Okta ile SAML

1. Patrona'da SAML tabanlı SSO'yu açın
2. Okta'da SAML'yi ayarlayın.
3. Patrona'da SAML'yi ayarlayın.

İsteğe bağlı olarak, Okta kullanıcılarını otomatik olarak Patrona gruplarına atamak için grup eşlemelerini yapılandırabilirsiniz.

Genel SAML bilgileri için SAML ile kimlik doğrulama bölümüne bakın.

Patrona'da SAML tabanlı SSO'yu açın

Yönetici alanının Yönetici > Ayarlar bölümünde, Kimlik Doğrulama sekmesine gidin ve SAML altında Ayarla'yı tıklayın.

Şuna benzer bir SAML yapılandırma formu göreceksiniz:

Okta'da SAML'yi ayarlamak için bu formdaki bilgileri kullanmanız gerekecektir.

Okta'da SAML'yi ayarlayın

Patrona'da SAML kimlik doğrulamasını yapılandırmadan önce, Okta'da yeni bir SAML uygulama entegrasyonu oluşturmanız gerekir.

Okta'da bir uygulama entegrasyonu oluşturun

Okta Yönetici konsolundan, Patrona ile kullanmak üzere yeni bir SAML uygulama entegrasyonu oluşturun.

Okta SAML ayarlarını yapılandırın

Okta uygulama entegrasyonunu Patrona ile yapılandırmak için, Yönetici paneli > Kimlik Doğrulama > SAML bölümünde Patrona'da bulunan bilgileri kullanmanız gerekecektir.

Genel ayarlar

Okta SAML	Patrona SAML
Tek oturum açma URL'si	IdP'nin yönlendirmesi gereken URL. Bu, Patrona Site URL'nizdir -- https:// ile başlamalı ve /auth/sso ile bitmelidir.
Hedef Kitle URI'si (SP Varlık Kimliği)	SAML Uygulama Adı (varsayılan olarak "Patrona")

Öznitelik ifadeleri

Okta uygulama SAML ayarının Öznitelik ifadeleri (isteğe bağlı) bölümünde, aşağıdaki öznitelik ifadelerini oluşturun:

• e-posta adresi
• ad (verilen ad)
• soyadı (soyadı)

Okta bunların isteğe bağlı olduğunu söylese bile, Patrona bunları gerektirir. Okta, kişilerin otomatik olarak Patrona'da oturum açması için kimlik doğrulama sırasında bu öznitelikleri Patrona'ya iletecektir.

Ad	Değer
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.email
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	user.firstName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	user.lastName

Okta'daki öznitelik ifadesinin adları, Patrona'daki öznitelik adlarıyla eşleşmelidir (adlar büyük/küçük harfe duyarlıdır). Okta uygulama yapılandırmanızda varsayılan olmayan öznitelik adları kullanmak istiyorsanız, Yönetici paneli > Kimlik Doğrulama > SAML bölümünde Patrona'daki öznitelik alanlarının adlarını da değiştirmeniz gerekecektir.

Kişilerin e-posta adresi özniteliklerini düzenleyemediğinden emin olun. Kişilerin Patrona'nızda oturum açması (veya ilk oturum açmada bir Patrona hesabı oluşturması) için, IdP'niz e-posta adresi özniteliğini Patrona'ya iletecektir. Bir kişi e-posta adresi özniteliğini değiştirebilirse, kendi hesapları dışındaki Patrona hesaplarına erişebilirler.

Bir Okta onayının örneği

Okta tarafından oluşturulan XML dosyasını görüntülemek için SAML onayını önizle'yi tıklayabilirsiniz. Şuna benzer görünmelidir:

<saml2:Assertion
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="id4170618837332381492734749" IssueInstant="2019-03-27T17:56:11.067Z" Version="2.0">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">http://www.okta.com/Issuer</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">userName</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData NotOnOrAfter="2019-03-27T18:01:11.246Z" Recipient="https://patrona.mycompany.com/auth/sso"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2019-03-27T17:51:11.246Z" NotOnOrAfter="2019-03-27T18:01:11.246Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>my-patrona-app</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2019-03-27T17:56:11.067Z">
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
    <saml2:AttributeStatement>
        <saml2:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
              Cam
            </saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
              Saul
            </saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
              [email protected]
            </saml2:AttributeValue>
        </saml2:Attribute>
    </saml2:AttributeStatement>
</saml2:Assertion>

Patrona'da SAML'yi ayarlayın

Okta'da SAML uygulamanızı ayarladıktan sonra, Patrona'da SAML'yi yapılandırmanız gerekecektir. Okta'dan bazı bilgilere ihtiyacınız olacak:

1. Okta'da, Patrona uygulama entegrasyonunuzun sayfasına gidin.
2. Oturum Açma sekmesine gidin.
3. SAML kurulum talimatlarını görüntüle'yi tıklayın.

