# Konfiguracja SAML
#### SAML zapewnia bezpieczne logowanie jednokrotne (SSO) poprzez integrację dostawcy tożsamości (IdP) z rozwiązaniem Xopero ONE. Dzięki temu użytkownicy mogą uwierzytelniać się przy użyciu scentralizowanych danych logowania, co jednocześnie gwarantuje kontrolowany dostęp oraz zgodność z przepisami i standardami (compliance).
***
## Przegląd
Integracja IdP z **Xopero ONE** odbywa się za pośrednictwem protokołu SAML 2.0, co oznacza, że z rozwiązaniem **Xopero ONE** można zintegrować każdą platformę obsługującą ten standard.
Proces konfiguracji jest prosty i wymaga jedynie podania identyfikatora jednostki (entity ID), adresu URL metadanych (metadata URL), adresu URL odpowiedzi (reply URL) oraz adresu URL wylogowania (logout URL) — przy czym nazwy te mogą się różnić w zależności od konwencji nazewnictwa stosowanej przez konkretną platformę. W niektórych przypadkach wymagane jest również dostarczenie certyfikatu oraz klucza prywatnego.
***
## Konfiguracja
{% hint style="danger" %}
Nie należy testować integracji bezpośrednio w panelu dostawcy tożsamości (np. w portalu **Azure**), ponieważ spowoduje to zainicjowanie procesu logowania z poziomu panelu IdP.
{% endhint %}
Poniższa tabela ilustruje konfigurację integracji SAML dla wybranych platform, w tym [Auth0](#auth0), [Azure AD](#azure-a-d), [CyberArk](#cyberark), [Google](#google), [JumpCloud](#jumpcloud), [Okta](#okta), oraz [OneLogin](#onelogin).
{% tabs %}
{% tab title="Auth0" %}
## Konfiguracja w Auth0
1. Otwórz swój dashboard w **Auth0**, przejdź do **Dashboard** > **Applications** > **Applications**, następnie kliknij przycisk **Create Application** w prawym górnym rogu ekranu.
2. W oknie **Create application** wprowadź unikalną, własną nazwę aplikacji (w tym przykładzie użyjemy **XoperoAuth0**), wybierz opcję **Regular Web Applications** i kliknij **Create**:
3. W oknie nowo utworzonej aplikacji przejdź do zakładki **Settings** , przewiń na sam dół i kliknij **Advanced Settings** aby rozwinąć.
4. Przejdź do zakładki **Endpoints** i znajdź sekcję **SAML** . Skopiuj **SAML Metadata URL** i zapisz na później — będzie potrzebny do konfiguracji **Xopero ONE**.
5. Przewiń z powrotem na górę i otwórz zakładkę **Addons** następnie przełącz przycisk **SAML2 WEB APP**.
6. W otwartym oknie przejdź do zakładki **Settings** i wpisz **Application Callback URL** w następujący sposób:
> ****/Auth/AssertionConsumerService
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
7. W tej samej zakładce przewiń w dół wewnątrz pola kodu i odkomentuj 31., 32. i 33. linię, a następnie edytuj linię 32 w następujący sposób:
```
“callback”: "https://XoperoONEManagementServiceURL/auth/SAMLLogoutResponse"
```
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
8. Po zakończeniu przewiń na dół okna dodatku i kliknij przycisk **Enable** a następnie zamknij okno, aby zakończyć konfigurację aplikacji.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **Auth0.**
>
> **Entity ID:** powinno być takie samo jak nazwa ustawiona jako nazwa aplikacji w **Auth0** (w tym przykładzie to **XoperoAuth0**).
3. Następnie wklej uprzednio skopiowany **SAML Metadata URL** w polu **URL metadanych.**
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla użytkowników z uprawnieniami do uwierzytelniania **Auth0** **SAML**.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="Azure AD" %}
## Konfiguracja w Azure
1. Zaloguj się do [portal.azure.com](http://portal.azure.com/), wybierz **Azure Active Directory** i kliknij **Enterprise applications**.
