SAML tabanlı kimlik doğrulama
SSO'nuzu Patrona ile entegre etmek şunları yapmanızı sağlar:
- Birisi Patrona'da oturum açtığında bir Patrona hesabı sağlayın.
- Veri koruma alanlarını desteklemek için kullanıcı niteliklerini SSO'nuzdan Patrona'ya otomatik olarak geçirin.
- Kişilerin yeniden kimlik doğrulaması yapmadan Patrona'ya erişmesine izin verin.
Patrona yönetici hesabınızın parolasını onaylayın
SAML'yi ayarlamadan önce, Patrona yönetici hesabınızın parolasını bildiğinizden emin olun. Kurulum işlemi sırasında herhangi bir sorunla karşılaşırsanız, oturum açma ekranındaki "Yönetici yedek oturumu" seçeneğiyle oturum açabilirsiniz.
Patrona'da IdP'niz ile SAML'yi ayarlama
Patrona yönetici hesabınızın parolasını onayladıktan sonra, Yönetici Panelinin Ayarlar bölümüne gidin, ardından Kimlik Doğrulama sekmesine tıklayın. Kimlik Doğrulama sayfasının SAML bölümündeki Kur butonuna tıklayın ve şu formu göreceksiniz:
Form üç bölüm içerir:
- Kimlik sağlayıcınıza (IdP) girmeniz gereken Patrona bilgileri.
- Patrona'ya anlatmanız gereken IdP bilgileri.
- SSO isteklerini imzalama (isteğe bağlı).
SAML kılavuzları
Öncelikle IdP'niz ile işlerin doğru yapılandırıldığından emin olmanız gerekecektir. Her IdP, SAML kurulumunu farklı şekilde ele alır.
En yaygın sağlayıcılar için bazı kılavuzlar yazdık:
IdP'nizi burada görmüyorsanız:
- SAML'yi yapılandırma konusunda IdP'nizin referans belgelerine bakın. OneLogin SAML kılavuzu gibi bir şey arıyor olacaksınız.
- Patrona SAML formunda bulunan bilgileri kullanarak, IdP'nizin SAML formunu doldurun.
- Daha fazla bilgi için, Genel SAML yapılandırması bölümüne bakın.
Kullanıcı sağlama
Varsayılan olarak, Patrona henüz bir Patrona hesabı olmayan ancak SAML SSO aracılığıyla oturum açabilen kişiler için hesaplar oluşturacaktır.
SCIM ile Kullanıcı sağlama ayarladıysanız, Patrona'nın başarılı bir şekilde kimlik doğrulayan herkes için otomatik olarak yeni bir hesap oluşturmaması için bu ayarı kapatmak isteyebilirsiniz, çünkü Patrona'da kimin hesap oluşturabileceğini ve kimin oluşturamayacağını belirlemek için SCIM'i kullanmak isteyebilirsiniz.
Genel SAML yapılandırması
Patrona'daki SAML formunun üst kısmında, IdP'nizin SAML formunu doldurmanız için gereken bilgiler bulunur ve bilgileri kopyalamayı kolaylaştıran butonlar bulunur.
Patrona SAML formundaki alanların adları, IdP'niz tarafından kullanılan adlarla her zaman eşleşmeyebilir. Bilgileri bir yerden diğerine eşlemenize yardımcı olmak için aşağıda her alanın bir açıklamasını sağladık.
IdP'nin geri yönlendirmesi gereken URL
Yeniden yönlendirme URL'si, kişilerin IdP'niz ile oturum açtıktan sonra gönderileceği web adresidir. Kişileri Patrona'nıza yönlendirmek için, yeniden yönlendirme URL'niz, Patrona Site URL'niz olmalı ve sonunda /auth/sso bulunmalıdır.
Örneğin, Patrona Site URL'niz https://patrona.şirketiniz.com ise, şunu kullanacaksınız
https://patrona.şirketiniz.com/auth/sso
IdP'ler farklı adlar kullanır. İşte bazı yaygın örnekler:
| Sağlayıcı | Adı |
|---|---|
| Auth0 | Uygulama Geri Çağırma URL'si |
| Okta | Tek Oturum Açma URL'si |
| OneLogin | ACS (Tüketici) URL'si |
Kullanıcı nitelikleri
Patrona, SAML kimlik sağlayıcınız tarafından kimliği doğrulanmış kişilerin otomatik olarak oturum açmasını sağlar. Bunu yapmak için, kimlik sağlayıcısının SAML yanıtında döndürülen ilk iddia, her kişinin adı, soyadı ve e-posta adresi için nitelikler içermelidir.
