SAML | FastComments Docs

FastComments תומך באימות SAML 2.0 עבור לקוחות בתוכניות Flex ו-Pro. SAML מאפשר אימות כניסה יחידה (SSO) דרך ספק הזהות של הארגון שלכם, ומאפשר למשתמשים לגשת ל-FastComments באמצעות האישורים התאגידיים הקיימים שלהם. מדריך זה מכסה הגדרה, תצורה ופתרון בעיות של אימות SAML.

מה זה SAML?

SAML (Security Assertion Markup Language) הוא תקן פתוח המבוסס על XML להחלפת נתוני אימות והרשאה בין גורמים, במיוחד בין ספק זהות (IdP) לבין ספק שירות (SP).

כיצד SAML עובד

SAML מאפשר כניסה יחידה (SSO) על ידי כך שמשתמשים מאמתים עצמם פעם אחת מול ספק הזהות שלהם ואז ניגשים למספר יישומים ללא הזנת פרטי הכניסה שוב. כאשר משתמש מנסה לגשת ל-FastComments:

בקשת אימות: FastComments מפנה את המשתמש לספק הזהות שלך
אימות משתמש: המשתמש מאמת את זהותו אצל ה-IdP שלך (למשל, Active Directory, Okta, Azure AD)
תגובה של SAML: ה-IdP שולח הצהרת SAML חתומה חזרה ל-FastComments
גישה המשתמש: FastComments מאמתת את ההצהרה ומעניקה גישה למשתמש המאומת

יתרונות של SAML

אבטחה מוגברת: אימות מרוכז מצמצם סיכונים הקשורים בסיסמאות
שיפור חוויית המשתמש: משתמשים נכנסים פעם אחת וניגשים למספר יישומים בצורה חלקה
ציות (Compliance): מסייע לעמוד בדרישות רגולטוריות לבקרת גישה ויומני ביקורת
בקרת ניהול: מנהלי ה-IT שומרים על ניהול משתמשים מרוכז

תמיכה ב-SAML 2.0

FastComments מיישמת את SAML 2.0, הגרסה הנפוצה ביותר של תקן SAML. היישום שלנו תומך ב:

קישורי HTTP-POST ו-HTTP-Redirect
תגובות והצהרות SAML חתומות
הצהרות מוצפנות (אופציונלי)
מספר אלגוריתמי חתימה ו-digest
פורמטים שונים של מזהי שם

SAML לעומת SSO

FastComments מציעה הן SSO והן אימות SAML. הבנה של ההבדלים עוזרת לכם לבחור את הגישה הנכונה לארגון שלכם.

SSO פשוט/מאובטח

FastComments מציעה שני זרמי SSO שונים לאימות לתוך ווידג'ט התגובות דרך האתר שלכם. זה שונה מ‑SAML, ולא דורש SAML. במקום זאת, Simple SSO דורש פשוט העברת אובייקט אל ווידג'ט התגובות, בעוד Secure SSO עושה זאת בנוסף לכך שמחשבת את המטען באמצעות מפתח API.

SAML, לעומת זאת, מאמת את המשתמש לכל המוצר (בהתבסס על ההרשאות שלו) כמו גם את ווידג'ט התגובות (אם יש להם עוגיות צד שלישי מופעלות עבור הדומיין שלנו).

אימות SAML

SAML הוא פרוטוקול אימות ברמת ארגונית שמספק יכולות אבטחה ושילוב חזקות יותר:

Implementation: דורש תצורת ספק זהות (IdP) והחלפת תעודות
Security: משתמש בהצהרות XML חתומות ותומך בהצפנה
Use Case: אידיאלי עבור ארגונים עם תשתית SAML קיימת (Active Directory, Okta, וכו')
Setup Complexity: יותר מעורב - דורש תצורת IdP וניהול תעודות
Enterprise Features: מיפוי תפקידים מתקדם, ניהול משתמשים מרכזי, שמירת רישומי ביקורת

מתי לבחור ב‑SAML

שקלו אימות SAML אם הארגון שלכם:

כבר משתמש בספק זהות התואם ל‑SAML (Okta, Azure AD, ADFS, וכו')
דורש אבטחה ועמידה ברגולציה ברמת ארגונית
צריך ניהול משתמשים מרכזי ושליטה בגישה
יש לו מספר אפליקציות המשתמשות ב‑SAML לאימות
דורש רישומי ביקורת מפורטים ודוחות אבטחה

מתי לבחור ב‑SSO פשוט או מאובטח

פתרונות SSO הממוקדים לווידג'ט שלנו עשויים להספיק אם אתם:

מחזיקים במערכת אימות מותאמת אישית
צריכים יישום מהיר עם הגדרה מינימלית
לא זקוקים לשילוב עם ספק זהות ארגוני
רוצים לשלוט בנתוני המשתמש ישירות מהאפליקציה שלכם
יש לכם דרישות אבטחה פשוטות יותר

Simple ו‑Secure SSO משמשים בדרך כלל עבור פורטלים מקוונים, בלוגים, וכו', שבהם למשתמש כבר יש חשבון דרך האתר או האפליקציה שלכם אבל הוא לא בהכרח משתמש ב‑SAML.

