# Konfiguracja SAML
#### SAML zapewnia bezpieczne logowanie jednokrotne (SSO) poprzez integrację dostawcy tożsamości (IdP) z rozwiązaniem Xopero ONE. Dzięki temu użytkownicy mogą uwierzytelniać się przy użyciu scentralizowanych danych logowania, co jednocześnie gwarantuje kontrolowany dostęp oraz zgodność z przepisami i standardami (compliance).
***
## Przegląd
Integracja IdP z **Xopero ONE** odbywa się za pośrednictwem protokołu SAML 2.0, co oznacza, że z rozwiązaniem **Xopero ONE** można zintegrować każdą platformę obsługującą ten standard.
Proces konfiguracji jest prosty i wymaga jedynie podania identyfikatora jednostki (entity ID), adresu URL metadanych (metadata URL), adresu URL odpowiedzi (reply URL) oraz adresu URL wylogowania (logout URL) — przy czym nazwy te mogą się różnić w zależności od konwencji nazewnictwa stosowanej przez konkretną platformę. W niektórych przypadkach wymagane jest również dostarczenie certyfikatu oraz klucza prywatnego.
***
## Konfiguracja
{% hint style="danger" %}
Nie należy testować integracji bezpośrednio w panelu dostawcy tożsamości (np. w portalu **Azure**), ponieważ spowoduje to zainicjowanie procesu logowania z poziomu panelu IdP.
{% endhint %}
Poniższa tabela ilustruje konfigurację integracji SAML dla wybranych platform, w tym [Auth0](#auth0), [Azure AD](#azure-a-d), [CyberArk](#cyberark), [Google](#google), [JumpCloud](#jumpcloud), [Okta](#okta), oraz [OneLogin](#onelogin).
{% tabs %}
{% tab title="Auth0" %}
## Konfiguracja w Auth0
1. Otwórz swój dashboard w **Auth0**, przejdź do **Dashboard** > **Applications** > **Applications**, następnie kliknij przycisk **Create Application** w prawym górnym rogu ekranu.
2. W oknie **Create application** wprowadź unikalną, własną nazwę aplikacji (w tym przykładzie użyjemy **XoperoAuth0**), wybierz opcję **Regular Web Applications** i kliknij **Create**:
3. W oknie nowo utworzonej aplikacji przejdź do zakładki **Settings** , przewiń na sam dół i kliknij **Advanced Settings** aby rozwinąć.
4. Przejdź do zakładki **Endpoints** i znajdź sekcję **SAML** . Skopiuj **SAML Metadata URL** i zapisz na później — będzie potrzebny do konfiguracji **Xopero ONE**.
5. Przewiń z powrotem na górę i otwórz zakładkę **Addons** następnie przełącz przycisk **SAML2 WEB APP**.
6. W otwartym oknie przejdź do zakładki **Settings** i wpisz **Application Callback URL** w następujący sposób:
> ****/Auth/AssertionConsumerService
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
7. W tej samej zakładce przewiń w dół wewnątrz pola kodu i odkomentuj 31., 32. i 33. linię, a następnie edytuj linię 32 w następujący sposób:
```
“callback”: "https://XoperoONEManagementServiceURL/auth/SAMLLogoutResponse"
```
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
8. Po zakończeniu przewiń na dół okna dodatku i kliknij przycisk **Enable** a następnie zamknij okno, aby zakończyć konfigurację aplikacji.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **Auth0.**
>
> **Entity ID:** powinno być takie samo jak nazwa ustawiona jako nazwa aplikacji w **Auth0** (w tym przykładzie to **XoperoAuth0**).
3. Następnie wklej uprzednio skopiowany **SAML Metadata URL** w polu **URL metadanych.**
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla użytkowników z uprawnieniami do uwierzytelniania **Auth0** **SAML**.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="Azure AD" %}
## Konfiguracja w Azure
1. Zaloguj się do [portal.azure.com](http://portal.azure.com/), wybierz **Azure Active Directory** i kliknij **Enterprise applications**.
2. Kliknij **New application** button a następnie **Create your own application**.
3. Wprowadź własną nazwę aplikacji i wybierz **Integrate any other application you don’t find in the gallery (Non-gallery)**.