Çoğu IdP bu iddiaları varsayılan olarak içerir, ancak bazıları (örneğin Okta) bunları içerecek şekilde yapılandırılmalıdır.
Genellikle bu kullanıcı niteliklerini (ad, soyad ve e-posta) "Ad", "Nitelikler" veya "Parametreler" olarak etiketlenmiş alanlara yapıştırmanız gerekecektir.
Kişilerin e-posta adreslerini düzenlemelerine izin veriyorsanız: ilgili hesap e-postalarını Patrona'da güncellediğinizden emin olun. E-posta adreslerini senkronize tutmak, kişilerin hesaplarına erişimlerini kaybetmelerini önleyecektir.
SSO isteklerini imzalama ayarları (isteğe bağlı)
Bunlar, SSO isteklerini imzalamak için doldurabileceğiniz ek ayarlardır, böylece istekler değiştirilmez.
Patrona'da SAML kimlik doğrulamasını etkinleştirme
Patrona artık IdP'niz hakkında bazı bilgilere ihtiyaç duyacaktır. İşte her bir ayarın bir dökümü:
SAML kimlik sağlayıcı URL'si
Patrona, oturum açma isteklerini Kimlik Sağlayıcı URL'sine yönlendirecek ve burada kişiler SSO ile oturum açacaklar.
IdP'ler Kimlik Sağlayıcı URL'si için farklı adlar kullanır. İşte bazı yaygın örnekler:
| Sağlayıcı | Adı |
|---|---|
| Auth0 | Kimlik Sağlayıcı Oturum Açma URL'si |
| Okta | Kimlik Sağlayıcı Tek Oturum Açma URL'si |
| OneLogin | SAML 2.0 Uç Noktası (HTTP) |
SAML kimlik sağlayıcı yayımlayıcısı
SAML kimlik sağlayıcı yayımlayıcısı, IdP için benzersiz bir tanımlayıcıdır. "Yayımlayıcı" terimini "Varlık Kimliği" olarak da görebilirsiniz. IdP'den gelen iddialar bu bilgiyi içerecek ve Patrona, yayımlayıcının ayarladığınız değerle eşleştiğini doğrulayacaktır.
SAML yapılandırmanızı daha güvenli hale getirmek için bu değeri ayarlamanızı öneririz.
| Sağlayıcı | Adı |
|---|---|
| Auth0 | Kimlik Sağlayıcı Oturum Açma URL'si |
| Okta | Kimlik Sağlayıcı Yayımlayıcısı |
| OneLogin | Yayımlayıcı URL'si |
SAML kimlik sağlayıcı sertifikası
SAML kimlik sağlayıcı sertifikası, Patrona'nın IdP URI'sine bağlanırken kullanacağı kodlanmış bir sertifikadır. Sertifika, dikkatlice kopyalayıp yapıştırmanız gereken büyük bir metin bloğu gibi görünecektir — boşluklar önemlidir!
IdP'niz bu sertifikayı bir dosya olarak indirmenizi isteyebilir (genellikle .cer veya .pem), bu dosyayı bir metin düzenleyicisinde açmanız ve ardından içeriği kopyalayıp Patrona'daki kutuya yapıştırmanız gerekecektir.
Sertifika metninizin -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- gibi başlık ve altbilgi yorumlarını içerebileceğini unutmayın. Bu yorumlar, sertifika metnini Patrona'ya yapıştırırken dahil edilmelidir.
| Sağlayıcı | Adı |
|---|---|
| Auth0 | İmza Sertifikası |
| Okta | X.509 Sertifikası |
| OneLogin | X.509 Sertifikası |
SSO isteklerini imzalama ayarları (isteğe bağlı)
İsteklerin değiştirilmemesi için imzalamak için ek ayarlar sağlamanız gerekecektir.
IdP'niz SAML yanıtlarını şifreliyorsa, bu bölümün doldurulması gerektiğinden emin olmanız gerekecektir.
Bu ayarların herhangi birini, ilk kurulum sırasında veya mevcut bir değeri düzenledikten sonra değiştirirseniz, keystore dosyasının okunma şekli nedeniyle Patrona'yı yeniden başlatmanız gerekecektir.
- SAML keystore yolu: SAML isteklerini imzalamak için kullanılacak keystore dosyasının mutlak yolu.
- SAML keystore parolası: keystore'u açacak sihirli kelime.
