[comment]: # translation:outdated [comment]: # ({78a44a25-e09cf279}) # 11 הקמת SAML עם Okta סעיף זה מתאר איך להגדיר Okta כדי להפעיל אימות SAML 2.0 עבור Zabbix. [comment]: # ({/78a44a25-e09cf279}) [comment]: # ({868c11e8-c8df5f13}) #### תצורת Okta 1\. עבור אל והירשם או היכנס לחשבון שלך. 2\. בממשק האינטרנט של Okta נווט אל *יישומים ← יישומים* ולחץ על כפתור "הוסף אפליקציה". (![](../../../../assets/en/manual/appendix/install/okta_add_app.png)). 3\. לחץ על כפתור "צור אפליקציה חדשה". (![](../../../../assets/en/manual/appendix/install/okta_create_app.png)). בחלון קופץ בחר *פלטפורמה:* אינטרנט, *שיטת כניסה:* SAML 2.0 ו לחץ על כפתור "צור". ![](../../../../assets/en/manual/appendix/install/okta_app1.png){width="600"} 4\. מלא את השדות בלשונית *הגדרות כלליות* (הכרטיסייה הראשונה שבה מופיע) בהתאם להעדפותיך ולחץ על "הבא". 5\. בכרטיסייה *הגדר SAML* הזן את הערכים המפורטים להלן לחץ על "הבא". - בקטע **כללי**: - *כניסה יחידה לכתובת URL*: https:///ui/index\_sso.php?acs\ תיבת הסימון *השתמש בזה עבור כתובת האתר של הנמען וכתובת אתר היעד* צריך לסמן) - *URI של קהל (מזהה ישות SP)*: zabbix\ שימו לב, שהערך הזה ישמש בתוך הצהרת SAML as מזהה ספק שירות ייחודי (אם אינו תואם, ה הפעולה תידחה). אפשר לציין כתובת URL או כל מחרוזת נתונים בשדה זה. - *מצב ממסר ברירת מחדל*:\ השאר שדה זה ריק; אם נדרשת הפניה מחדש מותאמת אישית, היא יכולה יוסיפו ב-Zabix בהגדרות *ניהול → משתמשים*. - מלא שדות אחרים בהתאם להעדפותיך. ![](../../../../assets/en/manual/appendix/install/okta_app2.png) ::: noteclassic אם מתכננים להשתמש בחיבור מוצפן, צור פרטי ואישורי הצפנה ציבוריים, ולאחר מכן העלה אישור ציבורי אל אוקטה. טופס העלאת אישור מופיע כאשר *הצפנת טענה* מוגדרת למוצפן (לחץ על *הצג הגדרות מתקדמות* כדי למצוא פרמטר זה). ::: - בקטע **הצהרות מאפיינים (אופציונלי)** הוסף מאפיין הצהרה עם: - *שם:* usrEmail - *פורמט השם:* לא צוין - *ערך:* user.email ![](../../../../assets/en/manual/appendix/install/okta_app3.png) 6\. בכרטיסייה הבאה, בחר "אני ספק תוכנה. אני רוצה שלב את האפליקציה שלי עם Okta" ולחץ על "סיום". 7\. כעת, נווט ללשונית *משימות* ולחץ על כפתור "הקצה", לאחר מכן בחר *הקצה לאנשים* מהתפריט הנפתח. ![](../../../../assets/en/manual/appendix/install/okta_assign.png) 8\. בחלון קופץ שמופיע, הקצה את האפליקציה שנוצרה לאנשים שישתמשו SAML 2.0 כדי לאמת עם Zabbix, ולאחר מכן לחץ על "שמור וחזור". 9\. נווט אל הכרטיסייה *כניסה* ולחץ על "הצג הגדרות כפתור הוראות". הוראות ההגדרה יוצגו בלשונית חדשה; השאר את הכרטיסייה הזו פתוחה בזמן קביעת התצורה של Zabbix. ![](../../../../assets/en/manual/appendix/install/okta_setup.png) [comment]: # ({/868c11e8-c8df5f13}) [comment]: # ({b5f916e5-bdad4ea8}) #### תצורת Zabbix 1\. ב-Zabix, עבור להגדרות SAML ב-*ניהול → קטע אימות* והעתקת מידע מהגדרת Okta הוראות לשדות התואמים: - כתובת אתר לכניסה יחידה של ספק זהות ← כתובת אתר של שירות SSO - מנפיק ספק זהות ← מזהה ישות IdP - תכונת שם משתמש → שם תכונה (usrEmail) - מזהה ישות SP → URI של קהל 2\. הורד את האישור המסופק בהוראות ההתקנה של Okta עמוד לתוך התיקייה *ui/conf/certs* בתור idp.crt, והגדר הרשאה 644 על ידי רץ: chmod 644 idp.crt שימו לב, שאם שדרגתם ל- Zabbix 5.0 מגרסה ישנה יותר, אתם יצטרך גם להוסיף ידנית שורות אלה לקובץ zabbix.conf.php (ממוקם בספריית //ui/conf/ //): // משמש לאימות SAML. $SSO['SP_KEY'] = 'conf/certs/sp.key'; // נתיב למפתח הפרטי שלך. $SSO['SP_CERT'] = 'conf/certs/sp.crt'; // נתיב למפתח הציבורי שלך. $SSO['IDP_CERT'] = 'conf/certs/idp.crt'; // נתיב למפתח ציבורי IdP. $SSO['SETTINGS'] = []; // הגדרות נוספות ראה גנרי [SAML אימות](/manual/web_interface/frontend_sections/administration/authentication#saml_authentication) הוראות לפרטים נוספים. 