SAML са Keycloak-ом

Корак 1. Keycloak подешавања

  • Да бисте додали Zammad као клијента, сачувајте XML конфигурацију на диск (https://your.zammad.domain/auth/saml/metadata) и користите Clients > Clients list > Import client у Keycloak админ панелу.

  • Да бисте помогли Zammad-у да повеже сопствене корисничке налоге са Keycloak корисницима, креирајте мапирање атрибута корисника (или „property“). У Clients list кликните на ваш новокреирани ID клијента, изаберите језичак Client scopes и кликните на линк који се односи на вашу Zammad инстанцу. Изаберите Add mapper > By configuration > User Property и додајте мапирање са следећим уносима:

    Name

    email

    Mapper Type

    User Property

    Property

    emailAddress

    Назив SAML атрибута

    email

    Формат назива SAML атрибута

    basic

    У горњем примеру, кажемо Zammad-у да кад год прими SAML захтев за пријаву, треба да узме атрибут email од Keycloak-а, потражи Zammad корисника са истим атрибутом email и креира нову сесију за тог корисника.

    Ако су имејл адресе ваших Keycloak корисника ускладиштене у другом атрибуту (нпр. username), прилагодите мапирање у складу са тим.

  • Вратите се у Settings, унесите Client ID (https://your.zammad.domain/auth/saml/metadata) у поље Master SAML Processing URL.

  • Такође морате да укључите Sign assertions.

2. Подесите Zammad

  • Пријавите се у Zammad као администратор

  • Идите у администраторском панелу на „Подешавања” > „Безбедност” > „Апликације трећег лица” > „Аутентификација путем SAML”

  • Обезбедите следеће информације:

    • SAML IdP URL пријаве: https://your.domain/realms/your-realm/protocol/saml

    • SAML IdP URL одјаве: https://your.domain/realms/your-realm/protocol/saml

  • Формат идентификатора назива: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  • SAML IdP сертификат: отпремите претходно преузет Base64 сертификат.

  • Сачувајте подешавања

Путоказ

Погледајте Општа Zammad подешавања за опис појединалних поља у Zammad-у.