Patrona SAML formunu Yönetici paneli > Kimlik Doğrulama > SAML bölümünde doldurmak için Okta SAML talimatlarındaki bilgileri kullanın:

Patrona SAML	Okta SAML
SAML Kimlik Sağlayıcı URL'si	Kimlik Sağlayıcı Tek Oturum Açma URL'si
SAML Kimlik Sağlayıcı Sertifikası	X.509 Sertifikası*
SAML Kimlik Sağlayıcı Yayıncısı	Kimlik Sağlayıcı Yayıncısı

*---BEGIN CERTIFICATE--- ve ---END CERTIFICATE--- gibi herhangi bir başlık ve altbilgi yorumunu eklediğinizden emin olun.

Grup eşlemelerini yapılandırın

Kişiler oturum açtığında Patrona gruplarına otomatik olarak atamak için Patrona'yı yapılandırabilirsiniz. Patrona'ya gruplar bilgisini iletecek bir SAML öznitelik ifadesi oluşturmanız ve ardından Patrona'yı bu özniteliği okuyacak ve içeriğini Patrona gruplarıyla eşleyecek şekilde yapılandırmanız gerekecektir.

Şunlardan birini kullanabilirsiniz:

• Kullanıcının Patrona gruplarını içeren özel bir kullanıcı profili özniteliği.
• Okta Kullanıcı Grupları.

Grupları atamak için bir kullanıcı profili özniteliği kullanın

Özel bir kullanıcı profili özniteliği oluşturabilir ve her kullanıcı için Patrona gruplarıyla doldurabilirsiniz.

1. Okta Profil Düzenleyici'de, patronaGroups adlı yeni bir Kullanıcı Profili özniteliği oluşturun; bu bir string veya bir string array olabilir.

2. Okta'daki her kullanıcı için, patronaGroups özniteliğini Patrona grubu(ları) ile doldurun.

   

   Okta'daki gruplar için Patrona'da kullanacağınız adları kullanmanızı öneririz.

   Patrona gruplarının Okta Kullanıcı Gruplarına karşılık gelmesi gerekmez. Patrona Gruplarını ayarlamak için Okta Kullanıcı Gruplarını kullanmak istiyorsanız, Okta Kullanıcı Gruplarını Patrona gruplarıyla eşleme bölümüne bakın.

   Patrona, öznitelikleri bir dizi olarak geçirmesini beklediğinden, Okta hesabınızda SAML_SUPPORT_ARRAY_ATTRIBUTES etkinleştirilmiş olmalıdır. Okta hesabınız eskiyse, SAML_SUPPORT_ARRAY_ATTRIBUTES'ı etkinleştirmek için Okta desteğine başvurmanız gerekebilir.

3. Patrona uygulama entegrasyonu için Okta SAML ayarlarında, user.patronaGroups değeriyle (az önce oluşturduğunuz profil özniteliği) yeni bir öznitelik ifadesi PatronaGroupName ekleyin

   

4. Patrona SAML ayarlarında:

• Grup Üyeliklerini Senkronize Et'i açın.

• Okta kullanıcılarına eklediğiniz grupların her biri için, bir Patrona grubuyla yeni bir eşleme ayarlayın.

• Grup öznitelik adı bölümüne PatronaGroupName (SAML öznitelik ifadesinin adı) girin.

  

Okta Kullanıcı Gruplarını Patrona gruplarıyla eşleme

1. Patrona gruplarına karşılık gelen Okta Kullanıcı grupları oluşturun ve bunları Okta kullanıcılarına atayın.

2. Okta'nın Patrona uygulama entegrasyonu için SAML Ayarlarında, yeni bir öznitelik ifadesi PatronaGroupName ekleyin, türü "Temel" olarak ayarlayın ve değeri şu şekilde ayarlayın:

   Arrays.flatten(getFilteredGroups({"groupID1", "groupID2"}, "group.name", 100))

   Burada {"groupId1", "groupId2"} içindeki Grup Kimlikleri, Patrona gruplarıyla eşlemek istediğiniz gruplardır. Okta Grup Kimliğini, grubun sayfasının URL'sinde bulabilirsiniz: https://your-okta-url.okta.com/admin/group/GROUP_ID.

   Bu ifade, bir kullanıcının parçası olduğu Okta Kullanıcı Gruplarının adlarını alacak ve bunları bir dizi olarak döndürecektir.

   

   Patrona, öznitelikleri bir dizi olarak geçirmesini beklediğinden, Okta hesabınızda SAML_SUPPORT_ARRAY_ATTRIBUTES etkinleştirilmiş olmalıdır. Okta hesabınız eskiyse, SAML_SUPPORT_ARRAY_ATTRIBUTES'ı etkinleştirmek için Okta desteğine başvurmanız gerekebilir.

   Ardından, Patrona'ya Okta gruplarını Patrona gruplarıyla nasıl eşleyeceğini söylemeniz gerekecektir.

3. Patrona SAML ayarlarında:

• Grup Üyeliklerini Senkronize Et'i açın.

• Okta kullanıcılarına eklediğiniz grupların her biri için, bir Patrona grubuyla yeni bir eşleme ayarlayın.

• Grup öznitelik adı bölümüne PatronaGroupName (SAML öznitelik ifadesinin adı) girin.

  

SAML sorunlarını giderme

Yaygın sorunlar için SAML sorunlarını giderme bölümüne gidin.

Daha fazla okuma

• Kullanıcı tedariki