2. Kliknij **New application** button a następnie **Create your own application**.
3. Wprowadź własną nazwę aplikacji i wybierz **Integrate any other application you don’t find in the gallery (Non-gallery)**.
4. Potwierdź konfigurację i kliknij przycisk **Create**.
5. Otwórz zakładkę **Single sign-on** i wybierz metodę **SAML**.
6. Kliknij przycisk **Edit** w sekcji ① **Basic SAML Configuration** aby ją edytować.
7. Skonfiguruj unikalny **Identifier (Entity ID)** np. **SAMLTestAzure**
8. Wprowadź następujący URL w sekcji **Reply URL (Assertion Consumer Service URL)**:
> ****/Auth/AssertionConsumerService
9. Zmień **Logout Url (Optional)** na następujący adres:
> ****/auth/SAMLLogoutResponse
{% hint style="warning" %}
W powyższych adresach zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
10. Sprawdź, czy wprowadzone informacje są poprawne i kliknij przycisk **Save**.
11. Następnie kliknij przycisk **Edit** w sekcji ② **Attributes & Claims** i naciśnij przycisk ➕**Add a group claim**.
12. Wybierz **All groups** i przejdź do **Advanced options**. Zaznacz pole **Filter group** i uzupełnij pola w następujący sposób:
> **Attribute to match**: Display name\
> **Match with**: Prefix\
> **String**: XONE
13. Zaznacz pole **Customize the name of the group claim**. Wpisz **xoperogroup** w polu **Name** i zapisz ustawienia.
14. Wróć do strony **SAML-based Sign-on** i skopiuj **App Federation Metadata Url**, będzie potrzebny później.
15. Zapisz ustawienia.
16. Otwórz zakładkę **Users and groups** i kliknij przycisk ➕ **Add user/group**. Wybierz użytkowników, którym chcesz umożliwić logowanie do **Xopero ONE** i zapisz ustawienia.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **Azure AD.**
>
> **Entity ID:** powinno być takie samo jak nazwa ustawiona jako **Identifier (Entity ID)** w **Azure** (w tym przykładzie to **SAMLTestAzure**).
3. Następnie wklej uprzednio skopiowany **App Federation Metadata Url** w polu **Metadata URL** .
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla użytkowników z uprawnieniami do uwierzytelniania **Azure** **SAML**.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="CyberArk" %}
## Konfiguracja w CyberArk
1. Zaloguj się do konta **CyberArk**. Rozwiń menu rozwijane **Apps & Widgets** dropdown i wybierz **Web Apps**.
2. Kliknij przycisk **Add Web Apps** w prawym górnym rogu.
3. Przejdź do zakładki **Custom**, znajdź na liście **SAML**, a następnie kliknij przycisk **Add**, obok SAML.
4. Potwierdź dodanie SAML jako aplikacji sieciowej.
5. Zostaniesz przekierowany do ustawień aplikacji sieciowej SAML. Zacznij od ustawienia własnej nazwy dla aplikacji (np. **XONESAML**).
6. Następnie ustaw unikalny **Application ID** w sekcji **Advanced** i **Zapisz** swoje ustawienia (w tym przykładzie użyjemy **XONESAMLID**).
7. Otwórz zakładkę **Trust** i skopiuj **Metadata URL** w sekcji **Identity Provider Configuration** (będzie później potrzebny do konfiguracji **Xopero ONE**).
8. Następnie zjedź niżej do sekcji **Service Provider Configuration**, ustaw ją na **Manual Configuration** oraz wprowadź następujące dane:
> W **SP Entity ID / Issuer / Audience** wpisz wcześniej zdefiniowane **Application ID** (w tym przykładzie jest to **XONESAMLID**)
>
> W **Assertion Consumer Service (ACS) URL** wprowadź:
>
> ****/Auth/AssertionConsumerService
>
> W **Single Logout URL** wprowadź:
>
> ****/auth/SAMLLogoutResponse
{% hint style="warning" %}
W powyższych adresach zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
Przegląd domyślnej konfiguracji.