הגדרת SAML

הגדרת אימות SAML ב‑FastComments דורשת הן תצורה בלוח הניהול שלך והן הגדרות אצל ספק הזהות שלך.

דרישות מוקדמות

לפני תצורת SAML, ודא שיש לך:

תוכנית FastComments Flex או Pro (SAML אינו זמין בתוכנית Creators)
גישה מנהלית לחשבון ה‑FastComments שלך
גישה מנהלית אצל ספק הזהות שלך
מטא‑נתוני SAML של ה‑IdP שלך או מידע על התעודה שלו

גישה לתצורת SAML

היכנס/י ללוח הניהול של FastComments
עבור אל API/SSO Settings בסרגל הצד השמאלי
לחץ/י על כפתור SAML Config

אם אינך רואה את כפתור ה‑SAML Config, אמת כי:

לחשבונך יש את החבילה הנדרשת (Flex או Pro)
יש לך הרשאות מנהל
למשתמש שלך יש תפקידי API Admin או Admin Admin

תצורת SAML בסיסית

הפעלת אימות SAML

סמן/י את התיבה Enable SAML Authentication
פעולה זו מפעילה את SAML עבור השוכר שלך ומציגה את שדות התצורה

שדות חובה

IdP Single Sign-On URL (Required)

ה‑URL שאליו המשתמשים יופנו לאימות
בדרך כלל מסופק על‑ידי ספק הזהות שלך
דוגמה: https://your-company.okta.com/app/fastcomments/sso/saml

IdP X.509 Certificate (Required)

התעודה הציבורית מספק הזהות שלך
משמשת לאימות האותנטיות של תגובות SAML
חייבת לכלול את התעודה המלאה עם סימני BEGIN/END
פורמט לדוגמה: ```
----BEGIN CERTIFICATE----- MIICXjCCAcegAwIBAgIBADANBgkqhkiG9w0BAQsFADA...
----END CERTIFICATE-----

שדות אופציונליים

IdP Entity ID / Issuer

מזהה את ספק הזהות שלך
אם נשאר ריק, ברירת המחדל היא ה‑URL של FastComments שלך
צריך להתאים ל‑issuer המוגדר ב‑IdP שלך

תצורה מתקדמת

הגדרות אבטחה

Signature Algorithm

ברירת מחדל SHA-256 (מומלץ)
אפשרויות: SHA-1, SHA-256, SHA-512
צריך להתאים להגדרות ה‑IdP שלך

Digest Algorithm

ברירת מחדל SHA-256 (מומלץ)
משמש לחישוב digest בתגובות SAML
צריך להתאים להגדרות ה‑IdP שלך

Name ID Format

ברירת מחדל: פורמט כתובת אימייל
קובע כיצד מזהי משתמשים מעוצבים
אפשרויות נפוצות: Email Address, Persistent, Transient

הצפנה (אופציונלי)

Private Key for Decryption

נדרש רק אם ה‑IdP שלך מוצפן את ההצהרות (assertions) של SAML
הדבק/י כאן את המפתח הפרטי המשמש לפענוח
ברוב הפריסות אין צורך בהצפנת ה‑assertion

שמירת התצורה

סקור/י את כל ההגדרות לוודא שהן נכונות
לחץ/י על Save SAML Configuration
המערכת תבצע אימות של התצורה שלך
אם האימות מצליח, תראה/י הודעת אישור

שלבים הבאים

לאחר שמירת תצורת SAML של FastComments שלך:

הגדר/י את ספק הזהות שלך באמצעות המידע של ה‑Service Provider
בדוק/י את מהלך האימות
קבע/י תפקידי משתמש והרשאות לפי הצורך

מידע ה‑Service Provider הדרוש להגדרת ה‑IdP שלך יוצג ברגע ש‑SAML יופעל.

תצורת ספק זהות

After configuring SAML in FastComments, you need to set up FastComments as a Service Provider in your identity provider.