4. Potwierdź konfigurację i kliknij przycisk **Create**.
5. Otwórz zakładkę **Single sign-on** i wybierz metodę **SAML**.
6. Kliknij przycisk **Edit** w sekcji ① **Basic SAML Configuration** aby ją edytować.
7. Skonfiguruj unikalny **Identifier (Entity ID)** np. **SAMLTestAzure**
8. Wprowadź następujący URL w sekcji **Reply URL (Assertion Consumer Service URL)**:
> ****/Auth/AssertionConsumerService
9. Zmień **Logout Url (Optional)** na następujący adres:
> ****/auth/SAMLLogoutResponse
{% hint style="warning" %}
W powyższych adresach zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
10. Sprawdź, czy wprowadzone informacje są poprawne i kliknij przycisk **Save**.
11. Następnie kliknij przycisk **Edit** w sekcji ② **Attributes & Claims** i naciśnij przycisk ➕**Add a group claim**.
12. Wybierz **All groups** i przejdź do **Advanced options**. Zaznacz pole **Filter group** i uzupełnij pola w następujący sposób:
> **Attribute to match**: Display name\
> **Match with**: Prefix\
> **String**: XONE
13. Zaznacz pole **Customize the name of the group claim**. Wpisz **xoperogroup** w polu **Name** i zapisz ustawienia.
14. Wróć do strony **SAML-based Sign-on** i skopiuj **App Federation Metadata Url**, będzie potrzebny później.
15. Zapisz ustawienia.
16. Otwórz zakładkę **Users and groups** i kliknij przycisk ➕ **Add user/group**. Wybierz użytkowników, którym chcesz umożliwić logowanie do **Xopero ONE** i zapisz ustawienia.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **Azure AD.**
>
> **Entity ID:** powinno być takie samo jak nazwa ustawiona jako **Identifier (Entity ID)** w **Azure** (w tym przykładzie to **SAMLTestAzure**).
3. Następnie wklej uprzednio skopiowany **App Federation Metadata Url** w polu **Metadata URL** .
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla użytkowników z uprawnieniami do uwierzytelniania **Azure** **SAML**.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="CyberArk" %}
## Konfiguracja w CyberArk
1. Zaloguj się do konta **CyberArk**. Rozwiń menu rozwijane **Apps & Widgets** dropdown i wybierz **Web Apps**.
2. Kliknij przycisk **Add Web Apps** w prawym górnym rogu.
3. Przejdź do zakładki **Custom**, znajdź na liście **SAML**, a następnie kliknij przycisk **Add**, obok SAML.
4. Potwierdź dodanie SAML jako aplikacji sieciowej.
5. Zostaniesz przekierowany do ustawień aplikacji sieciowej SAML. Zacznij od ustawienia własnej nazwy dla aplikacji (np. **XONESAML**).
6. Następnie ustaw unikalny **Application ID** w sekcji **Advanced** i **Zapisz** swoje ustawienia (w tym przykładzie użyjemy **XONESAMLID**).
7. Otwórz zakładkę **Trust** i skopiuj **Metadata URL** w sekcji **Identity Provider Configuration** (będzie później potrzebny do konfiguracji **Xopero ONE**).
8. Następnie zjedź niżej do sekcji **Service Provider Configuration**, ustaw ją na **Manual Configuration** oraz wprowadź następujące dane:
> W **SP Entity ID / Issuer / Audience** wpisz wcześniej zdefiniowane **Application ID** (w tym przykładzie jest to **XONESAMLID**)
>
> W **Assertion Consumer Service (ACS) URL** wprowadź:
>
> ****/Auth/AssertionConsumerService
>
> W **Single Logout URL** wprowadź:
>
> ****/auth/SAMLLogoutResponse
{% hint style="warning" %}
W powyższych adresach zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
Przegląd domyślnej konfiguracji.
9. Przejdź do zakładki **SAML Response** i przewiń do sekcji **Script to set custom claims**. Wprowadź poniższy skrypt i naciśnij przycisk **Save**:
{% code overflow="wrap" lineNumbers="true" %}
```xml
setFilteredAttributeArray("xoperogroup", LoginUser.RoleNames, "XONE.*");
setFilteredAttributeArray("xoperogroup", LoginUser.GroupNames, "XONE.*");
```
{% endcode %}
10. Udaj się do zakładki **Permissions**, kliknij przycisk **Add**, wybierz wszystkich użytkowników, których chcesz autoryzować do używania integracji SAML, następnie **Zapisz s**woje ustawienia.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **CyberArk.**
>
> **Entity ID:** powinno być takie samo jak nazwa ustawiona jako **Application ID** w **CyberArk** (w tym przykładzie to **XONESAMLID**).
