SSO SAML di Zimbra OSE hanya tersedia untuk pengguna Zextras Suite Pro.
Mempersiapkan integrasi
Pertama-tama, untuk mengaktifkan integrasi SAML, Anda perlu menambal NGINX. Untuk melakukan ini, di folder / opt / zimbra / conf / nginx / templates /, edit file satu per satu:
- nginx.conf.web.http.default.template
- nginx.conf.web.http.template
- nginx.conf.web.https.default.template
- nginx.conf.web.https.template
Di semua file di lokasi ^ ~ / zx / bagian, ganti kontennya dengan
location ^~ /zx/ { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Port $server_port; proxy_pass ${web.upstream.zx}; }
Perubahan ini diperlukan untuk menyusun URL Protokol X dan X-Port lengkap.
Anda juga perlu mengaktifkan mesin autentikasi Zextras di tingkat domain. Ini dapat dilakukan oleh administrator server dengan memasukkan perintah zmprov modifikasiDomain example.ru zimbraAuthMech custom: zx di baris perintah .
Membangun aplikasi di Okta
Jika sebelumnya Anda belum pernah menggunakan SAML untuk mengakses sumber daya perusahaan, Anda harus membuat aplikasi sendiri untuk autentikasi pengguna. Untuk membuat aplikasi semacam itu di Okta:
1. Daftar sebagai pengembang di okta.com
2. Di akun pribadi Anda, klik tombol “Buat Integrasi Aplikasi”
3. Dalam daftar yang terbuka, pilih SAML 2.0 dan klik Berikutnya
4. Di jendela berikutnya tentukan nama untuk aplikasi Anda, pilih ikon dan atur visibilitasnya dan klik Berikutnya ketika semuanya sudah siap
5. Di jendela berikutnya:
- Tentukan alamat server Anda dengan lampiran / zx / auth / saml sebagai URL SSO
- Untuk Audiend URI, tentukan alamat server Anda dengan lampiran / zx / auth / samlMetadata
- Setel Format ID Nama ke Alamat Email
- Klik Berikutnya
6. Di mini-survey, pilih opsi jawaban pertama dan klik Selesai
7. Unduh metadata aplikasi SAML
Anda Jika Anda sudah memiliki aplikasi di Okta, unduh saja file metadata aplikasi Anda.
Mengekspor akun dari domain Zimbra OSE
Aplikasi SAML mendukung pembuatan akun baru dan mengimpor akun yang sudah ada dari Zimbra. Untuk mengimpor akun, Anda harus mengekspornya terlebih dahulu dari Zimbra dalam format .csv.
Untuk mengekspor akun, buka konsol admin Zimbra, buka tab Penelusuran dan cari pengguna dengan nama domain di kueri penelusuran. Hasil pencarian akan berupa daftar lengkap pengguna domain, yang dapat diunggah dalam format CSV dengan mengklik ikon “Setelan tambahan” di sudut kanan atas dan memilih bagian “Unggah”.
Impor CSV yang diterima ke dalam aplikasi SAML menggunakan alat yang sesuai di akun pribadi pengembang.
Integrasi aplikasi ke dalam Zimbra OSE
Untuk mengintegrasikan aplikasi SAML ke Zimbra OSE, Anda memerlukan data dari file metadata aplikasi yang diunduh sebelumnya.
Integrasi dapat dilakukan secara otomatis hanya dengan menentukan lokasi file dengan metadata di pengaturan, atau secara manual dengan menambahkan semua data yang diperlukan ke file konfigurasi.
Untuk melakukan integrasi otomatis, masukkan perintah zxsuite auth saml import example.ru url dev-3299935.okta.com/app/exkvjcggn7C7jrhc75d6/sso/saml/metadata . Jika Anda menggunakan server SAML Anda sendiri dengan sertifikat yang ditandatangani sendiri, gunakan parameter allow_insecure true untuk mengabaikan autentikasi sertifikat SSL.