General IdP Configuration

Most identity providers require the following information to add FastComments as a SAML application:

Required Service Provider Information

These values are automatically generated and displayed in your FastComments SAML configuration page:

SP Entity ID / Audience

Format: https://fastcomments.com/saml/{your-tenant-id}
This uniquely identifies your FastComments instance

Assertion Consumer Service (ACS) URL

Format: https://fastcomments.com/saml/callback/{your-tenant-id}
Where your IdP sends SAML responses after authentication

SP Metadata URL (if supported by your IdP)

Format: https://fastcomments.com/saml/metadata/{your-tenant-id}
Provides complete SAML configuration in XML format

SAML Login URL

Format: https://fastcomments.com/saml/login/{your-tenant-id}
Direct link to initiate SAML authentication

Required SAML Attributes

Configure your identity provider to send these attributes with SAML responses:

Essential Attributes

Email Address (Required)

Attribute Name: email, emailAddress, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Purpose: Unique user identification and notifications
Format: Valid email address

Optional Attributes

First Name

Attribute Names: firstName, givenName, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Purpose: User display name

Last Name

Attribute Names: lastName, surname, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Purpose: User display name

Roles (Important for access control)

Attribute Names: roles, groups, memberOf, or custom attribute names
Purpose: FastComments role assignment and permissions
Format: Array of role strings or comma-separated values

Common Identity Provider Configurations

Microsoft Azure AD

Add Enterprise Application
- Search for "FastComments" or create a custom SAML application
- Use the SP information provided by FastComments
Configure Attributes
- Email: user.mail or user.userprincipalname
- First Name: user.givenname
- Last Name: user.surname
- Roles: user.assignedroles or directory groups

Okta

Create SAML Application
- Use "Create New App" and select SAML 2.0
- Configure with FastComments SP information
Attribute Statements
- Email: user.email
- FirstName: user.firstName
- LastName: user.lastName
- Roles: user.groups or custom attributes

Google Workspace

Add SAML Application
- Go to Apps > Web and mobile apps > Add App > Add custom SAML app
- Configure with FastComments SP information
Attribute Mapping
- Email: Primary email
- First Name: First name
- Last Name: Last name
- Roles: Groups or custom attributes

Active Directory Federation Services (ADFS)

Add Relying Party Trust
- Use the FastComments metadata URL or manual configuration
- Configure SP information as provided
Claim Rules
- Email: Email Address claim
- Name: Name ID claim
- Roles: Group membership or custom claims

Attribute Name Flexibility

FastComments accepts role information from multiple attribute names to accommodate different IdP configurations:

roles
groups
memberOf
role
group
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

This flexibility ensures compatibility with various identity providers without requiring specific attribute naming conventions.

Testing Your Configuration

After configuring your identity provider:

Save the IdP configuration
Test with a dedicated test user account
Verify that attributes are being sent correctly
Check that roles are properly mapped
Ensure the authentication flow completes successfully

Most identity providers offer SAML testing tools to validate the configuration before deploying to production users.

מידע על ספק השירות

כאשר SAML מופעל ב-FastComments, המערכת יוצרת אוטומטית מידע של ספק שירות (SP) שעליך להגדיר בספק הזהות שלך.

גישה למידע של ספק השירות

מידע ה-SP מוצג בעמוד התצורה של SAML לאחר הפעלת אימות SAML. מידע זה כולל את כל הפרטים שספק הזהות שלך צריך כדי להקים את יחס האמון ב-SAML.

נקודות קצה של ספק השירות

SP Entity ID / Audience

מטרה: מזהה באופן ייחודי את מופע FastComments שלך כספק שירות
פורמט: https://fastcomments.com/saml/{your-tenant-id}
שימוש: הגדר זאת כ-Entity ID או Audience ב-IdP שלך

מזהה זה מבטיח שתשובות SAML מיועדות לשוכר FastComments הספציפי שלך ומונע קבלת תשובות SAML על ידי מופעים אחרים.

Assertion Consumer Service (ACS) URL

מטרה: נקודת הקצה שאליה ספק הזהות (IdP) שולח תשובות SAML לאחר אימות המשתמש
פורמט: https://fastcomments.com/saml/callback/{your-tenant-id}
שימוש: הגדר זאת כ-ACS URL או Reply URL ב-IdP שלך

זה המקום שאליו המשתמשים מועברים לאחר אימות מוצלח עם ספק הזהות שלך, יחד עם ה-SAML assertion המכיל מידע על המשתמש.

SP Metadata URL

מטרה: מספק תצורת SAML מלאה בפורמט XML סטנדרטי
פורמט: https://fastcomments.com/saml/metadata/{your-tenant-id}
שימוש: חלק מספקי הזהות יכולים לייבא אוטומטית את התצורה באמצעות כתובת URL זו

כתובת המטא-דטה מכילה את כל המידע הנחוץ של ה-SP בפורמט XML, מה שמקל על תצורת ספקי זהות תואמים באופן אוטומטי.

מטרה: קישור ישיר להתחלת אימות SAML עבור השוכר שלך
פורמט: https://fastcomments.com/saml/login/{your-tenant-id}
שימוש: קישור משתמשים ישירות לאימות SAML או לבדיקת הזרימה

ניתן להשתמש בכתובת URL זו כדי לבדוק את אימות SAML או לספק למשתמשים קישור ישיר להתחברות דרך SAML.