3. Następnie wstaw poprzednio skopiowany adres **Metadata URL** w polu **Metadata URL**.
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla wszystkich użytkowników, których chcesz autoryzować do korzystania z integracji **CyberArk** SAML.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="Google" %}
## Konfiguracja w Google
1. Zaloguj się do konsoli administratora **Google**. Następnie, kliknij ikonę menu  w lewym górnym rogu ekranu i przejdź do **Apps** > **Web and** **mobile apps**. Kliknij **Add app** i z menu rozwijanego wybierz **Add custom SAML app**.
2. Na stronie szczegółów aplikacj utwórz własną nawę aplikacji i wpisz ją w polu **App Name**, następnie kliknij **Continue**.
3. Następnie kliknij przycisk **DOWNLOAD METADATA** znajdujący się pod "**Option 1: Download IdP metadata"**. Prześlij pobrany plik na swój serwer i zapisz jego adres URL (będzie potrzebny później do konfiguracji **Xopero ONE**).
4. Kliknij **Continue** i w następnym oknie na ekranie uzupełnij **Service provider details** w następujący sposób:
> **ACS URL:**
>
> ****/Auth/AssertionConsumerService
>
> **Entity ID:** własna, globalnie unikalna nazwa (w tym przypadku użyjemy **SAMLGOOGLE**)
>
> **Start URL (optional):** Twój unikalny URL XMS **XoperoONEManagementServiceURL**
{% hint style="warning" %}
W powyższych adresach zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
5. Po ukończeniu kliknij przycisk **Continue** a na następnej stronie przycisk **Finish**.
6. Po powrocie na główną stronę konsoli administratora, otwórz menu (burger) w lewym górnym rogu ekranu, przejdź do **Apps** > **Web and mobile apps**, następnie wybierz swoją nowo utworzoną aplikację SAML.
7. Przejdź do **User access** następnie wybierz albo **On for everyone** albo **Off for everyone** w zależności od potrzeb organizacji.
8. Następnie kliknij **Save** aby zakończyć proces konfiguracji.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **Google.**
>
> **Entity ID:** powinna być taka sama jaka została ustawiona w Google (w tym przykładzie jest to **SAMLGOOGLE**).
3. Następnie wklej poprzednio skopiowany adres **metadata URL** w polu **URL metadanych**.
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla wszystkich użytkowników, których chcesz autoryzować do korzystania z integracji **Google** SAML.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="JumpCloud" %}
## Konfiguracja w JumpCloud
1. Zaloguj się do **JumpCloud Admin Portal**, przejdź do **USER AUTHENTICATION** > **SSO Applications**, a następnie kliknij **+ Add New Application**.
2. W oknie **Create New Application Integration** znajdź **Custom Application**, wybierz ją i kliknij **Next**.
3. Zazbacz pole **Manage Single Sign-On (SSO)** i wybierz opcję **Configure SSO with SAML**, następnie kliknij **Next**.
4. W sekcji **Enter general info** ustaw unikalną nazwę aplikacji (w tym przykładzie użyjemy **XONE**), wpisz ją w polu **Display Label** i kliknij **Save Application**.
5. W ustawieniach nowej aplikacji przejdź do karty **SSO** i wypełnij pola w następujący sposób:
> **IdP Entity ID:** unikalna nazwa aplikacji (w tym przykładzie: XONE)
>
> **SP Entity ID:** unikalna nazwa aplikacji (w tym przykładzie: XONE)
6. Kliknij przycisk **Copy Metadata URL** w sekcji **JumpCloud Metadata** u góry i zapisz ten adres na później — będzie on potrzebny do konfiguracji **Xopero ONE** w **XMS**.
7. Przewiń w dół, ustaw **SAMLSubject NameID** na **e-mail**, a dla **SAML Subject NameID Format** wybierz z menu rozwijanego: `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`.
{% hint style="warning" %}
Domyślny [**Signature Algorithm** ](#user-content-fn-1)[^1]to `RSA-SHA256` — pozostaw go bez zmian.
{% endhint %}
8. W sekcji **Sign** wybierz **Assertion**. Adres **IDP URL** powinien wyglądać następująco:
>
{% hint style="danger" %}
Jeśli chcesz logować się do Xopero ONE bezpośrednio z panelu JumpCloud, dodaj dodatkowo swój adres **XoperoONEManagementServiceURL** w polu **Login URL**.
