# Налаштування протоколу SAML

## Огляд протоколу SAML для Єдиного входу до веб-сервісів

{% hint style="info" %}
Hideez Enterprise Server підтримує SAML 2.0 (Security Assertion Markup Language) для захищеної автентифікації користувачів, виступаючи в ролі постачальника ідентичностей (IdP) для єдиного входу (SSO) на веб-додатках (постачальниках послуг, SP), що підтримують SAML 2.0. Налаштування Hideez Server як IdP спрощує процес входу для користувачів, які користуються інтегрованими веб-додатками.
{% endhint %}

#### Основні можливості

Завдяки підтримці FIDO2 для безпарольної автентифікації, Hideez Server дозволяє постачальникам послуг здійснювати автентифікацію користувачів за допомогою:

* **Апаратних ключів безпеки** (наприклад, Hideez Key, YubiKey)
* **Passkey** (наприклад, смартфони, ноутбуки)
* **Додатка Hideez Authenticator**

Це дозволяє уникнути введення паролів і підвищує рівень безпеки.

#### Підтримувані опції входу

* Логін + пароль (не рекомендується)
* Логін + пароль + другий фактор (апаратний ключ, OTP, мобільний автентификатор)
* Безпарольний вхід (Логін + ключ безпеки, апаратний або платформний)
* Безпарольний вхід без логіна (без введення логіна та пароля)
* Апаратний або платформний ключ безпеки
* Мобільний автентифікатор

## Кроки для налаштування Hideez Server як постачальника ідентичностей (IdP)

### **1. Налаштування Hideez Server як IdP**

#### **1. Перейдіть до налаштувань SAML**

* У панелі керування Hideez Server перейдіть до **Параметри → Налаштування → SAML**.

<figure><img src="/files/G1ffsA52nAfl2hRlpSA0" alt=""><figcaption></figcaption></figure>

#### **2. Завантаження або створення сертифіката .pfx**

* Сертифікат .pfx містить як публічний сертифікат, так і приватний ключ. Ви можете:

  * **Завантажити існуючий сертифікат**: виберіть сертифікат, введіть пароль та завантажте.

  <figure><img src="/files/DuvqqeOphcdPG6hSJttM" alt="" width="563"><figcaption></figcaption></figure>

  * **Створити новий самопідписаний сертифікат**: натисніть **Створити та завантажити**, введіть пароль та завантажте.

  <figure><img src="/files/OZy88rgPy9L2VDC7NrHl" alt="" width="563"><figcaption></figcaption></figure>

{% hint style="info" %}
Сертифікат з розширенням **`.pfx`** - це файл, який містить як відкритий сертифікат, так і його закритий ключ, а також повний ланцюжок сертифікатів аж до кореневого центру сертифікації (ЦС). Зазвичай файл захищений паролем і використовується для автентифікації, шифрування та встановлення безпечних з'єднань
{% endhint %}

**3. Завантажте або перегляньте компоненти IdP**

1. **Публічний сертифікат постачальника ідентичностей (.cer):** Містить лише публічний ключ і використовується для автентифікації сервера та шифрування даних.
2. **Метадані постачальника ідентичностей:** Надають необхідну інформацію для взаємодії з постачальниками послуг (SP).

<figure><img src="/files/V8S5KF3XgQR6vimaTikD" alt="" width="563"><figcaption></figcaption></figure>

{% hint style="info" %}
**Відкритий сертифікат постачальника ідентифікаційних даних** — це файл з розширенням .cer (або .crt), що містить лише відкритий ключ та інформацію про сертифікат, але не включає закритого ключа. Його основне призначення — автентифікація сервера або користувача та шифрування даних. Файли .cer застосовуються для захисту з'єднань, таких як HTTPS для вебсайтів, автентифікації клієнтів і серверів у мережах, а також у різних корпоративних додатках. На відміну від закритого сертифіката, відкритий сертифікат не містить закритий ключ, тому його можна безпечно зберігати у відкритому доступі.

**Метадані постачальника ідентифікаційних даних (IdP**) - це файл або набір даних, які надають важливу інформацію про вашого IdP, щоб забезпечити належну взаємодію з постачальниками послуг (SP) у контексті SAML (Security Assertion Markup Language). Деякі постачальники послуг надають користувачам файли з метаданими. У цьому випадку всі необхідні поля будуть заповнені автоматично після імпорту файлу метаданих. В іншому випадку ви можете налаштувати параметри вручну. У цьому випадку налаштування залежать від конкретного постачальника послуг.
{% endhint %}

### **2. Додайте постачальника послуг (SP)**

1. **Налаштуйте параметри на стороні постачальника послуг (SP)**
   * Приклад для **Google Workspace**:
     * Перейдіть на **admin.google.com**.
     * Відкрийте **Меню → Безпека → Автентифікація → SSO із зовнішнім IdP**.
     * У розділі **Профілі сторонніх SSO** натисніть **Додати профіль SAML**.
     * Введіть назву профілю (наприклад, "Hideez Server (IdP)").
     * Вставте значення з Hideez Server:

