# Налаштування протоколу SAML
## Огляд протоколу SAML для Єдиного входу до веб-сервісів
{% hint style="info" %}
Hideez Enterprise Server підтримує SAML 2.0 (Security Assertion Markup Language) для захищеної автентифікації користувачів, виступаючи в ролі постачальника ідентичностей (IdP) для єдиного входу (SSO) на веб-додатках (постачальниках послуг, SP), що підтримують SAML 2.0. Налаштування Hideez Server як IdP спрощує процес входу для користувачів, які користуються інтегрованими веб-додатками.
{% endhint %}
#### Основні можливості
Завдяки підтримці FIDO2 для безпарольної автентифікації, Hideez Server дозволяє постачальникам послуг здійснювати автентифікацію користувачів за допомогою:
* **Апаратних ключів безпеки** (наприклад, Hideez Key, YubiKey)
* **Passkey** (наприклад, смартфони, ноутбуки)
* **Додатка Hideez Authenticator**
Це дозволяє уникнути введення паролів і підвищує рівень безпеки.
#### Підтримувані опції входу
* Логін + пароль (не рекомендується)
* Логін + пароль + другий фактор (апаратний ключ, OTP, мобільний автентификатор)
* Безпарольний вхід (Логін + ключ безпеки, апаратний або платформний)
* Безпарольний вхід без логіна (без введення логіна та пароля)
* Апаратний або платформний ключ безпеки
* Мобільний автентифікатор
## Кроки для налаштування Hideez Server як постачальника ідентичностей (IdP)
### **1. Налаштування Hideez Server як IdP**
#### **1. Перейдіть до налаштувань SAML**
* У панелі керування Hideez Server перейдіть до **Параметри → Налаштування → SAML**.
#### **2. Завантаження або створення сертифіката .pfx**
* Сертифікат .pfx містить як публічний сертифікат, так і приватний ключ. Ви можете:
* **Завантажити існуючий сертифікат**: виберіть сертифікат, введіть пароль та завантажте.
* **Створити новий самопідписаний сертифікат**: натисніть **Створити та завантажити**, введіть пароль та завантажте.
{% hint style="info" %}
Сертифікат з розширенням **`.pfx`** - це файл, який містить як відкритий сертифікат, так і його закритий ключ, а також повний ланцюжок сертифікатів аж до кореневого центру сертифікації (ЦС). Зазвичай файл захищений паролем і використовується для автентифікації, шифрування та встановлення безпечних з'єднань
{% endhint %}
**3. Завантажте або перегляньте компоненти IdP**
1. **Публічний сертифікат постачальника ідентичностей (.cer):** Містить лише публічний ключ і використовується для автентифікації сервера та шифрування даних.
2. **Метадані постачальника ідентичностей:** Надають необхідну інформацію для взаємодії з постачальниками послуг (SP).
{% hint style="info" %}
**Відкритий сертифікат постачальника ідентифікаційних даних** — це файл з розширенням .cer (або .crt), що містить лише відкритий ключ та інформацію про сертифікат, але не включає закритого ключа. Його основне призначення — автентифікація сервера або користувача та шифрування даних. Файли .cer застосовуються для захисту з'єднань, таких як HTTPS для вебсайтів, автентифікації клієнтів і серверів у мережах, а також у різних корпоративних додатках. На відміну від закритого сертифіката, відкритий сертифікат не містить закритий ключ, тому його можна безпечно зберігати у відкритому доступі.
**Метадані постачальника ідентифікаційних даних (IdP**) - це файл або набір даних, які надають важливу інформацію про вашого IdP, щоб забезпечити належну взаємодію з постачальниками послуг (SP) у контексті SAML (Security Assertion Markup Language). Деякі постачальники послуг надають користувачам файли з метаданими. У цьому випадку всі необхідні поля будуть заповнені автоматично після імпорту файлу метаданих. В іншому випадку ви можете налаштувати параметри вручну. У цьому випадку налаштування залежать від конкретного постачальника послуг.
{% endhint %}
### **2. Додайте постачальника послуг (SP)**
1. **Налаштуйте параметри на стороні постачальника послуг (SP)**
* Приклад для **Google Workspace**:
* Перейдіть на **admin.google.com**.
* Відкрийте **Меню → Безпека → Автентифікація → SSO із зовнішнім IdP**.