{% endhint %}
Przykład poprawnie wprowadzonego Login URL.
9. W sekcji **Attributes** dodaj nową [**odpowiedź wylogowania**](#user-content-fn-2)[^2], wypełniając pola w następujący sposób:
> **Service Provider Attribute Name:**
>
> ****/auth/SAMLLogoutResponse
>
> **JumpCloud Attribute Name:** wybierz **email** z menu rozwijanego
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
10. Kliknij **Save**, aby zaktualizować konektor i przejdź do karty **User Groups**. Wybierz grupy/użytkowników, dla których chcesz włączyć autoryzację **JumpCloud SAML** przy logowaniu do **Xopero ONE**.
11. Sprawdź ponownie, czy wprowadzone dane są poprawne i zapisz konfigurację.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do panelu XMS, przejdź do **Ustawień** (lewy dolny róg w menu po lewej stronie) i wybierz **Zewnętrzni dostawcy tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Name:** własna nazwa, np. **JumpCloud**
>
> **Entity ID:** powinien być taki sam, jak nazwa ustawiona w **SSO IDP Entity ID** w **JumpCloud** (w tym przykładzie: **XONE**).
3. Następnie wklej wcześniej skopiowany adres **Metadata URL** w polu o tej samej nazwie.
4. Dodaj certyfikat i hasło, jeśli są wymagane.
5. Ustaw **domyślny język** i **rolę** dla użytkowników z uprawnieniami autoryzacji **JumpCloud SAML**.
6. Kliknij **Zapisz**, aby zakończyć konfigurację. Możesz teraz się wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="Okta" %}
## Wymagania i ograniczenia
W konfiguracji **IdP w Xopero ONE** **musi zostać uwzględniony** plik **PKCS #12** z certyfikatem **X.509** i **kluczem prywatnym** (zazwyczaj plik **.pfx**; może być chroniony hasłem). Plik certyfikatu **X.509** (zazwyczaj plik **.crt**) służący do weryfikacji podpisu po stronie **IdP ****musi zostać uwzględniony** w konfiguracji aplikacji zdefiniowanej w panelu **Okta**.
Oba pliki zawierają ten sam certyfikat. Plik **PKCS #12** zawiera dodatkowo klucz prywatny do tego certyfikatu.
{% hint style="warning" %}
Jeśli plik **PKCS #12** jest chroniony hasłem, dodaj to hasło do konfiguracji **IdP** w panelu **Xopero ONE**.
{% endhint %}
***
## Konfiguracja w Okta
1. W **Admin** dashboard (w prawym górnym rogu okna) rozwiń kartę **Applications** i wybierz opcję **Applications**.
2. Kliknij przycisk **Create App Integration** i wybierz **SAML 2.0**.
3. W sekcji **General Settings** wprowadź unikalną nazwę aplikacji i przejdź do sekcji **Configure SAML**.
4. W karcie **Configure SAML** ustaw parametr **Single sign-on URL** w następujący sposób:
> ****/Auth/AssertionConsumerService
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
5. W polu **Audience URL** wpisz unikalną nazwę aplikacji, którą wcześniej ustawiłeś w karcie **General Settings**.
6. Kliknij **Show advanced settings** i prześlij plik certyfikatu w polu **Signature Certificate**. W sekcji **Enable Single Logout** **koniecznie zaznacz pole** **Allow application to initiate Single Logout**.
7. Zobaczysz teraz dwa dodatkowe pola pod **Enable Single Logout** — wypełnij je następująco:
> **Single Logout URL:**
>
> ****/auth/SAMLLogoutResponse
>
> **SP Issuer:** unikalna nazwa aplikacji ustawiona wcześniej w **General Settings** (w tym przykładzie: **MyOktaApp**).
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
8. Następnie przejdź do sekcji **Group Attribute Statements** i wypełnij ją w następujący sposób:
> **Name:** xoperogroup
>
> **Starts with:** XONE
9. Sprawdź ponownie poprawność danych i kliknij **Next**. W kolejnym oknie wybierz opcję **I'm an Okta customer adding an internal app**, a następnie kliknij **Finish**.