9. Przejdź do zakładki **SAML Response** i przewiń do sekcji **Script to set custom claims**. Wprowadź poniższy skrypt i naciśnij przycisk **Save**:
{% code overflow="wrap" lineNumbers="true" %}
```xml
setFilteredAttributeArray("xoperogroup", LoginUser.RoleNames, "XONE.*");
setFilteredAttributeArray("xoperogroup", LoginUser.GroupNames, "XONE.*");
```
{% endcode %}
10. Udaj się do zakładki **Permissions**, kliknij przycisk **Add**, wybierz wszystkich użytkowników, których chcesz autoryzować do używania integracji SAML, następnie **Zapisz s**woje ustawienia.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **CyberArk.**
>
> **Entity ID:** powinno być takie samo jak nazwa ustawiona jako **Application ID** w **CyberArk** (w tym przykładzie to **XONESAMLID**).
3. Następnie wstaw poprzednio skopiowany adres **Metadata URL** w polu **Metadata URL**.
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla wszystkich użytkowników, których chcesz autoryzować do korzystania z integracji **CyberArk** SAML.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="Google" %}
## Konfiguracja w Google
1. Zaloguj się do konsoli administratora **Google**. Następnie, kliknij ikonę menu  w lewym górnym rogu ekranu i przejdź do **Apps** > **Web and** **mobile apps**. Kliknij **Add app** i z menu rozwijanego wybierz **Add custom SAML app**.
2. Na stronie szczegółów aplikacj utwórz własną nawę aplikacji i wpisz ją w polu **App Name**, następnie kliknij **Continue**.
3. Następnie kliknij przycisk **DOWNLOAD METADATA** znajdujący się pod "**Option 1: Download IdP metadata"**. Prześlij pobrany plik na swój serwer i zapisz jego adres URL (będzie potrzebny później do konfiguracji **Xopero ONE**).
4. Kliknij **Continue** i w następnym oknie na ekranie uzupełnij **Service provider details** w następujący sposób:
> **ACS URL:**
>
> ****/Auth/AssertionConsumerService
>
> **Entity ID:** własna, globalnie unikalna nazwa (w tym przypadku użyjemy **SAMLGOOGLE**)
>
> **Start URL (optional):** Twój unikalny URL XMS **XoperoONEManagementServiceURL**
{% hint style="warning" %}
W powyższych adresach zmień **XoperoONEManagementServiceURL** na swój unikalny adres **XMS URL**. Znajdziesz go w swoim adresie logowania URL **XMS** — jest to pierwsza część adresu.\
**Przykład:**\ ******/authorization/login**\
część zaznaczona na **czerwono** to część adresu URL który musisz skopiować.
{% endhint %}
5. Po ukończeniu kliknij przycisk **Continue** a na następnej stronie przycisk **Finish**.
6. Po powrocie na główną stronę konsoli administratora, otwórz menu (burger) w lewym górnym rogu ekranu, przejdź do **Apps** > **Web and mobile apps**, następnie wybierz swoją nowo utworzoną aplikację SAML.
7. Przejdź do **User access** następnie wybierz albo **On for everyone** albo **Off for everyone** w zależności od potrzeb organizacji.
8. Następnie kliknij **Save** aby zakończyć proces konfiguracji.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do swojego panelu **XMS**, przejdź do **Ustawienia** (lewy dolny róg w lewym menu) i wybierz **Zewnętrzni Dostawcy Tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Nazwa:** własna nazwa, np. **Google.**
>
> **Entity ID:** powinna być taka sama jaka została ustawiona w Google (w tym przykładzie jest to **SAMLGOOGLE**).
3. Następnie wklej poprzednio skopiowany adres **metadata URL** w polu **URL metadanych**.
4. Dodaj certyfikat i hasło, jeśli jest to wymagane.
5. Skonfiguruj domyślny **Język** oraz **Rolę** dla wszystkich użytkowników, których chcesz autoryzować do korzystania z integracji **Google** SAML.