* У розділі **Профілі сторонніх SSO** натисніть **Додати профіль SAML**.
* Введіть назву профілю (наприклад, "Hideez Server (IdP)").
* Вставте значення з Hideez Server:
* Ідентифікатор видавця (Issuer / IdP Entity ID) (`наприклад, https://`) (1)
* URL для входу (`наприклад, https:///saml/login)`(2)
* URL для виходу (`наприклад, https:///saml/logout)` (3)
* Завантажте **публічний сертифікат постачальника ідентичностей (.cer)**. (4)
2. **Додайте постачальника послуг у Hideez Server**
* У Hideez Server натисніть **Додати постачальника послуг** і введіть значення SP:
* Назва (наприклад, "Google Workspace-SAML")
* Ідентифікатор видавця (Issuer / SP Entity ID)
* URL ACS
3. **Додаткові налаштування постачальника послуг**
* **Служба єдиного виходу**: точка входу SP для завершення сесії під час виходу. Отримайте URL зі сторінки налаштувань SP.
* **Формат ідентифікатора користувача (Name ID Format)**: виберіть залежно від вимог SP (Email, x509 тощо).
* **Увімкніть перевірку підпису запиту**: покращує безпеку шляхом перевірки вхідних запитів SAML.
* **Атрибути твердження**: налаштуйте відображення атрибутів для передачі необхідної інформації про користувача на SP.
## Приклади підтримуваних додатків для інтеграції SAML:
* [**Citrix**](https://enterprise-ua.hideez.com/integraciyi-servera-hideez/saml-integraciyi/servisi-citrix)
* [**Fortinet**](https://enterprise-ua.hideez.com/integraciyi-servera-hideez/saml-integraciyi/servisi-fortinet)
* [**ASA AnyConnect VPN**](https://enterprise-ua.hideez.com/integraciyi-servera-hideez/saml-integraciyi/nalashtuvannya-asa-anyconnect-vpn-razom-z-hideez-enterprise-server-cherez-saml)
* [**GitLab on premises**](https://enterprise-ua.hideez.com/integraciyi-servera-hideez/saml-integraciyi/nalashtuvannya-saml-dlya-gitlab-on-premises)
## Hideez Server може бути реалізований як IdP для наступних додатків (SP):
1. [**Microsoft Office 365**](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-fed-saml-idp)
2. [**Salesforce**](https://help.salesforce.com/s/articleView?id=sf.sso_saml_setting_up.htm\&type=5)
3. [**Slack**](https://slack.com/help/articles/203772216-SAML-single-sign-on)
4. [**Dropbox business**](https://help.dropbox.com/security/supported-identity-providers)
5. [**Zoom**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0060673)
6. [**Atlassian (Jira, Confluence)**](https://support.atlassian.com/security-and-access-policies/docs/configure-saml-single-sign-on-with-an-identity-provider/)
7. [**Amazon Web Services (AWS)**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
8. [**GitHub**](https://docs.github.com/en/enterprise-server@3.6/admin/identity-and-access-management/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise)
9. [**GitLab**](https://docs.gitlab.com/ee/integration/saml.html)
10. [**Zendesk**](https://support.zendesk.com/hc/en-us/articles/4408887505690-Enabling-SAML-single-sign-on)
11. [**VMware**](https://docs.vmware.com/en/VMware-Horizon-7/7.13/horizon-administration/GUID-B08D6C13-8AA0-4B2C-A70F-C221ADFFF1D2.html)
12. [**Adobe Creative Cloud**](https://helpx.adobe.com/enterprise/using/set-up-identity.html)
13. [**Box**](https://support.box.com/hc/en-us/articles/360043696514-Setting-Up-Single-Sign-On-SSO-for-Your-Enterprise)
14. [**Okta**](https://help.okta.com/en-us/content/topics/apps/apps-about-saml.htm)
15. [**Cisco Webex**](https://help.webex.com/article/n87xbkc/Webex-from-your-Service-Provider)
{% hint style="info" %}
Якщо вам потрібна допомога з інтеграцією вашого веб-додатка з Hideez Server через SAML, звертайтеся до[ **нас**](mailto:support@hideez.com). Ми завжди готові допомогти!
{% endhint %}
.png?alt=media&token=a0e9c977-77b3-4ff1-a123-6639c9a840d6)
.png?alt=media&token=99aae1c6-ea34-4763-8608-eca09b94588a)