תמיכה ב-SAML Binding

FastComments תומך ב-bindings הבאים של SAML:

HTTP-POST Binding

שיטה עיקרית: ה-binding השכיח ביותר לתשובות SAML
אבטחה: תשובת SAML נשלחת באמצעות HTTP POST ל-ACS URL
שימוש: מומלץ לפריסות בייצור

HTTP-Redirect Binding

שיטה חלופית: תשובת SAML נשלחת באמצעות הפניה HTTP
מגבלות: גודל המטען מוגבל בשל מגבלות אורך ה-URL
שימוש: נתמך אך HTTP-POST מועדף

מדיניות Name ID

FastComments מגדיר את מדיניות ה-Name ID הבאה בבקשות SAML:

פורמט ברירת מחדל: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
פורמטים חלופיים: Persistent, Transient, Unspecified (ניתנים להגדרה)
דרישה: כתובת הדוא"ל משמשת כמזהה המשתמש הראשי

מאפייני בקשת SAML

בעת התחלת אימות SAML, FastComments שולח בקשות עם המאפיינים הבאים:

Request Signing

סטטוס: אופציונלי (ניתן להגדרה)
אלגוריתם: מתאים לאלגוריתם החתימה המוגדר
תעודה: משתמשת בתעודה ייעודית לשוכר אם חתימת בקשות מופעלת

Requested Attributes

FastComments מבקש את המאפיינים הבאים ב-AuthnRequests של SAML:

Email: נדרש לזיהוי המשתמש
First Name: אופציונלי לצרכי תצוגה
Last Name: אופציונלי לצרכי תצוגה
Roles/Groups: אופציונלי לבקרת גישה והרשאות

העתקת מידע של ספק השירות

עמוד התצורה של SAML מספק שדות ניתנים ללחיצה שמעתיקים אוטומטית את מידע ה-SP אל הלוח שלך:

לחץ על כל שדה של מידע SP (Entity ID, ACS URL, וכו')
הערך מועתק אוטומטית ללוח
הדבק את הערך בקונפיגורציית ספק הזהות שלך
הדגשה קצרה מצביעה על העתקה מוצלחת

זה מקל על העברת מידע ה-SP אל ה-IdP שלך ללא שגיאות הקלדה.

מידע על תעודת ה-SP

שימוש בתעודה

מטרה: מצפנת תקשורת ומאמתת את זהות ה-SP
סיבוב (Rotation): התעודות מנוהלות אוטומטית על ידי FastComments
גישה: תעודות ציבוריות זמינות דרך כתובת המטא-דטה

פרטי התעודה

אלגוריתם: RSA-2048 או גבוה יותר
תוקף: התעודות מתחדשות אוטומטית לפני תפוגה
הפצה: זמינה דרך מטא-דטה סטנדרטי של SAML

פתרון תקלות בתצורת ה-SP

אם ספק הזהות שלך מדווח על בעיות במידע ה-SP:

אמת את כתובות ה-URL: ודא שכל הכתובות משתמשות ב-HTTPS וכוללות את ה-tenant ID הנכון
בדוק את המטא-דטה: השתמש בכתובת המטא-דטה כדי לאמת את התצורה
בדוק קישוריות: ודא שה-IdP שלך יכול להגיע לנקודות הקצה של FastComments
אמת את הפורמט: אשר ש-IdP שלך תומך בפורמט המידע של ה-SP

בעיות נפוצות כוללות:

tenant ID שגוי בכתובות ה-URL
בעיות קישוריות רשת בין ה-IdP ל-FastComments
IdP שמצפה לפורמטים שונים של כתובות URL או לאפשרויות תצורה נוספות

תפקידים והרשאות משתמש

FastComments ממפה תפקידי משתמש של SAML להרשאות פנימיות, ומאפשר בקרת גישה מבוססת-תפקידים עבור הארגון שלך.

מערכת התפקידים של FastComments

FastComments משתמשת במערכת הרשאות מבוססת תפקידים שבה למשתמשים יכולים להיות תפקידים אחדים או יותר שקובעים את רמות הגישה והיכולות שלהם.

תפקידי FastComments הזמינים

תפקידים ניהוליים

fc-account-owner

Permissions: גישה ניהולית מלאה
Capabilities: כל התכונות, ניהול תשלומים, ניהול משתמשים
Use Case: מנהלי חשבון ראשיים ובעלי חשבון

fc-admin-admin

Permissions: גישה ניהולית לרוב התכונות
Capabilities: ניהול משתמשים, קונפיגורציה, מתן חסימות/בקרה. יכול לנהל מנהלים אחרים.
Use Case: מנהלים משניים וצוותי IT

fc-billing-admin

Permissions: ניהול חשבוניות ומנויים
Capabilities: שיטות תשלום, חשבוניות, שינויים במנוי
Use Case: חברי צוות הכספים ונציגי חיוב