10. Otwórz utworzoną aplikację i przejdź do karty **Sign On**.
11. W sekcji **SAML Signing Certificates** wybierz przesłany certyfikat i kliknij **Actions > View IdP metadata**. Skopiuj **adres URL** otwartej strony — będzie on wymagany później w konfiguracji **Xopero ONE**.
12. Po zakończeniu przejdź do karty **Assignments**.
Widok karty assignments.
13. Przypisz aplikację do wybranego użytkownika lub grupy. Kliknij **Done**, aby zakończyć konfigurację.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do panelu XMS, przejdź do **Ustawień** (lewy dolny róg w menu po lewej stronie) i wybierz **Zewnętrzni dostawcy tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Name:** własna nazwa, np. Okta.
>
> **Entity ID:** powinien być taki sam, jak nazwa ustawiona w **General Settings** w **Okta** (w tym przykładzie: **MyOktaApp**).
3. Wklej wcześniej skopiowany adres **IdP metadata URL** w polu **Metadata URL**.
4. Dodaj wymagany certyfikat i hasło do **Managera haseł**.
{% hint style="info" %}
Więcej o dodawaniu haseł dowiesz się z artykułu bazy wiedzy: [Manager haseł](https://helpcenter.xopero.com/xopero-one-en/pl/zarzadzanie/manager-hasel).
{% endhint %}
5. Ustaw **domyślny język** i **rolę** dla użytkowników z uprawnieniami uwierzytelniania **Okta SAML**.
{% hint style="info" %}
Więcej o rolach dowiesz się z artykułu bazy wiedzy: [Role i uprawnienia](https://helpcenter.xopero.com/xopero-one-en/pl/zarzadzanie/konta-uzytkownikow/role-i-uprawnienia).
{% endhint %}
6. Kliknij **Zapisz**, aby zakończyć konfigurację. Możesz teraz się wylogować i przetestować integrację logowania **SAML**.
{% endtab %}
{% tab title="OneLogin" %}
## Konfiguracja w OneLogin
1. Zaloguj się do **OneLogin** admin console i przejdź do **Applications** > **Applications** > **Add App**.
2. Wyszukaj SAML Custom Connector (Advanced) i wybierz pierwszy wynik wyszukiwania.
3. Wprowadź unikalną nazwę aplikacji w polu **Display Name** i kliknij **Save**.
4. Otwórz **Configuration settings** swojej aplikacji, wypełnij pola w następujący sposób i kliknij **Save**:
> **Audience (EntityID):** unikalna nazwa identyfikująca aplikację po stronie **IdP** (w tym przykładzie: **XOPEROSAML**).
>
> **ACS (Consumer) URL Validator\*:**
>
> ****/Auth/AssertionConsumerService
>
> **ACS (Consumer) URL\*:**
>
> ****/Auth/AssertionConsumerService
>
> **Single Logout URL:**
>
> ****/auth/SAMLLogoutResponse
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
5. W menu po lewej stronie wybierz **SSO**. Zmień **SAML Signature Algorithm** na **SHA-256**. Skopiuj wartość **Issuer URL** i zapisz ją — będzie potrzebna w konfiguracji Xopero ONE.
{% hint style="warning" %}
Aby poprawnie skonfigurować wylogowywanie, **wymagany** jest klucz prywatny podmiotu odbierającego żądanie. **Musisz** przesłać plik z rozszerzeniem **.pfx** do **Xopero ONE**. Ponieważ pliku **.pfx** nie można pobrać bezpośrednio z **OneLogin**, musisz użyć własnego certyfikatu lub go wygenerować.
{% endhint %}
{% hint style="success" %}
**OneLogin** oferuje formularz, który pozwala na wygenerowanie **certyfikatu samopodpisanego**:
{% endhint %}
6. Zapisz ustawienia. W menu **Users** wybierz użytkowników, którym chcesz nadać uprawnienia do autoryzacji za pomocą **OneLogin** do **Xopero One** i zaznacz **Allow user to sign in**.
{% hint style="danger" %}
Ręcznie edytowane szczegóły logowania **zawsze** nadpisują te zdefiniowane przez reguły lub z atrybutami aprowizowanymi.
