[comment]: # translation:outdated

[comment]: # ({236cb9a8-e09cf279})
# 12 Подешавање SAML-ом са Okta-ом

Овај одељак пружа смернице за конфигурисање [Okta](https://okta.com)  ради омогућавања аутентификације путем SAML 2.0 протокола и управљања корисницима за Zabbix.

[comment]: # ({/236cb9a8-e09cf279})

[comment]: # ({b543a071-c8df5f13})
#### Конфигурација Окте

1.\ Идите на <https://developer.okta.com/signup/> и региструјте се/пријавите се на свој налог.

2.\ У веб интерфејсу Окте идите на *Апликације → Апликације*.

3.\ Кликните на *Креирај интеграцију апликације*.

![](../../../../assets/en/manual/appendix/install/okta_app_create.png){width="600"}

Изаберите "SAML 2.0" као метод пријављивања и кликните на *Даље*.

4. У општим подешавањима, унесите назив апликације и кликните на *Даље*.

5. У SAML конфигурацији, унесите вредности наведене испод, а затим кликните на *Даље*.

![](../../../../assets/en/manual/appendix/install/okta_app_conf.png){width="600"}

-   У **Опште** додајте:
   -   *Single sign-on URL*:
     `http://<your-zabbix-url>/zabbix/index_sso.php?acs`\
   Обратите пажњу на употребу "http", а не "http", како параметар `acs` не би био изостављен у захтеву.Поље за потврду 
*Користи ово за Recipient URL и Destination URL* такође треба да буде означено.
   -   *Audience URI (SP Entity ID)*: `zabbix`\
   Обратите пажњу да ће се ова вредност користити у SAML тврдњи као
   јединствени идентификатор добављача услуга (ако се не подудара,
   операција ће бити одбијена). У овом пољу је могуће навести URL или
   било који низ података.
   -   *Default RelayState*:\
   Оставите ово поље празно; Ако је потребно прилагођено преусмеравање, може се
   додати у Zabbix-у у подешавањима *Корисници → Корисници*.
   -   Попуните остала поља према вашим жељама.

-   У **Изјаве о атрибутима/Изјаве о групним атрибутима** додајте:

![](../../../../assets/en/manual/appendix/install/okta_app_conf2.png){width="600"}

Ове изјаве о атрибутима се убацују у SAML тврдње које се деле са Zabbix-ом.

Имена атрибута која се овде користе су произвољни примери. Можете користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у SAML подешавањима Zabbix-а.

Ако желите да конфигуришете SAML пријаву у Zabbix *без* JIT обезбеђивања корисника, онда је потребан само атрибут е-поште.

::: noteclassic
Ако планирате да користите шифровану везу, генеришите приватне
и јавне сертификате за шифровање, а затим отпремите јавни сертификат у Okta. Образац за отпремање сертификата се појављује када је *Шифровање тврдње* подешено на "Шифровано" (кликните на *Прикажи напредна подешавања* да бисте пронашли овај параметар).
:::

6\. У следећој картици изаберите "Ја сам продавац софтвера". Желим да интегришем своју апликацију са Октом“ и притисните "Заврши".

7\. Идите на картицу „Додељивања“ новокреиране апликације и кликните на дугме *Додели*, а затим из падајућег менија изаберите "Додели људима".

![](../../../../assets/en/manual/appendix/install/okta_app_assign.png)

8\. У искачућем прозору који се појави, доделите апликацију људима који ће користити SAML 2.0 за аутентификацију са Zabbix-ом, а затим кликните на *Сачувај и врати се*.

9\. Идите на картицу "Пријави се" и кликните на дугме *Прикажи упутства за подешавање*. 

**Упутства** за подешавање ће се отворити у новој картици; Држите ову картицу отвореном док конфигуришете Zabbix.

[comment]: # ({/b543a071-c8df5f13})

[comment]: # ({f9846cb2-bdad4ea8})
#### Конфигурација Zabbix-а

1\. У Zabbix-у, идите на [SAML подешавања](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix) и попуните опције конфигурације на основу упутстава за подешавање од Okta:

![](../../../../assets/en/manual/appendix/install/okta_zabbix_saml.png){width="600"}

|Zabbix field|Setup field in Okta|Sample value|
|----|----|--|
|*IdP entity ID*|Издавалац добављача идентитета||
|*SSO service URL*|URL за једнократну пријаву добављача идентитета||
|*Username attribute*|Назив атрибута|`usrEmail`|
|*SP entity ID*|URI публике|`zabbix`|
|*Group name attribute*|Назив атрибута|`groups`|
|*User name attribute*|Атрибут име|`корисничко_име`|
|*User last name attribute*|Назив атрибута|`корисничко_презиме`|

Такође је потребно конфигурисати мапирање корисничке групе и медија.