       * Ідентифікатор видавця (Issuer / IdP Entity ID) (`наприклад, https://<your hideez server name>`) (1)
       * URL для входу (`наприклад, https://<your hideez server name>/saml/login)`(2)
       * URL для виходу (`наприклад, https://<your hideez server name>/saml/logout)` (3)
       * Завантажте **публічний сертифікат постачальника ідентичностей (.cer)**. (4)

       <div><figure><img src="/files/ZmbSLQGKG5xqt4FJ12mx" alt=""><figcaption></figcaption></figure> <figure><img src="/files/lpfSAWtZQfA7ReW79FFz" alt=""><figcaption></figcaption></figure> <figure><img src="/files/GTqiPV0DmnJGKK99vmlF" alt=""><figcaption></figcaption></figure></div>

2. **Додайте постачальника послуг у Hideez Server**

   * У Hideez Server натисніть **Додати постачальника послуг** і введіть значення SP:
     * Назва (наприклад, "Google Workspace-SAML")
     * Ідентифікатор видавця (Issuer / SP Entity ID)
     * URL ACS

   <div><figure><img src="/files/Tf7tUA98uBxWv8GnHnAr" alt="" width="563"><figcaption></figcaption></figure> <figure><img src="/files/RiWxBUj87qixMHEOt2nY" alt=""><figcaption></figcaption></figure> <figure><img src="/files/atTxjp5NT3QzxL3p4XF6" alt=""><figcaption></figcaption></figure></div>

3. **Додаткові налаштування постачальника послуг**
   * **Служба єдиного виходу**: точка входу SP для завершення сесії під час виходу. Отримайте URL зі сторінки налаштувань SP.
   * **Формат ідентифікатора користувача (Name ID Format)**: виберіть залежно від вимог SP (Email, x509 тощо).
   * **Увімкніть перевірку підпису запиту**: покращує безпеку шляхом перевірки вхідних запитів SAML.
   * **Атрибути твердження**: налаштуйте відображення атрибутів для передачі необхідної інформації про користувача на SP.

## Приклади підтримуваних додатків для інтеграції SAML:

* [**Citrix**](/integraciyi-servera-hideez/saml-integraciyi/servisi-citrix.md)
* [**Fortinet**](/integraciyi-servera-hideez/saml-integraciyi/servisi-fortinet.md)
* [**ASA AnyConnect VPN**](/integraciyi-servera-hideez/saml-integraciyi/nalashtuvannya-asa-anyconnect-vpn-razom-z-hideez-enterprise-server-cherez-saml.md)
* [**GitLab on premises**](/integraciyi-servera-hideez/saml-integraciyi/nalashtuvannya-saml-dlya-gitlab-on-premises.md)

## Hideez Server може бути реалізований як IdP для наступних додатків (SP):

1. [**Microsoft Office 365**](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-fed-saml-idp)
2. [**Salesforce**](https://help.salesforce.com/s/articleView?id=sf.sso_saml_setting_up.htm\&type=5)
3. [**Slack**](https://slack.com/help/articles/203772216-SAML-single-sign-on)
4. [**Dropbox business**](https://help.dropbox.com/security/supported-identity-providers)
5. [**Zoom**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0060673)
6. [**Atlassian (Jira, Confluence)**](https://support.atlassian.com/security-and-access-policies/docs/configure-saml-single-sign-on-with-an-identity-provider/)
7. [**Amazon Web Services (AWS)**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
8. [**GitHub**](https://docs.github.com/en/enterprise-server@3.6/admin/identity-and-access-management/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise)
9. [**GitLab**](https://docs.gitlab.com/ee/integration/saml.html)
10. [**Zendesk**](https://support.zendesk.com/hc/en-us/articles/4408887505690-Enabling-SAML-single-sign-on)
11. [**VMware**](https://docs.vmware.com/en/VMware-Horizon-7/7.13/horizon-administration/GUID-B08D6C13-8AA0-4B2C-A70F-C221ADFFF1D2.html)
12. [**Adobe Creative Cloud**](https://helpx.adobe.com/enterprise/using/set-up-identity.html)
13. [**Box**](https://support.box.com/hc/en-us/articles/360043696514-Setting-Up-Single-Sign-On-SSO-for-Your-Enterprise)
14. [**Okta**](https://help.okta.com/en-us/content/topics/apps/apps-about-saml.htm)
15. [**Cisco Webex**](https://help.webex.com/article/n87xbkc/Webex-from-your-Service-Provider)

{% hint style="info" %}
Якщо вам потрібна допомога з інтеграцією вашого веб-додатка з Hideez Server через SAML, звертайтеся до[ **нас**](mailto:support@hideez.com). Ми завжди готові допомогти!
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://enterprise-ua.hideez.com/korporativnii-server-hideez/nalashtuvannya-protokolu-saml.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.