[comment]: # ({2b789eb7-e09cf279})
# 12 SAML iestatīšana ar Okta

Šī sadaļa sniedz norādījumus par [Okta](https://okta.com) konfigurēšanu, lai iespējotu SAML 2.0 autentifikāciju un lietotāju nodrošināšanu Zabbix.

[comment]: # ({/2b789eb7-e09cf279})

[comment]: # ({9295c91d-c8df5f13})
#### Okta konfigurācija

1\. Dodieties uz <https://developer.okta.com/signup/> un reģistrējieties/piesakieties savā kontā.

2\. Okta lietotāja saskarnē dodieties uz *Applications → Applications*.

3\. Noklikšķiniet uz *Create App Integration*.

![](../../../../assets/en/manual/appendix/install/okta_app_create.png){width="600"}

Kā pierakstīšanās metodi izvēlieties "SAML 2.0" un noklikšķiniet uz *Next*.

4\. Vispārīgajos iestatījumos ievadiet lietotnes nosaukumu un noklikšķiniet uz *Next*.

5\. SAML konfigurācijā ievadiet tālāk norādītās vērtības, pēc tam
noklikšķiniet uz *Next*.

![](../../../../assets/en/manual/appendix/install/okta_app_conf.png){width="600"}

-   Sadaļā **General** pievienojiet:
    -   *Single sign-on URL*:
        `http://<your-zabbix-url>/zabbix/index_sso.php?acs`<br>
        Ņemiet vērā, ka tiek izmantots "http", nevis "https", lai pieprasījumā netiktu nogriezts parametrs `acs`. Jāatzīmē arī izvēles rūtiņa *Use this for Recipient URL and Destination URL*.
    -   *Audience URI (SP Entity ID)*: `zabbix`<br>
        Ņemiet vērā, ka šī vērtība tiks izmantota SAML apliecinājumā kā unikāls pakalpojumu sniedzēja identifikators (ja tā nesakritīs, darbība tiks noraidīta). Šajā laukā ir iespējams norādīt URL vai jebkuru datu virkni.
    -   *Default RelayState*:<br>
        Atstājiet šo lauku tukšu; ja nepieciešama pielāgota pāradresācija, to var pievienot Zabbix sadaļā *Users → Users* iestatījumos.
    -   Aizpildiet citus laukus atbilstoši savām vēlmēm.

-   Sadaļā **Attribute Statements/Group Attribute Statements** pievienojiet:

![](../../../../assets/en/manual/appendix/install/okta_app_conf2.png){width="600"}

Šie atribūtu paziņojumi tiek ievietoti SAML apliecinājumos, kas tiek kopīgoti ar Zabbix.

Šeit izmantotie atribūtu nosaukumi ir patvaļīgi piemēri. Varat izmantot citus atribūtu nosaukumus, tomēr tiem ir jāsakrīt ar attiecīgā lauka vērtību Zabbix SAML iestatījumos.

Ja vēlaties konfigurēt SAML pierakstīšanos Zabbix *bez* JIT lietotāju nodrošināšanas, tad ir nepieciešams tikai e-pasta atribūts.

::: noteclassic
 Ja plānojat izmantot šifrētu savienojumu, ģenerējiet privāto
un publisko šifrēšanas sertifikātu, pēc tam augšupielādējiet publisko sertifikātu
Okta. Sertifikāta augšupielādes forma parādās, kad *Assertion Encryption* ir
iestatīts uz "Encrypted" (noklikšķiniet uz *Show Advanced Settings*, lai atrastu šo parametru).
:::

6\. Nākamajā cilnē izvēlieties "I'm a software vendor. I'd like to
integrate my app with Okta" un nospiediet *Finish*.

7\. Dodieties uz jaunizveidotās lietotnes cilni "Assignments"
un noklikšķiniet uz pogas *Assign*, pēc tam nolaižamajā izvēlnē izvēlieties *Assign to People*.

![](../../../../assets/en/manual/appendix/install/okta_app_assign.png)

8\. Uznirstošajā logā piešķiriet lietotni tiem cilvēkiem, kuri izmantos
SAML 2.0 autentifikācijai ar Zabbix, pēc tam noklikšķiniet uz *Save and go back*.

9\. Dodieties uz cilni "Sign On" un noklikšķiniet uz pogas *View Setup
Instructions*.

Iestatīšanas **instrukcijas** tiks atvērtas jaunā cilnē; konfigurējot Zabbix, atstājiet šo cilni atvērtu.

