Google¶
GLPI üzerine yeni bir SAML uygulaması ekleyin¶
Öncelikle GLPI üzerine bir SAML uygulaması eklemeniz gerekiyor çünkü GLPI <-> Entra/Google üzerinde bazı bilgileri bildirmemiz gerekiyor.
Kurulum > SAML SSO uygulamaları bölümünden + Ekle üzerine tıklayın
Uygulamanıza bir ad verin
Etkin üzerine tıklayın
Kaydet üzerine tıklayın
Uygulamayı Google üzerine ekleyin¶
Google portal sayfasını açın
Uygulamalar üzerine tıklayın
Web ve mobil uygulamalar üzerine tıklayın
Ardından Uygulama ekle üzerine tıklayın
Ve Özel SAML uygulaması ekle üzerine tıklayın
Uygulamanıza bir ad verin
İlerle üzerine tıklayın
GLPI üzerinde Kaydet üzerine tıklayın.
Kimlik hizmeti sağlayıcısını kurun¶
Değerleri aşağıdaki 2 ekran görüntüsünde gösterildiği gibi yazın
Tüyo
GLPI üzerinden sertifikanın içeriğini —BEGIN CERTIFICATE— —END CERTIFICATE— kod imleri ile kopyalayıp yapıştırın
Hizmet sağlayıcıyı yapılandırın¶
Hizmet sağlayıcı bilgilerinden GLPI üzerindeki değerleri Google tarafına bildirin:
Google tarafından Ad kimliği biçimi olarak E-POSTA seçin
Ad kimliği bölümünden Temel bilgiler > Birincil e-posta seçin
GLPI üzerinden NAMEID FORMAT olarak E-posta adresi seçin
Sağlayıcı sertifikası ve Sağlayıcı kişisel anahtarı alanlarında, var olanların yerine sertifikanızı kopyalayıp yapıştırın. Bu sertifikalar için geçerli X509 sertifikaları olmaları dışında katı gereklilikler yoktur.
İlerle üzerine tıklayın
Bitti üzerine tıklayın
Uygulamanız oluşturuldu
Güvenlik¶
Bir üretim kopyası için GLPI üzerindeki SAML kurulum eklentisinde Strict seçeneğini etkinleştirmeniz gerekir.
JIT kullanıcı oluşturma özelliğini etkinleştirmenizi öneririz. Bu seçenek, JIT Kuralları ile oluşturduğunuz kuralların uygulanmasını sağlar.
Uyarı
Eklentinin bir kullanıcıyı doğrulaması için, alan e-posta olarak biçimlendirilmiş geçerli bir UPN içermelidir. Bu davranış, kullanıcılar LDAP üzerinden ayrıldığında GLPI üzerinde yinelenen kayıtlara yol açabilir. Bu önemli bir ayrıntıdır çünkü belirli senaryolarda Active Directory üzerinden ayrılan bazı kullanıcılar Entra üzerinde UPN olarak hala usersam hesap adını (eski netbui adları) kullanır. Sonuç olarak, samlResponse paketindeki nameId alanı geçerli bir e-posta adresiyle doldurulmaz. Kullanıcı adı alanı kullanılır çünkü e-posta alanının GLPI üzerinde benzersiz olması garanti edilmez ve belirli bir GLPI kullanıcısının yetkilendirilmesine izin vermek için benzersiz bir kimliğin kullanılması önemlidir.
SAML kullanma izni olan kullanıcıları ekleyin¶
SAML kimlik doğrulamasını kullanabilmeleri için kullanıcı/grup eklenmesi gerekir.
Uygulamanızda Kullanıcı erişimi bölümündeki Ayrıntıları görüntüle sekmesine tıklayın
Herkes için üzerine tıklayın
Kaydet üzerine tıklayın
Eşleştirme¶
Profilinize ek bilgi eklemek isterseniz, öznitelikleri kullanabilirsiniz. Profiliniz Entra üzerine girilen bilgilerle doldurulur.
Uygulamanızda SAML öznitelik eşlemesi bölümünde SAML öznitelik eşlemesini yapılandır üzerine tıklayın
Diğer isteklerden birinin adresini kopyalayın
İstediğiniz bilgileri ekleyin
Kaydet üzerine tıklayın
Yetki atama kuralları¶
Kullanıcılarınıza yetki atamak için kurallar oluşturmanız (örneğin, onlara bir profil vermeniz) gerekir.
Bunu yapmak için Yönetim > Kurallar > GLPI SAML - SAML içe aktarma kuralları bölümüne gidin veya doğrudan eklentideki JIT kuralları düğmesine tıklayın
Var olan eklentideki kuralların yalnızca ‘e-posta’ koşuluna bağlanabilmesi gibi bir katı sınırlama var. Bunu ek SamlClaims ile bağlamaya izin vermeyi planlıyoruz. Şu anda yalnızca nameId özelliği veya emailaddress isteği ile iletilen değere izin veriyor.
Örneğin, SAML kimlik doğrulaması kullanan kullanıcılarınızın Self-Service profilini edinmesini istiyorsunuz.
Ölçütlerinizi ve işlemlerinizi burada gösterildiği gibi belirleyebilirsiniz:
Kaynaklar¶
Microsoft Entra : https://learn.microsoft.com/en-us/entra/architecture/auth-saml
Google : https://support.google.com/a/answer/6087519?hl=en