2.\ Преузмите сертификат дат у упутствима за подешавање Окта САМЛ-а у фолдер *ui/conf/certs* као idp.crt.

Подесите 644 дозволе за њега покретањем:

   chmod 644 idp.crt3.

Ако је *Assertion Encryption* подешено на "Encrypted" у Окти, поље за потврде „Assertions“ параметра *Encrypt* требало би да буде означено и у Забиксу.

4.\ Притисните дугме "Ажурирај" да бисте сачували ова подешавања.

[comment]: # ({/f9846cb2-bdad4ea8})

[comment]: # ({ade5056f-ff17ddca})
#### Обезбеђивање SCIM-а

1. Да бисте укључили обезбеђивање SCIM-а, идите на "Опште" -> "Подешавања апликације“ апликације у Окти.

Означите поље за потврду *Омогући обезбеђивање SCIM-а*. Као резултат тога, појавиће се нова картица *Обезбеђивање*.

2.\ Идите на картицу „Обезбеђивање“ да бисте подесили SCIM везу:

- У *Основна URL адреса SCIM конектора* наведите путању до Zabbix корисничког интерфејса и додајте `api_scim.php` на њу, тј.:\
`https://<ваш-заббикс-урл>/zabbix/api_scim.php`
- *Поље за јединствени идентификатор за кориснике*: `е-пошта`
- *Режим аутентификације*: `HTTP заглавље`
- У *Ауторизација* унесите важећи API токен са правима супер администратора

![](../../../../assets/en/manual/appendix/install/okta_scim_conn.png){width="600"}

::: noteimportant
Ако користите Apache, можда ћете морати да промените подразумевану конфигурацију Apache-а у `/etc/apache2/apache2.conf` додавањем следеће линије:

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

У супротном, Apache не шаље заглавље за ауторизацију у захтеву.
:::

3. Кликните на *Тестирај конфигурацију конектора* да бисте тестирали везу. Ако је све исправно, приказаће се порука о успеху.

4. У "Обезбеђивање" -> "Апликацији", обавезно означите следеће кућице:

-   Креирај кориснике
-   Ажурирај атрибуте корисника
-   Деактивирај кориснике

Ово ће осигурати да ће ови типови захтева бити послати Zabbix-у.

5. Уверите се да су сви атрибути дефинисани у SAML-у дефинисани у SCIM-у. Можете приступити уређивачу профила за вашу апликацију у "Обезбеђивање" -> "Апликацији", кликом на *Иди на уређивач профила*.

Кликните на *Додај атрибут*. Попуните вредности за *Приказано име*, *Назив променљиве*, *Спољашње име* са именом SAML атрибута, на пример, `korisničko_ime`.

![](../../../../assets/en/manual/appendix/install/okta_add_attr.png)

*Спољашњи именски простор* треба да буде исти као и шема корисника: `urn:ietf:params:scim:schemas:core:2.0:User`

6. Идите на "Provisioning" -> "To App" -> "Attribute Mappings" ваше апликације. Кликните на *Show Unmapped Attributes* на дну. Појављују се новододати атрибути.

7. Мапирајте сваки додати атрибут.

![](../../../../assets/en/manual/appendix/install/okta_map_attr.png)

8. Додајте кориснике на картици „Assignments“. Корисници које је претходно потребно додати у *Directory* -> *People*. Све ове доделе ће бити послате као захтеви Zabbix-у.

9. Додајте групе на картици „Push Groups“. Шаблон мапирања корисничких група у Zabbix SAML подешавањима мора да се подудара са групом наведеном овде. Ако нема подударања, корисник не може бити креиран у Zabbix-у.

Информације о члановима групе се шаљу сваки пут када се изврши нека промена.

[comment]: # ({/ade5056f-ff17ddca})