[comment]: # ({/9295c91d-c8df5f13})

[comment]: # ({940784da-bdad4ea8})
#### Zabbix konfigurācija

1\. Zabbix lietotāja saskarnē atveriet [SAML iestatījumus](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix) 
un aizpildiet konfigurācijas opcijas, pamatojoties uz Okta iestatīšanas norādījumiem:

![](../../../../assets/en/manual/appendix/install/okta_zabbix_saml.png){width="600"}

|Zabbix lauks|Iestatīšanas lauks Okta|Parauga vērtība|
|----|----|--|
|*IdP entity ID*|Identity Provider Issuer| |
|*SSO service URL*|Identity Provider Single Sign-On URL| |
|*Username attribute*|Attribute name|`usrEmail`|
|*SP entity ID*|Audience URI|`zabbix`|
|*Group name attribute*|Attribute name|`groups`|
|*User name attribute*|Attribute name|`user_name`|
|*User last name attribute*|Attribute name|`user_lastname`|

Ir arī jāiestata lietotāju grupu un mediju kartēšana.

2\. Lejupielādējiet sertifikātu, kas norādīts Okta SAML iestatīšanas norādījumos,
un saglabājiet to mapē *ui/conf/certs* kā idp.crt. 

Piešķiriet tam 644 atļaujas, izpildot:

    chmod 644 idp.crt

3\. Ja Okta ir iestatīts *Assertion Encryption* uz "Encrypted", tad
arī Zabbix sadaļā *Encrypt* parametra izvēles rūtiņai "Assertions" jābūt atzīmētai.

4\. Nospiediet pogu "Update", lai saglabātu šos iestatījumus.

[comment]: # ({/940784da-bdad4ea8})

[comment]: # ({87d78e73-ff17ddca})
#### SCIM nodrošināšana

1\. Lai ieslēgtu SCIM nodrošināšanu, lietotnē Okta atveriet "General" -> "App Settings". 

Atzīmējiet izvēles rūtiņu *Enable SCIM provisioning*. Rezultātā parādīsies jauna cilne *Provisioning*.

2\. Dodieties uz cilni "Provisioning", lai iestatītu SCIM savienojumu:

-   Laukā *SCIM connector base URL* norādiet Zabbix lietotāja saskarnes ceļu un pievienojiet tam `api_scim.php`, t. i.:<br>
    `https://<your-zabbix-url>/zabbix/api_scim.php`
-   *Unique identifier field for users*: `email`
-   *Authentication mode*: `HTTP header`
-   Laukā *Authorization* ievadiet derīgu API tokenu ar Super admin tiesībām

![](../../../../assets/en/manual/appendix/install/okta_scim_conn.png){width="600"}

::: noteimportant
Ja rodas autentifikācijas problēmas, skatiet [Authorization header forwarding](/manual/installation/known_issues#authorization-header-forwarding).
:::

3\. Noklikšķiniet uz *Test Connector Configuration*, lai pārbaudītu savienojumu. Ja viss ir pareizi, tiks parādīts veiksmīgas darbības ziņojums.

4\. Sadaļā "Provisioning" -> "To App" pārliecinieties, ka ir atzīmētas šādas izvēles rūtiņas:

-    Create Users
-    Update User Attributes
-    Deactivate Users

Tas nodrošinās, ka šie pieprasījumu tipi tiks nosūtīti uz Zabbix.

5\. Pārliecinieties, ka visi SAML definētie atribūti ir definēti arī SCIM. Jūs varat piekļūt savas lietotnes profila redaktoram sadaļā "Provisioning" -> "To App", noklikšķinot uz *Go to Profile Editor*.

Noklikšķiniet uz *Add Attribute*. Aizpildiet *Display name*, *Variable name*, *External name* vērtības ar SAML atribūta nosaukumu, piemēram, `user_name`.

![](../../../../assets/en/manual/appendix/install/okta_add_attr.png)

*External namespace* jābūt tādam pašam kā lietotāja shēmai: `urn:ietf:params:scim:schemas:core:2.0:User`

6\. Dodieties uz savas lietotnes sadaļu "Provisioning" -> "To App" -> "Attribute Mappings". Apakšā noklikšķiniet uz *Show Unmapped Attributes*. Tiks parādīti jaunpievienotie atribūti.

7\. Kartējiet katru pievienoto atribūtu.

![](../../../../assets/en/manual/appendix/install/okta_map_attr.png)

8\. Pievienojiet lietotājus cilnē "Assignments". Lietotāji iepriekš ir jāpievieno sadaļā *Directory* -> *People*. Visi šie piešķīrumi tiks nosūtīti kā pieprasījumi uz Zabbix.

9\. Pievienojiet grupas cilnē "Push Groups". Lietotāju grupas kartēšanas paraugam Zabbix SAML iestatījumos ir jāsakrīt ar šeit norādīto grupu. Ja sakritības nav, lietotāju nevar izveidot Zabbix.

Informācija par grupas dalībniekiem tiek nosūtīta katru reizi, kad tiek veiktas kādas izmaiņas.

[comment]: # ({/87d78e73-ff17ddca})