- SAML keystore takma adı: Patrona'nın SAML isteklerini imzalamak için kullanması gereken anahtarın takma adı.
SAML Tek oturum kapatma (SLO)
Patrona, SAML için tek oturum kapatma (SLO) destekler.
SLO için uç nokta: /auth/sso/handle_slo
Yani Patrona'nız patrona.example.com adresinde hizmet veriyorsa, oturum kapatma hizmeti POST bağlama URL'si şu olacaktır:
https://patrona.example.com/auth/sso/handle_slo
IdP'niz ile grup üyeliğini senkronize etme
Bu ayar, kullanıcıları IdP'nizdeki kullanıcılarınızın bir niteliğine dayalı olarak Patrona gruplarına atamanıza olanak tanır. Bu ayar, IdP'niz tarafından sağlanan grup işlevselliği ile ilişkili olmayabilir; kişilerin Patrona gruplarını ayarlamak için ayrı bir kullanıcı niteliği oluşturmanız gerekebilir, örneğin patronaGroups.
Öncelikle, kişinin hangi Patrona gruplarının bir parçası olması gerektiğini belirtmek için kullanacağınız bir SAML kullanıcı niteliği oluşturmanız gerekecektir. Bu oluşturulan kullanıcı niteliği bir XML dizesi veya bir XML dizesi listesi olabilir. Farklı IdP'ler bunu farklı şekillerde ele alır, ancak muhtemelen kullanıcı profillerinizi düzenlemeniz veya bir kullanıcının gruplarını bir Patrona grup adları listesine eşlemenin bir yolunu bulmanız gerekecektir.
Patrona'da grup şemasını yapılandırma
SAML sağlayıcınızda her şeyi ayarladıktan sonra, Patrona'da grup şemasını yapılandırmanız gerekecektir.
- Grup üyeliklerini senkronize et ayarını açın.
- Eşlemeleri düzenle butonuna tıklay�ın.
- Bir eşleme oluştur butonuna tıklayın.
patronaGroupsnitelik değerlerinizden biri olarak girdiğiniz grubun adını girin, ardından Ekle butonuna tıklayın.- Bu belirli
patronaGroupsdeğeri olan kullanıcıların eklenmesi gereken Patrona grubunu/gruplarını seçmek içinGruplarbaşlığı altındaki açılır menüye tıklayın. - Kaydet butonuna tıklayın.
- Ardından, SAML sağlayıcınızda eklediğiniz kullanıcı niteliğinin adını girin. Bu durumda, Okta'ya
patronaGroupsniteliğininPatronaGroupNameolarak adlandırılması gerektiğini söyledik, bu yüzden Patrona'daki Grup Nitelik Adı alanına bunu gireceğiz.
SSO ile Patrona hesapları oluşturma
Ücretli planlar her ek hesap için ücret alır.
Yeni bir SSO oturumu, otomatik olarak yeni bir Patrona hesabı oluşturacaktır.
Dış kimlik sağlayıcı oturumu ile oluşturulan Patrona hesaplarının parolaları yoktur. IdP kullanarak Patrona'ya kaydolan kişiler, Patrona'ya giriş yapmak için IdP'yi kullanmaya devam etmelidir.
Parola oturumlarını devre dışı bırakma
Patrona'nızdan kendinizi kilitlemekten kaçının! Parola oturumlarını kapatmak, Patrona yönetici hesabınız da dahil olmak üzere tüm Patrona hesapları için geçerlidir. Parola oturumlarını kapatmadan önce, yönetici hesabınıza SSO kullanarak giriş yapabildiğinizden emin olun.
Kişilerin SSO ile oturum açmasını zorunlu kılmak için, Yönetici ayarları > Kimlik Doğrulama bölümünden parola kimlik doğrulamasını devre dışı bırakın. Parola Kimlik Doğrulamayı Etkinleştir geçişini kapatın.
Yeni hesap bildirim e-postaları
Kişiler SSO aracılığıyla Patrona'ya ilk kez giriş yaptıklarında, Patrona onlar için otomatik olarak bir hesap oluşturur ve bu da Patrona yöneticilerine bir e-posta bildirimi tetikler. Bu bildirimlerin gönderilmesini istemiyorsanız, Kimlik Doğrulama sayfasının altındaki bildirimleri kapatabilirsiniz.
SAML kullanarak örnek kod
SAML kimlik doğrulamasını kullanan örnek kodu SSO örnekleri deposunda bulabilirsiniz.