6. Sprawdź ustawienia i kliknij **Zapisz** na dole zakładki **Dodaj dostawcę tożsamości**.
7. Kliknij **Zapisz** aby zakończyć konfigurację. Możesz się teraz wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="JumpCloud" %}
## Konfiguracja w JumpCloud
1. Zaloguj się do **JumpCloud Admin Portal**, przejdź do **USER AUTHENTICATION** > **SSO Applications**, a następnie kliknij **+ Add New Application**.
2. W oknie **Create New Application Integration** znajdź **Custom Application**, wybierz ją i kliknij **Next**.
3. Zazbacz pole **Manage Single Sign-On (SSO)** i wybierz opcję **Configure SSO with SAML**, następnie kliknij **Next**.
4. W sekcji **Enter general info** ustaw unikalną nazwę aplikacji (w tym przykładzie użyjemy **XONE**), wpisz ją w polu **Display Label** i kliknij **Save Application**.
5. W ustawieniach nowej aplikacji przejdź do karty **SSO** i wypełnij pola w następujący sposób:
> **IdP Entity ID:** unikalna nazwa aplikacji (w tym przykładzie: XONE)
>
> **SP Entity ID:** unikalna nazwa aplikacji (w tym przykładzie: XONE)
6. Kliknij przycisk **Copy Metadata URL** w sekcji **JumpCloud Metadata** u góry i zapisz ten adres na później — będzie on potrzebny do konfiguracji **Xopero ONE** w **XMS**.
7. Przewiń w dół, ustaw **SAMLSubject NameID** na **e-mail**, a dla **SAML Subject NameID Format** wybierz z menu rozwijanego: `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`.
{% hint style="warning" %}
Domyślny [**Signature Algorithm** ](#user-content-fn-1)[^1]to `RSA-SHA256` — pozostaw go bez zmian.
{% endhint %}
8. W sekcji **Sign** wybierz **Assertion**. Adres **IDP URL** powinien wyglądać następująco:
>
{% hint style="danger" %}
Jeśli chcesz logować się do Xopero ONE bezpośrednio z panelu JumpCloud, dodaj dodatkowo swój adres **XoperoONEManagementServiceURL** w polu **Login URL**.
{% endhint %}
Przykład poprawnie wprowadzonego Login URL.
9. W sekcji **Attributes** dodaj nową [**odpowiedź wylogowania**](#user-content-fn-2)[^2], wypełniając pola w następujący sposób:
> **Service Provider Attribute Name:**
>
> ****/auth/SAMLLogoutResponse
>
> **JumpCloud Attribute Name:** wybierz **email** z menu rozwijanego
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
10. Kliknij **Save**, aby zaktualizować konektor i przejdź do karty **User Groups**. Wybierz grupy/użytkowników, dla których chcesz włączyć autoryzację **JumpCloud SAML** przy logowaniu do **Xopero ONE**.
11. Sprawdź ponownie, czy wprowadzone dane są poprawne i zapisz konfigurację.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do panelu XMS, przejdź do **Ustawień** (lewy dolny róg w menu po lewej stronie) i wybierz **Zewnętrzni dostawcy tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Name:** własna nazwa, np. **JumpCloud**
>
> **Entity ID:** powinien być taki sam, jak nazwa ustawiona w **SSO IDP Entity ID** w **JumpCloud** (w tym przykładzie: **XONE**).
3. Następnie wklej wcześniej skopiowany adres **Metadata URL** w polu o tej samej nazwie.
4. Dodaj certyfikat i hasło, jeśli są wymagane.
5. Ustaw **domyślny język** i **rolę** dla użytkowników z uprawnieniami autoryzacji **JumpCloud SAML**.
6. Kliknij **Zapisz**, aby zakończyć konfigurację. Możesz teraz się wylogować i przetestować skonfigurowaną integrację logowania **SAML**.