{% endhint %}
7. W karcie **Applications** użyj przycisku (+), aby nadać odpowiednie uprawnienia do swojej niestandardowej aplikacji.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do panelu XMS, przejdź do **Ustawień** (lewy dolny róg w menu po lewej stronie) i wybierz **Zewnętrzni dostawcy tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Name:** nazwa własna np. **OneLogin**
>
> **Entity ID:** musi być taki sam jak ustawiony w **Configuration** (**Audience (EntityID)**) w OneLogin (w tym przykładzie jest to **XOPEROSAML**)
3. Wklej poprzednio skopiowany **Issuer URL** w polu **Metadata URL**.
4. Prześlij plik certyfikatu **.pfx OneLogin** i dodaj hasło, jeśli jest wymagane.
5. Ustaw **domyślny język** i **rolę** dla użytkowników z uprawnieniami uwierzytelniania **OneLogin SAML**.
6. Kliknij **Zapisz**, aby zakończyć konfigurację. Możesz teraz się wylogować i przetestować integrację logowania **SAML**.
{% hint style="warning" %}
Przy tej metodzie integracji nie można inicjować logowania ze strony aplikacji **OneLogin**. Logowanie **musi się zawsze odbywać** bezpośrednio ze strony **Xopero ONE**.
{% endhint %}
***
## Mapowanie grup
{% hint style="success" %}
Mapowanie grup jest przydatne, gdy chcesz przypisać różne uprawnienia wielu użytkownikom jednocześnie.
{% endhint %}
{% hint style="danger" %}
Pamiętaj, że każde nowe logowanie resetuje uprawnienia do domyślnych — ręczne zmiany działają **tylko podczas aktywnej sesji**.
{% endhint %}
{% hint style="warning" %}
Konfiguracja mapowania grup **musi** być zrobiona zarówno w **OneLogin** jak i **Xopero ONE**— rozpocznij od konfiguracji strony **OneLogin**.
{% endhint %}
1. W **OneLogin** przejdź do **User > Roles** i utwórz role (np. **XONE viewers**, **XONE admins**). Przypisz je do użytkowników.
2. Następnie, w karcie **Applications**, edytuj aplikację SAML. Przejdź do **Parameters** i kliknij ikonę **(+)** aby utworzyć nowy parametr.\
W polu **Name** wprowadź. Zaznacz obie flagi (**Include in SAML assertion** oraz **Multi-value parameter**) i zapisz.
3. W sekcji **Default if no value selected** wybierz **User Roles** oraz **Semicolon Delimited input** (**Multi-value output**) z menu rozwijanego i zapisz.
4. W konsoli **Xopero ONE** przejdź do ⚙️ **Ustawienia** > **Zewnętrzni dostawcy tożsamości** i wybierz **IdP**, którego chcesz edytować.
5. Kliknij przycisk **Mapowanie grup** w lewym dolnym rogu. W polu **Typ claima** wpisz, a w **Wartość claima** wpisz nazwę roli (np. XONE viewers). Wybierz role i uprawnienia dla tej grupy i zapisz. Powtórz ten krok dla każdej roli.
{% endtab %}
{% endtabs %}
***
## Korzystanie z metody uwierzytelniania IdP
Aby zalogować się do **Xopero ONE** przy użyciu dostawcy tożsamości zintegrowanego przez SAML, należy zawsze rozpoczynać proces z poziomu panelu **Xopero ONE**. Nie należy logować się do aplikacji skonfigurowanej dla **Xopero ONE** bezpośrednio z panelu IdP (na przykład z panelu **Okta**) — jedynym wyjątkiem jest **JumpCloud**, który oferuje wbudowaną opcję logowania bezpośrednio ze swojego panelu.
Aby umożliwić istniejącemu użytkownikowi **Xopero ONE** logowanie się za pośrednictwem dostawcy tożsamości (IdP), należy włączyć opcję logowania IdP dla danego konta (⚙️ **Ustawienia** > **Konta** > **Edytuj**). Gdy konto zostanie skonfigurowane do uwierzytelniania przy użyciu dostawcy tożsamości (IdP), nie będzie można przywrócić poprzedniego ustawienia. Aby zmienić metodę uwierzytelniania, konieczne jest **usunięcie konta i dodanie go ponownie**.
{% hint style="danger" %}
Włączenie logowania IdP dla konta głównego administratora (root admin) uniemożliwi zalogowanie się do systemu w przypadku niedostępności zewnętrznego dostawcy tożsamości.
{% endhint %}
[^1]: algorytm podpisu
[^2]: logout response
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://helpcenter.xopero.com/xopero-one-en/pl/logowanie-i-haslo/zewnetrzni-dostawcy-tozsamosci-saml/konfiguracja-saml.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
