Entra

GLPI üzerine yeni bir SAML uygulaması ekleyin

Öncelikle GLPI üzerine bir SAML uygulaması eklemeniz gerekiyor çünkü GLPI <-> Entra/Google üzerinde bazı bilgileri bildirmemiz gerekiyor.

  • Kurulum > SAML SSO uygulamaları bölümünden + Ekle üzerine tıklayın

  • Uygulamanıza bir ad verin

  • Etkin üzerine tıklayın

  • Kaydet üzerine tıklayın

GLPI uygulaması ekleyin

  • Entra için Geçiş sekmesinden şunu seçin :

    • İsteği sıkıştır

    • Yanıtları sıkıştır

Geçişi kur

Uygulamayı Entra üzerine ekleyin

  • Entra portal sayfasını açın

  • Kurumsal uygulama üzerine tıklayın

  • Ve + Yeni uygulama üzerine tıklayın

  • Arama alanına saml toolkit yazın

  • Microsoft Entra SAML Toolkit üzerine tıklayın

Entra uygulaması oluşturun

  • İsteğe bağlı: Bu uygulamayı yeniden adlandırabilirsiniz

  • Oluştur üzerine tıklayın

Uygulama oluşturulduğunda:

  • Tek oturum açma bölümüne gidin

  • SAML üzerine tıklayın

SAM Entra uygulaması oluşturun

Uygulamayı kurun

  • Birinci alanda Düzenle üzerine tıklayın

  • Değerleri şu şekilde kopyalayın

Entra üzerindeki değerleri bildirin GLPI üzerindeki değerlere bakın

Hizmet sağlayıcıyı yapılandırın

Sağlayıcı sertifikası ve Sağlayıcı kişisel anahtarı alanlarında, var olanların yerine sertifikanızı kopyalayıp yapıştırın. Bu sertifikalar için geçerli X509 sertifikaları olmaları dışında katı gereklilikler yoktur.

Değerleri ayarlayın

Kimlik hizmeti sağlayıcısını kurun

  • Entra uygulamasının üçüncü alanında Sertifika (Base64) bölümünde İndir üzerine tıklayın

Sertifikayı indirin

  • Bu sertifikayı Notepad ++ (ya da bu tür sertifikaları okuyabilen başka bir araç) ile Açın

  • GLPI üzerindeki sertifikanın içeriğini kod imleri ile kopyalayın

  • Sertifikayı Kimlik sağlayıcısı > X509 sertifikası alanına yapıştırın

  • Ardından dördüncü alandaki bilgileri aşağıdaki gibi doldurun:

Sertifikayı yapıştırın ve değerleri ayarlayın Değerleri ayarlayın

Tüyo

REQ AUTHN CONTEXT olarak none kullanılması önerilir

Güvenlik

Bir üretim kopyası için Strict seçeneğini etkinleştirmeniz gerekir.

JIT kullanıcı oluşturma özelliğini etkinleştirmenizi öneririz. Bu seçenek, JIT Kuralları ile oluşturduğunuz kuralların uygulanmasını sağlar.

Güvenlik ayarları

Uyarı

Eklentinin bir kullanıcıyı doğrulaması için, alan e-posta olarak biçimlendirilmiş geçerli bir UPN içermelidir. Bu davranış, kullanıcılar LDAP üzerinden ayrıldığında GLPI üzerinde yinelenen kayıtlara yol açabilir. Bu önemli bir ayrıntıdır çünkü belirli senaryolarda Active Directory üzerinden ayrılan bazı kullanıcılar Entra üzerinde UPN olarak hala usersam hesap adını (eski netbui adları) kullanır. Sonuç olarak, samlResponse paketindeki nameId alanı geçerli bir e-posta adresiyle doldurulmaz. Kullanıcı adı alanı kullanılır çünkü e-posta alanının GLPI üzerinde benzersiz olması garanti edilmez ve belirli bir GLPI kullanıcısının yetkilendirilmesine izin vermek için benzersiz bir kimliğin kullanılması önemlidir.

SAML kullanma izni olan kullanıcıları ekleyin

SAML kimlik doğrulamasını kullanabilmeleri için kullanıcı/grup eklenmesi gerekir.

  • Kullanıcılar ve gruplar sekmesine tıklayın,

  • + Kullanıcı/grup ekle üzerine tıklayın

  • Gerekli tüm kullanıcıları ve grupları seçin

  • Ata üzerine tıklayın

İzin verilecek kullanıcıyı ekleyin

Eşleştirme

Profilinize ek bilgi eklemek isterseniz, Öznitelikleri ve İstekleri kullanabilirsiniz. Profiliniz Entra üzerine girilen bilgilerle doldurulur.

  • Tek oturum açma bölümünde Düzenle üzerine tıklayın

  • Diğer isteklerden birinin adresini kopyalayın

Adres şemasını kopyalayın

  • + Yeni istek ekle üzerine tıklayın

  • Bir ad seçin

  • Az önce kopyaladığınız adresi Ad alanı içine yapıştırın

  • Öznitelik seçin

  • Kaynak özniteliği olarak istediğiniz değeri arayın

  • Değişikliklerinizi kaydedin

  • Gerekli tüm değerler için bu adımı yineleyin

Entra içinde istekleri ekleyin Entra içindeki istekleri görüntüleyin

Yetki atama kuralları

Kullanıcılarınıza yetki atamak için kurallar oluşturmanız (örneğin, onlara bir profil vermeniz) gerekir.

Bunu yapmak için Yönetim > Kurallar > GLPI SAML - SAML içe aktarma kuralları bölümüne gidin veya doğrudan eklentideki JIT kuralları düğmesine tıklayın

Var olan eklentideki kuralların yalnızca ‘e-posta’ koşuluna bağlanabilmesi gibi bir katı sınırlama var. Bunu ek SamlClaims ile bağlamaya izin vermeyi planlıyoruz. Şu anda yalnızca nameId özelliği veya emailaddress isteği ile iletilen değere izin veriyor.

Örneğin, SAML kimlik doğrulaması kullanan kullanıcılarınızın Self-Service profilini edinmesini istiyorsunuz.

Ölçütlerinizi ve işlemlerinizi burada gösterildiği gibi belirleyebilirsiniz:

Kaynaklar

Microsoft Entra : https://learn.microsoft.com/en-us/entra/architecture/auth-saml

Google : https://support.google.com/a/answer/6087519?hl=en

Creative Commons Lisansı