תפקידים מיוחדים

fc-analytics-admin

Permissions: גישה לניתוחים ודיווח
Capabilities: צפייה בסטטיסטיקות האתר, נתוני מעורבות משתמשים
Use Case: צוותי שיווק ואנליסטים נתונים

fc-api-admin

Permissions: גישה וניהול API
Capabilities: אישורי API, קונפיגורציית webhooks
Use Case: מפתחים ומשלבים טכניים

fc-moderator

Permissions: יכולות מתווך תגובות
Capabilities: אישור/דחייה של תגובות, ניהול ספאם
Use Case: מפקחי קהילה ומנהלי תוכן

תצורת מיפוי תפקידים

מקורות מאפייני SAML

FastComments מקבלת מידע על תפקידים משמות מאפייני SAML שונים כדי להבטיח תאימות עם ספקי זהות שונים:

Standard Attribute Names:

roles
groups
memberOf
role
group

Microsoft/ADFS Attributes:

http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

פורמטים נתמכים של תפקידים

Array Format (Preferred):

<saml:Attribute Name="roles">
    <saml:AttributeValue>fc-admin-admin</saml:AttributeValue>
    <saml:AttributeValue>fc-moderator</saml:AttributeValue>
</saml:Attribute>

Comma-Separated Format:

<saml:Attribute Name="roles">
    <saml:AttributeValue>fc-admin-admin,fc-moderator</saml:AttributeValue>
</saml:Attribute>

Single Role Format:

<saml:Attribute Name="roles">
    <saml:AttributeValue>fc-admin-admin</saml:AttributeValue>
</saml:Attribute>

קונפיגורציית תפקידי ספק זהות

Microsoft Azure AD

App Roles Configuration:
- הגדר את תפקידי FastComments באפליקציית Azure AD שלך
- הקצה משתמשים לתפקידי היישום המתאימים
- קנפג claims לכלול את התפקידים שהוקצו

Attribute Mapping:

Attribute Name: roles
Source Attribute: user.assignedroles

Okta

Group Assignment:
- צור קבוצות התואמות לשמות תפקידי FastComments
- הקצה משתמשים לקבוצות המתאימות
- קנפג הצהרות מאפיינים

Attribute Statement:

Name: roles
Value: user.groups
Filter: Starts with "fc-"

Google Workspace

Group Mapping:
- צור יחידות ארגוניות או קבוצות
- תן שמות לקבוצות עם קידומות תפקידי FastComments
- קנפג מיפוי מאפיינים

Custom Attributes:

Attribute Name: roles
Value: Groups or custom schema attribute

התנהגות ברירת מחדל של משתמשים

משתמשים ללא תפקידים

כאשר למשתמש SAML אין תפקידים או שיש לו תפקידים שלא מזוהים:

המשתמש נוצר כמתגיב סטנדרטי
לא ניתנת גישה ניהולית
יכול לפרסם ולנהל את התגובות שלו בלבד
לא יכול לגשת לפונקציות לוח הניהול

ירושת תפקידים

למשתמשים יכולים להיות מספר תפקידים בו-זמנית
ההרשאות מצטברות (חל הרמה הגבוהה ביותר של הרשאה)
שינויים בתפקידים ב-IdP משתקפים בכניסה הבאה

ניהול משתמשי SAML

יצירת משתמש

כאשר משתמש נכנס דרך SAML בפעם הראשונה:

User Account: נוצר אוטומטית כשהמייל משמש כמזהה
Role Assignment: התפקידים מוחלים בהתבסס על מאפייני SAML
Profile Information: שם פרטי/משפחה מתמלאים אם סופקו
Permission Activation: התפקידים הופכים פעילים מיד

עדכוני תפקידים

משתמשי SAML קיימים מקבלים עדכוני תפקידים:

Login Trigger: עדכוני תפקידים מתבצעים במהלך כל כניסת SAML
Immediate Effect: הרשאות חדשות חלות מיד
Role Removal: תפקידים שהוסרו מבוטלים אוטומטית
Audit Trail: שינויים בתפקידים מתועדיים ביומני ביקורת

מיפוי תפקידים מותאם

התאמה ארגונית

ללקוחות ארגוניים עם דרישות מיוחדות:

ניתן למפות שמות תפקידים מותאמים להרשאות FastComments
ניתן ליישם היררכיות תפקידים מורכבות
ניתן להגדיר בקרות גישה ספציפיות למחלקות

פנה לתמיכת FastComments עבור תצורות מיפוי תפקידים מותאמות.

