SAML

Увод

Повежите Zammad са вашoм SAML (Security Assertion Markup Language) апликацијом за јединствену пријаву (SSO). SAML је отворени стандард за SSO аутентификацију (између осталог). Пријаве су подељене на више сервисних провајдера и њима управља централни провајдер идентитета (IdP).

У овом случају, сервисни провајдер је Zammad, а IdP је софтверски сервис који или хостујете сами или се претплатите на њега (нпр. Keycloak, Redhat SSO Server, ADFS, или Okta).

Овај водич претпоставља да већ користите SAML у својој организацији (тј. да је ваш IdP у потпуности подешен).

Основна подешавања

Овај одељак описује уопштено подашавање IdP. Погледајте Водичи кроз подешавања за водич кроз подешавања Keycloak и Microsoft SAML провајдера.

Подесите свој IdP

Додајте Zammad као клијента/апликацију

Увезите Zammad у свој IdP користећи XML конфигурацију која се налази на https://your.zammad.domain/auth/saml/metadata.

Уколико ваш IdP не подржава XML увоз, мораћете да подесите Zammad као новог клијента/апликацију ручно, користећи горњу XML датотеку мета података као референцу.

На пример, када видите ову ознаку:

<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://your.zammad.domain/auth/saml/callback" index="0" isDefault="true"/>

Подесите Assertion Consumer Service Binding URL (понекад је наведен и као Valid Redirect URIs) на http://your.zammad.domain/auth/saml/callback.

Подесите мапирање корисничких атрибута

Zammad захтева следеће корисничке атрибуте (или „properties“) од IdP-а:

  • Имејл адреса (email)

  • Пуно име и презиме (name)

  • Име (first_name)

  • Презиме (last_name)

Можда ћете морати да подесите „mappers“ (или „mappings“) да бисте свом IdP-у рекли како кориснички атрибути у SAML-у одговарају онима у Zammad-у. За детаљнију анализу погледајте XML датотеку мета података наведену у претходном одељку.

Водичи кроз подешавања

Можете пронаћи одговарајуће водиче кроз подешавања за:

Уколико користите неки други IdP, прилагодите га својим потребама. За опис поља у Zammad-у, наставите испод.

Општа Zammad подешавања

Укључите SAML и унесите детаље свог IdP-а у администраторском панелу под Подешавања > Безбедност > Апликације трећег лица > Аутентификација путем SAML:

Пример подешавања SAML део 1
Назив за приказ

Омогућава вам да одредите прилагођени назив дугмета за SAML. Ово помаже вашим корисницима да боље разумеју шта ради дугме на страници за пријаву.

Подразумевано је SAML.

IDP SSO URL путања

Ово је циљна URL адреса на коју ће Zammad преусмерити када корисник притисне SAML дугме.

IDP URL путања јединствене одјаве

Ово је URL путања на коју треба преусмерити захтеве и одговоре за јединствену одјаву.

IDP сертификат

Јавни сертификат вашег IDP-а који Zammad треба да провери током фазе повратног позива.

IDP отисак сертификата

Отисак вашег јавног IDP сертификата за верификацију током фазе повратног позива.

Белешка

🔏 За IdP сертификат / отисак сертификата:

Обезбедите или једно или друго—никако обе вредности! (Између ове две, препоручујемо сам сертификат за потписивање: отисци сертификата користе SHA-1 алгоритам, који је већ неко време покварен <https://www.schneier.com/blog/archives/2005/02/sha1_broken.html>`_.)

Keycloak корисници: Пронађите свој сертификат у Keycloak административном панелу под Realm Settings > Keys > Algorithm: RS256 > Certificate.

Формат идентификатора назива

Ово је типа идентификатора јединствених поља. Обично би требало да буде urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

Zammad очекује имејл адресу као јединствени идентификатор!

Назив UID атрибута

Овде можете одредити назив атрибута који јединствено идентификује корисника. Уколико није подешено, биће коришћен индентификатор назива који враћа IDP.

Пример подешавања SAML део 2
SSL провера

Одређује да ли ће сертификат за конекцију до IdP сервиса бити проверен или не (подразумевано: да).

Danger

Имајте на уму да искључивање SSL провере носи безбедносни ризик. Требало би је искључити само привремено или ради тестирања. Уколико је искључена, сертификати неће бити верификовани, што значи да ће било који достављени сертификат бити признат.

Потписивање и шифровање

Одређује да ли желите потписивање и шифровање захтева.

Сертификат (PEM)

Налепите јавни сертификат вашег Zammad SAML клијента, уколико желите шифровање захтева.

Уверите се да је сертификат:

  • већ важећи и није још истекао

  • није CA сертификат

  • важећи за потписивање и шифровање

Тајни кључ (PEM)

Налепите тајни кључ вашег Zammad SAML клијента, уколико желите потписивање захтева.

Уверите се да је тајни кључ RSA дужине од најмање 2048 бита.

Лозинка тајног кључа

Уколико је ваш тајни кључ обезбеђен лозинком, можете је унети овде.

Ваш URL повратног позива

Ова URL адреса је потребна за вашу IDP конфигурацију како би знала где да преусмери корисника након успешне аутентификације.

Путоказ

По снимању вашег уноса кликом на дугме „Пошаљи”, Zammad ће проверити достављене кључеве/сертификате (нпр. да ли су важећи за потписивање/шифровање и да нису истекли.

Погледајте аутоматско повезивање налога за детаље о томе како да повежете постојеће Zammad налоге са IdP налозима.

Решавање проблема

Аутоматско повезивање налога не функционише

Да ли сте још једном проверили подешавање мапирања корисничких атрибута вашег IdP-а?

Одјава не функционише

У случају да одјава не функционише, можете пробати https://<ваш-zammad-url>/auth/saml/slo као алтернативу. Међутим, у том случају одјава неће бити саопштена вашем IdP.