{% endtab %}
{% tab title="Okta" %}
## Wymagania i ograniczenia
W konfiguracji **IdP w Xopero ONE** **musi zostać uwzględniony** plik **PKCS #12** z certyfikatem **X.509** i **kluczem prywatnym** (zazwyczaj plik **.pfx**; może być chroniony hasłem). Plik certyfikatu **X.509** (zazwyczaj plik **.crt**) służący do weryfikacji podpisu po stronie **IdP ****musi zostać uwzględniony** w konfiguracji aplikacji zdefiniowanej w panelu **Okta**.
Oba pliki zawierają ten sam certyfikat. Plik **PKCS #12** zawiera dodatkowo klucz prywatny do tego certyfikatu.
{% hint style="warning" %}
Jeśli plik **PKCS #12** jest chroniony hasłem, dodaj to hasło do konfiguracji **IdP** w panelu **Xopero ONE**.
{% endhint %}
***
## Konfiguracja w Okta
1. W **Admin** dashboard (w prawym górnym rogu okna) rozwiń kartę **Applications** i wybierz opcję **Applications**.
2. Kliknij przycisk **Create App Integration** i wybierz **SAML 2.0**.
3. W sekcji **General Settings** wprowadź unikalną nazwę aplikacji i przejdź do sekcji **Configure SAML**.
4. W karcie **Configure SAML** ustaw parametr **Single sign-on URL** w następujący sposób:
> ****/Auth/AssertionConsumerService
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
5. W polu **Audience URL** wpisz unikalną nazwę aplikacji, którą wcześniej ustawiłeś w karcie **General Settings**.
6. Kliknij **Show advanced settings** i prześlij plik certyfikatu w polu **Signature Certificate**. W sekcji **Enable Single Logout** **koniecznie zaznacz pole** **Allow application to initiate Single Logout**.
7. Zobaczysz teraz dwa dodatkowe pola pod **Enable Single Logout** — wypełnij je następująco:
> **Single Logout URL:**
>
> ****/auth/SAMLLogoutResponse
>
> **SP Issuer:** unikalna nazwa aplikacji ustawiona wcześniej w **General Settings** (w tym przykładzie: **MyOktaApp**).
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
8. Następnie przejdź do sekcji **Group Attribute Statements** i wypełnij ją w następujący sposób:
> **Name:** xoperogroup
>
> **Starts with:** XONE
9. Sprawdź ponownie poprawność danych i kliknij **Next**. W kolejnym oknie wybierz opcję **I'm an Okta customer adding an internal app**, a następnie kliknij **Finish**.
10. Otwórz utworzoną aplikację i przejdź do karty **Sign On**.
11. W sekcji **SAML Signing Certificates** wybierz przesłany certyfikat i kliknij **Actions > View IdP metadata**. Skopiuj **adres URL** otwartej strony — będzie on wymagany później w konfiguracji **Xopero ONE**.
12. Po zakończeniu przejdź do karty **Assignments**.
Widok karty assignments.
13. Przypisz aplikację do wybranego użytkownika lub grupy. Kliknij **Done**, aby zakończyć konfigurację.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do panelu XMS, przejdź do **Ustawień** (lewy dolny róg w menu po lewej stronie) i wybierz **Zewnętrzni dostawcy tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Name:** własna nazwa, np. Okta.
>
> **Entity ID:** powinien być taki sam, jak nazwa ustawiona w **General Settings** w **Okta** (w tym przykładzie: **MyOktaApp**).
3. Wklej wcześniej skopiowany adres **IdP metadata URL** w polu **Metadata URL**.
4. Dodaj wymagany certyfikat i hasło do **Managera haseł**.
{% hint style="info" %}
Więcej o dodawaniu haseł dowiesz się z artykułu bazy wiedzy: [Manager haseł](https://helpcenter.xopero.com/xopero-one-en/pl/zarzadzanie/manager-hasel).