אימות תפקידים

FastComments מאמתת תפקידים נכנסים:

תפקידים שלא מזוהים מתעלמים (לא נדחים)
מאפייני תפקידים פגומים מתועדים לצורכי פתרון בעיות
משתמשים שומרים על התפקידים הקיימים אם היסטית SAML חסרת מידע על תפקידים

שיטות מומלצות

ניהול תפקידים

Principle of Least Privilege: הקצה את ההרשאות המינימליות הנחוצות
Regular Auditing: בדוק תפקידים וגישה באופן תקופתי
Clear Naming: השתמש בשמות קבוצות תיאוריים ב-IdP שלך
Documentation: תחזק תיעוד של הקצאות תפקידים

שיקולי אבטחה

Role Attributes: ודא שמאפייני התפקיד מאובטחים כראוי בתגובות SAML
Attribute Validation: אמת שרק מערכות מורשות יכולות להקצות תפקידים
Access Reviews: בדוק באופן תדיר הקצאות תפקידים ניהוליים
Monitoring: נטר שינויים בתפקידים ופעולות ניהוליות

פתרון בעיות בתפקידים

בעיות נפוצות

Roles Not Applied:

בדוק ששמות מאפייני SAML תואמים לפורמטים הנתמכים
אמת שספק הזהות שולח מידע תפקידים
אשר שערכי התפקיד תואמים בדיוק לשמות תפקידי FastComments

Access Denied:

ודא שלמשתמש מוקצה תפקיד מתאים ב-IdP
בדוק איות ורגישות לאותיות גדולות/קטנות של התפקיד
אשר שהתפקיד מעוצב כראוי בתשובת SAML

Missing Permissions:

בדוק את הגדרות התפקידים וההרשאות הנדרשות
בדוק הקצאות תפקידים מתנגשות
אמת שהמשתמש נכנס לאחר שינויים בתפקידים

בדיקת אימות SAML

בדיקה של תצורת SAML שלך מוודאת שהאימות פועל כראוי לפני פריסה למשתמשי ייצור.

רשימת בדיקה לפני הבדיקה

לפני בדיקת אימות SAML, ודא:

✅ SAML מופעל ב-FastComments
✅ כל השדות הדרושים מלאים (IdP URL, Certificate)
✅ ה-Identity provider מוגדר עם מידע ה-SP של FastComments
✅ חשבון משתמש מבחן קיים ב-IdP שלך
✅ למשתמש המבחן מוקצים התפקידים המתאימים

שיטות בדיקה

שיטה 1: כתובת כניסה SAML ישירה

קבל את כתובת הכניסה SAML:
- העתק מדף התצורה של SAML שלך
- פורמט: https://fastcomments.com/saml/login/{your-tenant-id}
בדוק את האימות:
- פתח את כתובת הכניסה של SAML בחלון דפדפן בסתר/פרטי
- תועבר ל-identity provider שלך
- היכנס עם אישורי המבחן
- אמת את ההפניה המוצלחת חזרה ל-FastComments

שיטה 2: גישה ללוח הניהול

נווט ל-FastComments:
- עבור אל לוח הניהול של FastComments
- חפש את אפשרות הכניסה באמצעות SAML או השתמש בכתובת הכניסה של SAML
השלים את זרימת האימות:
- אמת דרך ה-identity provider שלך
- אמת גישה לתכונות הניהול המתאימות בהתאם לתפקידים שהוקצו

שיטה 3: בדיקת אינטגרציה עם הווידג'ט

לבדיקת SAML עם ווידג'טים של תגובות:

הטמע את הווידג'ט: השתמש בווידג'ט של FastComments בעמוד מבחן
אימות: לחץ על כניסה ובחר באפשרות SAML (אם זמינה)
אימות: אשר שהמשתמש מופיע כמאומת בווידג'ט

מה לאמת במהלך הבדיקה

זרימת האימות

הפניה מוצלחת:

המשתמש מועבר לדף ההתחברות של IdP
דף ההתחברות של IdP נטען כהלכה
לא מתרחשים שגיאות תעודה או SSL

אימות ב-IdP:

המשתמש יכול להיכנס עם אישורי ה-IdP שלו
אימות רב-שלבי עובד (אם הוגדר)
אין שגיאות אימות מה-IdP

חזרה ל-FastComments:

המשתמש מועבר חזרה ל-FastComments לאחר התחברות מוצלחת ב-IdP
אין שגיאות אימות של טענת SAML
המשתמש מקבל גישה לתכונות המתאימות ב-FastComments

מידע על המשתמש

נתוני פרופיל בסיסיים:

כתובת האימייל מתקבלת כראוי
שם פרטי ושם משפחה מופיעים אם סופקו
פרופיל המשתמש נוצר או מעודכן

הקצאת תפקידים:

תפקידים ניהוליים מוקצים כראוי
המשתמש בעל גישה לתכונות ניהול צפויות
ההרשאות תואמות את התפקידים שהוקצו

אימות תגובת SAML

אימות תעודה:

חתימת תגובת SAML מאומתת בהצלחה
אין שגיאות אימות תעודה ביומנים
התגובה מתקבלת כאמיתית

עיבוד מאפיינים:

המאפיינים הנדרשים (email) קיימים
המאפיינים האופציונליים מעובדים כהלכה
מאפייני תפקיד מפורשים ומוחלים כראוי

בדיקת תרחישים שונים

זרימת משתמש סטנדרטית

משתמש חדש:
- כניסת SAML בפעם הראשונה
- יצירת חשבון
- הקצאת הרשאות בסיסיות
משתמש קיים:
- כניסה של משתמש חוזר
- עדכוני פרופיל
- שינויים בתפקיד

