[comment]: # translation:outdated

[comment]: # ({8d23af63-23bd62a5})
# 13 SAML подешавање са OneLogin-ом

[comment]: # ({/8d23af63-23bd62a5})

[comment]: # ({b873fa12-2fcac093})
#### Преглед

Овај одељак пружа смернице за конфигурисање јединственог пријављивања и обезбеђивања корисника у Zabbix-у  са [OneLogin](https://onelogin.com) користећи SAML 2.0 аутентификацију.

[comment]: # ({/b873fa12-2fcac093})

[comment]: # ({b1fbe677-04a34e60})
#### OneLogin конфигурација

[comment]: # ({/b1fbe677-04a34e60})

[comment]: # ({ac4e104b-f0ff96b7})
##### Креирање апликације

1\. Пријавите се на свој налог на OneLogin-у. У сврху тестирања, можете креирати бесплатан налог програмера у OneLogin-у.

2\. У веб интерфејсу OneLogin идите на *Апликације → Апликације*.

3\. Кликните на "Додај апликацију" и потражите одговарајућу апликацију. Смернице на овој страници су засноване на примеру апликације * SCIM провизионисање са SAML-ом (SCIM v2 Enterprise, full SAML)*.

4\. За почетак, можда ћете желети да прилагодите име за приказ ваше апликације. Можда ћете желети да додате иконе и детаље о апликацији. Након тога кликните на *Сачувај*.

[comment]: # ({/ac4e104b-f0ff96b7})

[comment]: # ({3bcbc5e8-58a8c759})
##### Подешавање SSO/SCIM обезбеђивања

1\. У *Конфигурација* -> *Детаљи апликације*, подесите крајњу тачку за једнократну пријаву Zabbix-а `http://<zabbix-instance-url>/zabbix/index_sso.php?acs` као вредност ових поља:

-   *ACS (Consumer) URL Validator*
-   *ACS (Consumer) URL*

Обратите пажњу на употребу „http“, а не „https“, како параметар `acs` не би био изостављен у захтеву.

![](../../../../assets/en/manual/appendix/install/onelogin_endpoints.png){width="600"}

Такође је могуће користити "https". Да би ово функционисало са Zabbix-ом, потребно је додати следећи ред у `conf/zabbix.conf.php`:

```
$SSO['SETTINGS'] = ['use_proxy_headers' => true];
```

Оставите остале опције са њиховим подразумеваним вредностима.

2.\. У *Конфигурација* -> *АПИ веза*, подесите следеће вредности:

-   *SCIM основни URL*: `https://<zabbix-instance-url>/zabbix/api_scim.php`
-   *SCIM JSON шаблон*: треба да садржи све прилагођене атрибуте које желите да проследите Zabbix-у путем SCIM-а, као што су `user_name`, `user_lastname`, `user_email` и `user_mobile`:

```
{
     "schemas": [
     "urn:ietf:params:scim:schemas:core:2.0:User"
     ],
     "userName": "{$parameters.scimusername}",
     "name": {
     "familyName": "{$user.lastname}",
     "givenName": "{$user.firstname}"
     },
     "user_name": "{$user.firstname}",
     "user_lastname": "{$user.lastname}",
     "user_mobile": "{$user.phone}",
     "user_email": "{$user.email}"
}
```

Имена атрибута су произвољна. Могу се користити различита имена атрибута, међутим, потребно је да се подударају са одговарајућом вредношћу поља у Zabbix SAML подешавањима. 

Имајте на уму да би додељивање корисника функционисало, OneLogin мора као одговор да добије атрибут "name" са "givenName" и "familyName", чак и ако то није захтевао добављач услуге. Стога је потребно ово навести у шеми у делу за конфигурацију апликације.

-   *SCIM Bearer Token*: унесите Zabbix API токен са дозволама супер администратора.

Кликните на *Омогући* да бисте активирали везу.

![](../../../../assets/en/manual/appendix/install/onelogin_api_connection.png){width="600"}

3\. На страници *Обезбеђивање* омогућите опцију Обезбеђивање:

![](../../../../assets/en/manual/appendix/install/onelogin_provisioning.png){width="600"}

4\. Страница *Параметри* садржи листу подразумеваних параметара:

-   Уверите се да се „scimusername“ подудара са вредношћу за пријаву корисника у OneLogin-у (нпр. имејл);
-   Означите опцију *Укључи у обезбеђивање корисника* за параметар "Групе";
-   Кликните на „+“ да бисте креирали прилагођене параметре који су потребни за SAML тврдње и обезбеђивање корисника, као што су `user_name`, `user_lastname`, `user_email` и `user_mobile`:

![](../../../../assets/en/manual/appendix/install/onelogin_param_add.png)

Када додајете параметар, обавезно означите обе опције *Укључи у SAML тврдњу* и *Укључи у обезбеђивање корисника*.