{% endhint %}
5. Ustaw **domyślny język** i **rolę** dla użytkowników z uprawnieniami uwierzytelniania **Okta SAML**.
{% hint style="info" %}
Więcej o rolach dowiesz się z artykułu bazy wiedzy: [Role i uprawnienia](https://helpcenter.xopero.com/xopero-one-en/pl/zarzadzanie/konta-uzytkownikow/role-i-uprawnienia).
{% endhint %}
6. Kliknij **Zapisz**, aby zakończyć konfigurację. Możesz teraz się wylogować i przetestować integrację logowania **SAML**.
{% endtab %}
{% tab title="OneLogin" %}
## Konfiguracja w OneLogin
1. Zaloguj się do **OneLogin** admin console i przejdź do **Applications** > **Applications** > **Add App**.
2. Wyszukaj SAML Custom Connector (Advanced) i wybierz pierwszy wynik wyszukiwania.
3. Wprowadź unikalną nazwę aplikacji w polu **Display Name** i kliknij **Save**.
4. Otwórz **Configuration settings** swojej aplikacji, wypełnij pola w następujący sposób i kliknij **Save**:
> **Audience (EntityID):** unikalna nazwa identyfikująca aplikację po stronie **IdP** (w tym przykładzie: **XOPEROSAML**).
>
> **ACS (Consumer) URL Validator\*:**
>
> ****/Auth/AssertionConsumerService
>
> **ACS (Consumer) URL\*:**
>
> ****/Auth/AssertionConsumerService
>
> **Single Logout URL:**
>
> ****/auth/SAMLLogoutResponse
{% hint style="warning" %}
W powyższym adresie zmień **XoperoONEManagementServiceURL** na swój unikalny adres URL usługi XMS. Możesz go znaleźć w adresie logowania XMS — jest to pierwsza część adresu (np. w ******/authorization/login** częścią, którą musisz skopiować, jest ta zaznaczona na **czerwono**).
{% endhint %}
5. W menu po lewej stronie wybierz **SSO**. Zmień **SAML Signature Algorithm** na **SHA-256**. Skopiuj wartość **Issuer URL** i zapisz ją — będzie potrzebna w konfiguracji Xopero ONE.
{% hint style="warning" %}
Aby poprawnie skonfigurować wylogowywanie, **wymagany** jest klucz prywatny podmiotu odbierającego żądanie. **Musisz** przesłać plik z rozszerzeniem **.pfx** do **Xopero ONE**. Ponieważ pliku **.pfx** nie można pobrać bezpośrednio z **OneLogin**, musisz użyć własnego certyfikatu lub go wygenerować.
{% endhint %}
{% hint style="success" %}
**OneLogin** oferuje formularz, który pozwala na wygenerowanie **certyfikatu samopodpisanego**:
{% endhint %}
6. Zapisz ustawienia. W menu **Users** wybierz użytkowników, którym chcesz nadać uprawnienia do autoryzacji za pomocą **OneLogin** do **Xopero One** i zaznacz **Allow user to sign in**.
{% hint style="danger" %}
Ręcznie edytowane szczegóły logowania **zawsze** nadpisują te zdefiniowane przez reguły lub z atrybutami aprowizowanymi.
{% endhint %}
7. W karcie **Applications** użyj przycisku (+), aby nadać odpowiednie uprawnienia do swojej niestandardowej aplikacji.
***
## Konfiguracja w Xopero ONE
1. Zaloguj się do panelu XMS, przejdź do **Ustawień** (lewy dolny róg w menu po lewej stronie) i wybierz **Zewnętrzni dostawcy tożsamości**.