בדיקת גישת מנהל

תפקידים ניהוליים:
- בדוק משתמשים עם התפקיד fc-admin-admin
- אמת גישה ללוח הניהול
- אשר יכולות ניהוליות
תפקידים מיוחדים:
- בדוק גישת fc-moderator לתכונות המודרציה
- בדוק גישת fc-analytics-admin לניתוחים
- בדוק גישת fc-billing-admin לתכונות החיוב

תרחישי שגיאה

תעודות לא תקפות:
- בדוק עם תעודות שפג תוקפן או שגויות
- אמת טיפול שגיאות תקין
מאפיינים חסרים:
- בדוק תגובות SAML ללא מאפיין ה-email הנדרש
- אמת טיפול שגיאות תקין
בעיות רשת:
- בדוק עם בעיות קישוריות
- אמת טיפול בזמן המתנה

פתרון בעיות בבדיקות

בעיות אימות נפוצות

לולאת הפניה:

בדוק ש-SP Entity ID תואם לתצורת ה-IdP
אמת שכתובת ה-ACS (ACS URL) מוגדרת נכון
אשר שהגדרות SAML binding תואמות

שגיאות תעודה:

וודא שהתעודה כוללת את סימני BEGIN/END
אמת שהתעודה לא פגה תוקף
בדוק רווחים מיותרים או בעיות עיצוב

בעיות מאפיינים:

אשר שמאפיין ה-email נשלח
אמת שמאפייני התפקיד משתמשים בשם נכון
בדוק את פורמט המאפיין (array לעומת מופרד בפסיקים)

כלי דיבוג

כלי המפתחים בדפדפן:

נטר בקשות רשת במהלך זרימת SAML
בדוק שגיאות HTTP או הפניות
בדוק את נתוני POST של SAML (אם גלויים)

כלי בדיקה של IdP:

רוב ה-IdP מספקים ממשקי בדיקה ל-SAML
השתמש בכלי ה-IdP כדי לאמת את פורמט תגובת SAML
בדוק את קונפיגורציית המאפיינים לפני שליחה ל-FastComments

תמיכת FastComments:

הפעל רישום דיבוג במהלך הבדיקה
שמור הודעות שגיאה וחותמות זמן
פנה לתמיכה עם פרטי שגיאה ספציפיים

שיטות מומלצות לבדיקות

הגדרת סביבות בדיקה

משתמשי מבחן ייעודיים:
- צור חשבונות מבחן ספציפיים ב-IdP שלך
- הקצה שילובי תפקידים שונים
- השתמש בכתובות דוא"ל של מבחן שקל לזהות
בדיקות מבודדות:
- השתמש בחלונות דפדפן בסתר/פרטיים
- נקה עוגיות בין בדיקות
- בדוק עם חשבונות משתמש שונים
תיעוד:
- רישום תרחישי בדיקה ותוצאותיהם
- תעד כל שינוי תצורה שנדרש
- ציין פרטי קונפיגורציה מוצלחים

אימות לפני פריסה

בדיקות מקיפות:
- בדוק את כל שילובי התפקידים
- אמת מקרים קצה ותנאי שגיאה
- אשר שהביצועים מקובלים
קבלת משתמשים:
- תן למשתמשי קצה לבדוק את זרימת האימות
- אסוף משוב על חוויית המשתמש
- אמת שהזרימה עונה על הדרישות
סקירת אבטחה:
- אשר שאימות התעודה עובד
- אמת שהקצאות התפקידים בטוחות
- בדוק אכיפת בקרת הגישה

פריסה לייצור

לאחר בדיקות מוצלחות:

פריסה הדרגתית: שקול לפרוס את SAML תחילה לחלק מהמשתמשים
ניטור: נטר את שיעורי ההצלחה של האימות ואת יומני השגיאות
הכנת תמיכה: הכין את צוות התמיכה לשאלות הקשורות ל-SAML
תיעוד: ספק תיעוד למשתמש עבור תהליך הכניסה ב-SAML

בעיות נפוצות

מדריך זה מכסה בעיות נפוצות באימות SAML והפתרונות להן.

Certificate and Security Issues

Invalid Certificate Error

Symptoms:

"Certificate validation failed" error
משתמשים אינם מצליחים להשלים אימות SAML
תגובות SAML נדחות

Common Causes:

פורמט התעודה שגוי
התעודה פגה
סופקה תעודה שגויה
תווים נוספים או רווחים בתעודה

Solutions:

Verify Certificate Format:
- ודא שהתעודה כוללת את הסימונים -----BEGIN CERTIFICATE----- ו------END CERTIFICATE-----
- הסר כל רווחים או שבירות שורה מיותרות
- העתק את התעודה ישירות ממטאדטה או מהקונפיגורציה של ה-IdP
Check Certificate Validity:
- ודא שהתעודה לא פגה
- אשר שהתעודה מיועדת ל-IdP הנכון
- השתמש בוולידטורים מקוונים של תעודות כדי לבדוק את הפורמט
Re-download Certificate:
- הורד תעודה חדשה מה-IdP
- השתמש ב-IdP metadata URL אם זמין
- אשר שהתעודה תואמת לקונפיגורציה הנוכחית של ה-IdP