-   Додајте параметар „група“ који одговара улогама корисника у OneLogin-у. Улоге корисника ће бити прослеђене као стринг, одвојене тачком-зарезом `;`. Корисничке улоге OneLogin-а ће се користити за креирање корисничких група у Zabbix-у:

![](../../../../assets/en/manual/appendix/install/onelogin_param_group.png)

Проверите листу параметара:

![](../../../../assets/en/manual/appendix/install/onelogin_params.png){width="600"}

5\. На страници *Правила*, креирајте мапирања корисничких улога на подразумевани параметар Групе.

![](../../../../assets/en/manual/appendix/install/onelogin_rule_edit.png){width="600"}

Можете користити регуларни израз да бисте проследили одређене улоге као групе. Имена улога не би требало да садрже `;` јер га OneLogin користи као сепаратор када шаље атрибут са неколико улога.

[comment]: # ({/3bcbc5e8-58a8c759})

[comment]: # ({32f85c46-9be86dbb})
#### Конфигурација Zabbix-а

1\. У Zabbix-у, идите на [SAML подешавања](/manual/web_interface/frontend_sections/users/authentication/saml#setting-up-zabbix) и попуните опције конфигурације на основу OneLogin конфигурације:

![](../../../../assets/en/manual/appendix/install/onelogin_zabbix_conf.png){width="600"}

|Zabbix field|Setup field in OneLogin|Sample value|
|----|----|--|
|*IdP entity ID*|URL издаваоца<br>(погледајте SSO картицу ваше апликације у OneLogin-у)||
|*SSO service URL*|SAML 2.0 крајња тачка (HTTP)<br>(погледајте SSO картицу ваше апликације у OneLogin-у)||
|*SLO service URL*|SLO крајња тачка (HTTP)<br>(погледајте SSO картицу ваше апликације у OneLogin)||
|*Username attribute*|Прилагођени параметар|`user_email`|
|*Group name attribute*|Прилагођени параметар|`group`|
|*User name attribute*|Прилагођени параметар|`user_name`|
|*User last name attribute*|Прилагођени параметар|`user_lastname`|

Такође је потребно конфигурисати мапирање групе корисника. Мапирање медија је опционо. Кликните на *Ажурирај* да бисте сачували ова подешавања.

2.\ Преузмите сертификат који је обезбедио OneLogin и поставите га у `conf/certs` Zabbix корисничком интерфејсу инсталације, као idp.crt.

Подесите 644 дозволе за њега покретањем:

   chmod 644 idp.crt

Можете приступити преузимању сертификата у OneLogin-у у *Апликације* -> *SSO* -> кликните на *Прикажи детаље* испод тренутног сертификата.

Могуће је користити друго име и локацију сертификата. У том случају, обавезно додајте следећи ред у `conf/zabbix.conf.php`:

```
$SSO['IDP_CERT'] = 'путања/до/имесерта.crt';
```

[comment]: # ({/32f85c46-9be86dbb})

[comment]: # ({91a2d08a-09c52023})
#### SCIM провизионисање корисника

Са омогућеним провизионисањем корисника, сада је могуће додати/ажурирати кориснике и њихове улоге у OneLogin-у и одмах их обезбедити за Zabbix.

На пример, можете креирати новог корисника:

![](../../../../assets/en/manual/appendix/install/onelogin_user.png){width="600"}

Додајте га у корисничку улогу и апликацију која ће обезбедити корисника:

![](../../../../assets/en/manual/appendix/install/onelogin_add_to_role.png){width="600"}

Када сачувате корисника, биће додељен Zabbix-у. У Апликација -> Корисници можете да проверите статус обезбеђивања тренутних корисника апликације:

![](../../../../assets/en/manual/appendix/install/onelogin_provisioned.png){width="600"}

Ако је успешно провизионисан, корисник се може видети на листи Zabbix корисника.

![](../../../../assets/en/manual/appendix/install/onelogin_users_zbx.png){width="600"}

[comment]: # ({/91a2d08a-09c52023})