2. Kliknij przycisk **Dodaj nowego dostawcę** i uzupełnij szczegóły:
> **Name:** nazwa własna np. **OneLogin**
>
> **Entity ID:** musi być taki sam jak ustawiony w **Configuration** (**Audience (EntityID)**) w OneLogin (w tym przykładzie jest to **XOPEROSAML**)
3. Wklej poprzednio skopiowany **Issuer URL** w polu **Metadata URL**.
4. Prześlij plik certyfikatu **.pfx OneLogin** i dodaj hasło, jeśli jest wymagane.
5. Ustaw **domyślny język** i **rolę** dla użytkowników z uprawnieniami uwierzytelniania **OneLogin SAML**.
6. Kliknij **Zapisz**, aby zakończyć konfigurację. Możesz teraz się wylogować i przetestować integrację logowania **SAML**.
{% hint style="warning" %}
Przy tej metodzie integracji nie można inicjować logowania ze strony aplikacji **OneLogin**. Logowanie **musi się zawsze odbywać** bezpośrednio ze strony **Xopero ONE**.
{% endhint %}
***
## Mapowanie grup
{% hint style="success" %}
Mapowanie grup jest przydatne, gdy chcesz przypisać różne uprawnienia wielu użytkownikom jednocześnie.
{% endhint %}
{% hint style="danger" %}
Pamiętaj, że każde nowe logowanie resetuje uprawnienia do domyślnych — ręczne zmiany działają **tylko podczas aktywnej sesji**.
{% endhint %}
{% hint style="warning" %}
Konfiguracja mapowania grup **musi** być zrobiona zarówno w **OneLogin** jak i **Xopero ONE**— rozpocznij od konfiguracji strony **OneLogin**.
{% endhint %}
1. W **OneLogin** przejdź do **User > Roles** i utwórz role (np. **XONE viewers**, **XONE admins**). Przypisz je do użytkowników.
2. Następnie, w karcie **Applications**, edytuj aplikację SAML. Przejdź do **Parameters** i kliknij ikonę **(+)** aby utworzyć nowy parametr.\
W polu **Name** wprowadź. Zaznacz obie flagi (**Include in SAML assertion** oraz **Multi-value parameter**) i zapisz.
3. W sekcji **Default if no value selected** wybierz **User Roles** oraz **Semicolon Delimited input** (**Multi-value output**) z menu rozwijanego i zapisz.
4. W konsoli **Xopero ONE** przejdź do ⚙️ **Ustawienia** > **Zewnętrzni dostawcy tożsamości** i wybierz **IdP**, którego chcesz edytować.
5. Kliknij przycisk **Mapowanie grup** w lewym dolnym rogu. W polu **Typ claima** wpisz, a w **Wartość claima** wpisz nazwę roli (np. XONE viewers). Wybierz role i uprawnienia dla tej grupy i zapisz. Powtórz ten krok dla każdej roli.
{% endtab %}
{% endtabs %}
***
## Korzystanie z metody uwierzytelniania IdP
Aby zalogować się do **Xopero ONE** przy użyciu dostawcy tożsamości zintegrowanego przez SAML, należy zawsze rozpoczynać proces z poziomu panelu **Xopero ONE**. Nie należy logować się do aplikacji skonfigurowanej dla **Xopero ONE** bezpośrednio z panelu IdP (na przykład z panelu **Okta**) — jedynym wyjątkiem jest **JumpCloud**, który oferuje wbudowaną opcję logowania bezpośrednio ze swojego panelu.
Aby umożliwić istniejącemu użytkownikowi **Xopero ONE** logowanie się za pośrednictwem dostawcy tożsamości (IdP), należy włączyć opcję logowania IdP dla danego konta (⚙️ **Ustawienia** > **Konta** > **Edytuj**). Gdy konto zostanie skonfigurowane do uwierzytelniania przy użyciu dostawcy tożsamości (IdP), nie będzie można przywrócić poprzedniego ustawienia. Aby zmienić metodę uwierzytelniania, konieczne jest **usunięcie konta i dodanie go ponownie**.
{% hint style="danger" %}
Włączenie logowania IdP dla konta głównego administratora (root admin) uniemożliwi zalogowanie się do systemu w przypadku niedostępności zewnętrznego dostawcy tożsamości.
{% endhint %}
[^1]: algorytm podpisu
[^2]: logout response