Untuk integrasi manual, ekspor setelan SAML default menggunakan perintah zxsuite auth saml get example.com export_to /tmp/saml.json . Buka file yang dihasilkan /tmp/saml.json di editor mana pun dan tambahkan data berikut ke dalamnya, ganti baris yang ditandai dengan >> << dengan data dari file metadata. Dalam kasus kami, baris yang ditambahkan akan terlihat seperti ini:
«sp.nameidformat»:«urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress »,
«sp.entityid»: >> example.ru/zx/auth/samlMetadata?domain=example.ru <<,
«sp.assertion_consumer_service.url»: >> example.ru/zx/auth/saml <<,
«idp.single_sign_on_service.url»: >> dev-3299935.okta.com/app/dev-3299935_zextrassamlintegration_1/exkvjcggn7C7jrhc75d6/sso/saml <<,
«idp.entityid»: >> www.okta.com/exkvjcggn7C7jrhc75d6 <<,
«idp.x509cert»: >>MIIDpjCCAo6gAwIBAgIGAXmC9e8bMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFDASBgNVBAMMC2Rldi0zMjk5OTM1MRwwGgYJKoZIhvcNAQkB Fg1pbmZvQG9rdGEuY29tMB4XDTIxMDUxOTA0NDkyNloXDTMxMDUxOTA0NTAyNlowgZMxCzAJBgNV BAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0wCwYD VQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEUMBIGA1UEAwwLZGV2LTMyOTk5MzUxHDAa BgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB AQCOJA7bhf/LO89VpuGTHur77RbwKlJg3Eni/P4JKowSVrQD6PghwprCdzThyTsKWcHwESZoYwEL WdrZ6CVzDZWAegWJnaJivfiFlFjsEZ15UHOGizMBM3VI0ePWjaWJ6O2DM9BID2mGULnXUDbQXbf6 rE1EHxzlxzCKIBWmT8ut/JsA/lmBm0YNi4BKfP06KXCLianxoH+fEETNd/NH2mXwgHdxMV1BS/mm TAHSJtkDfWxTM+dTGngrjMANKvmChGjSO1ZXFs/pm+vx0o6ffYcoeXnfgodBX3FZ7aTFBTk0s5Se Wms1utjfa8qhHbrolErqqIc1PPBngEFvzcLjFAfRAgMBAAEwDQYJKoZIhvcNAQELBQADggEBAByU jjdAc5tdH+QFAHS0CJNYa9VNaapxuEFrlR3ZdAztIaczKUqYfHqHdXuDHYCjdHXhLFHwntBsnphk M2sk8D2zG0wpoYsEA3IrvbXoTwwqDzACpLF37S7Pfn0RjE5IvvJ9WP4DoZa9ikM/p0N+H7fpqkU2 xavoiNGOMqot9xpWrytM0P+luXereriOOzVaBS1+DuhA4INhze5luyc52X18T4HrJ3iGivfXR2os L8/PI4gZwR956Ju8tDEcmFVCelLN4FlN3ITogPK+SyKHhlTBuSGHidrGKQJBRmkLhk6lhKWTHjWP mI88ECqrA63+QvxU4KRUl1zzRgKVwrgzos4= <<
Simpan perubahan yang dibuat pada file dan impor ke Zimbra OSE menggunakan perintah zxsuite auth saml import example.ru /tmp/saml.json
Setelah menyelesaikan semua tindakan yang dijelaskan pada halaman login klien web Zimbra OSE, tombol "SAML Login" akan muncul, ketika Anda mengklik server mana yang akan menghubungi aplikasi SAML dengan permintaan untuk mengautentikasi pengguna. Jika aplikasi mengonfirmasi keaslian login, pengguna akan masuk ke akunnya tanpa memasukkan data otentikasi apa pun. Pada saat yang sama, ada kesempatan bagi pengguna untuk masuk dengan login dan kata sandi.
Untuk semua pertanyaan terkait Zextras Suite Pro dan Team Pro, Anda dapat menghubungi Perwakilan Zextras Technology Ekaterina Triandafilidi melalui email ekaterina.triandafilidi@zextras.com