/manual/appendix/install/onelogin_params.png){width="600"}

5\. A la pàgina *Regles*, creeu mapes de rols d'usuari amb el paràmetre Grups predeterminat.

![](../../../../assets/en/manual/appendix/install/onelogin_rule_edit.png){width="600"}

Podeu emprar una expressió regular per passar rols específics com a grups. Els noms de rol no han de contindre `;` ja que OneLogin l'empra com a separador quan envia un atribut amb diversos rols.

[comment]: # ({/762b27a6-8a863c83})

[comment]: # ({32f85c46-aebe76a1})
#### Configuració Zabbix

1\. A Zabbix, aneu a [Configuració SAML](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix) i ompliu les opcions de configuració basades en la configuració de OneLogin:

![](../../../../assets/en/manual/appendix/install/onelogin_zabbix_conf.png){width="600"}

|Camp Zabbix|Camp de configuració a OneLogin|Valor de mostra|
|----|----|--|
|*ID d'entitat IdP*|URL de l'emissor<br>(veieu la pestanya SSO de la vostra aplicació a OneLogin)||
|*URL del servei SSO*|Punt final SAML 2.0 (HTTP)<br>(veieu la pestanya SSO de la vostra aplicació a OneLogin)||
|*URL del servei SLO*|SLO Endpoint (HTTP)<br>(veieu la pestanya SSO de la vostra aplicació a OneLogin)||
|*Atribut nom d'usuari*|Paràmetre personalitzat|`email_usuari`|
|*Atribut del nom del grup*|Paràmetre personalitzat|`grup`|
|*Atribut del nom d'usuari*|Paràmetre personalitzat|`nom_usuari`|
|*Atribut del cognom de l'usuari*|Paràmetre personalitzat|`cognom_usuari`|

També és necessari per configurar l'assignació de grups d'usuaris. El mapatge de suport és opcional. Feu clic a *Actualitzra* per desar aquesta configuració.

2\. Baixeu el certificat proporcionat per OneLogin i poseu-lo a "conf/certs" de la instal·lació frontal de Zabbix, com a idp.crt.

Establiu-hi permisos 644 executant:

     chmod 644 idp.crt

Podeu accedir a la descàrrega del certificat a OneLogin a *Aplicacions* -> *SSO* -> feu clic a *Veure els detalls* sota el certificat actual.

És possible emprar un nom i una ubicació de certificat diferents. En aquest cas, assegureu-vos d'afegir a `conf/zabbix.conf.php` la línia següent:

```
$SSO['IDP_CERT'] = 'path/to/certname.crt';
```

[comment]: # ({/32f85c46-aebe76a1})

[comment]: # ({91a2d08a-86d0e0bd})

#### Aprovisionament d'usuaris SCIM

Amb l'aprovisionament d'usuaris habilitat, ara és possible afegir/actualitzar usuaris i els seus rols a OneLogin i passar-los de seguida a Zabbix.

Per exemple, podeu crear un usuari nou:

![](../../../../assets/en/manual/appendix/install/onelogin_user.png){width="600"}

Afegir-lo a un rol d'usuari i a l'aplicació que subministrarà l'usuari:

![](../../../../assets/en/manual/appendix/install/onelogin_add_to_role.png){width="600"}

En desar l'usuari, es lliurarà a Zabbix. A Aplicació -> Usuaris podeu comprovar l'estat de subministrament dels usuaris actuals de l'aplicació:

![](../../../../assets/en/manual/appendix/install/onelogin_provisioned.png){width="600"}

Si s'ha subministrat correctament, l'usuari es pot veure a la llista d'usuaris de Zabbix.

![](../../../../assets/en/manual/appendix/install/onelogin_users_zbx.png){width="600"}

[comment]: # ({/91a2d08a-86d0e0bd})