3\. אם *הצפנת טענה* הוגדרה ל-Encrypted in Okta, א תיבת הסימון "הצהרות" של הפרמטר *הצפנה* צריכה להיות מסומנת גם Zabbix. ![](../../../../assets/en/manual/appendix/install/okta_zabbix.png) 4\. לחץ על כפתור "עדכן" כדי לשמור את ההגדרות הללו. ::: noteclassic כדי להיכנס עם SAML, שם המשתמש ב- Zabbix צריך להתאים הדואר האלקטרוני של Okta. ניתן לשנות הגדרות אלה ב-*ניהול → קטע משתמשים* בממשק האינטרנט של Zabbix. ::: [comment]: # ({/b5f916e5-bdad4ea8}) [comment]: # ({new-ff17ddca}) #### SCIM provisioning 1\. To turn on SCIM provisioning, go to "General" -> "App Settings" of the application in Okta. Mark the *Enable SCIM provisioning* checkbox. As a result, a new *Provisioning* tab appears. 2\. Go to the "Provisioning" tab to set up a SCIM connection: - In *SCIM connector base URL* specify the path to the Zabbix frontend and append `api_scim.php` to it, i.e.:\ `https:///zabbix/api_scim.php` - *Unique identifier field for users*: `email` - *Authentication mode*: `HTTP header` - In *Authorization* enter a valid API token with Super admin rights ![](../../../../assets/en/manual/appendix/install/okta_scim_conn.png){width="600"} ::: noteimportant If you are using Apache, you may need to change the default Apache configuration in `/etc/apache2/apache2.conf` by adding the following line: SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1 Otherwise Apache does not send the Authorization header in request. ::: 3\. Click on *Test Connector Configuration* to test the connection. If all is correct a success message will be displayed. 4\. In "Provisioning" -> "To App", make sure to mark the following checkboxes: - Create Users - Update User Attributes - Deactivate Users This will make sure that these request types will be sent to Zabbix. 5\. Make sure that all attributes defined in SAML are defined in SCIM. You can access the profile editor for your app in "Provisioning" -> "To App", by clicking on *Go to Profile Editor*. Click on *Add Attribute*. Fill the values for *Display name*, *Variable name*, *External name* with the SAML attribute name, for example, `user_name`. ![](../../../../assets/en/manual/appendix/install/okta_add_attr.png) *External namespace* should be the same as user schema: `urn:ietf:params:scim:schemas:core:2.0:User` 6\. Go to "Provisioning" -> "To App" -> "Attribute Mappings" of your application. Click on *Show Unmapped Attributes* at the bottom. Newly added attributes appear. 7\. Map each added attribute. ![](../../../../assets/en/manual/appendix/install/okta_map_attr.png) 8\. Add users in the "Assignments" tab. The users previously need to be added in *Directory* -> *People*. All these assignments will be sent as requests to Zabbix. 9\. Add groups in the "Push Groups" tab. The user group mapping pattern in Zabbix SAML settings must match a group specified here. If there is no match, the user cannot be created in Zabbix. Information about group members is sent every time when some change is made. [comment]: # ({/new-ff17ddca})