Signature Verification Failed

Symptoms:

שגיאות אימות חתימה של אסרטיפיקציית SAML
האימות נכשל לאחר כניסה ב-IdP
הודעות שגיאה "Invalid signature"

Solutions:

Algorithm Mismatch:
- בדוק שהאלגוריתם של החתימה ב-FastComments תואם את ה-IdP
- נסה אלגוריתמים שונים לחתימה (SHA-256, SHA-1, SHA-512)
- אמת שהאלגוריתם של הסיכום (digest) תואם לקונפיגורציה של ה-IdP
Certificate Issues:
- ודא שהתעודה הנכונה לחתימה מוגדרת
- אמת שהתעודה תואמת למפתח הפרטי שנמצא בשימוש ע"י ה-IdP
- בדוק אם יש סיבוב תעודות (certificate rotation) ב-IdP

Configuration Issues

Wrong Entity ID or ACS URL

Symptoms:

ה-IdP מדווח "Unknown Service Provider"
תגובות SAML נשלחות ל-endpoint שגוי
האימות לא מסתיים

Solutions:

Verify SP Information:
- העתק במדויק את ה-Entity ID מהקונפיגורציה של FastComments
- ודא ש-ACS URL תואם לפורמט: https://fastcomments.com/saml/callback/{tenant-id}
- בדוק שגיאות הקלדה ב-tenant ID
IdP Configuration:
- עדכן את ה-IdP עם ה-SP Entity ID הנכון
- קבע את ה-ACS/Reply URL המתאים
- אמת את הגדרות ה-binding של ה-IdP (HTTP-POST מועדף)

Missing or Incorrect Attributes

Symptoms:

משתמשים נוצרים ללא תפקידים מתאימים
חסר מידע בפרופיל המשתמש
שגיאות "Email required"

Solutions:

Email Attribute:
- ודא שה-IdP שולח את התכונה של המייל
- בדוק מיפוי שמות התכונות (email, emailAddress, וכו')
- אמת שהערך של המייל הוא כתובת מייל תקינה
Role Attributes:
- אשר שה-IdP שולח מידע על תפקידים/קבוצות
- בדוק ששמות תכונות התפקידים תואמים לציפיות של FastComments
- אמת שערכי התפקיד תואמים בדיוק לשמות התפקידים ב-FastComments
Attribute Format:
- בדוק גם פורמט מערך וגם פורמט מופרד בפסיקים עבור תפקידי משתמש
- ודא שערכי התכונה אינם מכילים רווחים מיותרים
- בדוק רגישות לאותיות בשמות תפקידים

Authentication Flow Issues

Redirect Loop

Symptoms:

הדפדפן מבצע הפניות אינסופיות בין FastComments ל-IdP
האימות לעולם לא מסתיים
מספר הפניות מוצג בכלי המפתחים של הדפדפן

Solutions:

Check SP Configuration:
- ודא שה-Entity ID תואם בדיוק לקונפיגורציה של ה-IdP
- ודא ש-ACS URL מוגדר נכון ב-IdP
- בדוק סלאשים בסוף ה-URLs
Session Issues:
- נקה עוגיות בדפדפן ונסה שוב
- בדוק בחלון דפדפן פרטי/incognito
- בדוק הגדרות timeout של סשן

Access Denied After Authentication

Symptoms:

אימות SAML מצליח
המשתמש מופרש חזרה ל-FastComments
מוצגת הודעת "Access denied" או שגיאת הרשאות

Solutions:

Role Assignment:
- ודא שלמשתמש יש תפקידים מתאימים ב-IdP
- בדוק שהתכונת התפקיד נשלחת בתשובת ה-SAML
- אשר ששמות התפקידים תואמים בדיוק לדרישות של FastComments
Package Limitations:
- בדוק שלחשבון יש תוכנית Flex או Pro
- ודא שתכונת ה-SAML מופעלת בחבילה
- פנה לתמיכה אם החבילה כוללת SAML אך התכונה לא זמינה

Identity Provider Specific Issues

Microsoft Azure AD

Common Issues:

הקצאות תפקידי אפליקציה לא משתקפות בטוקנים
Claims לא נשלחות כראוי
דרישות הקצאת משתמשים

Solutions:

בדוק הקצאת משתמש לאפליקציית FastComments
אמת שתפקידי האפליקציה מוגדרים כראוי
ודא שמיפוי ה-claims כולל את התכונות הנדרשות

Okta

Common Issues:

מסנני קבוצות לא עובדים כראוי
הצהרות תכונה (attribute statements) מוגדרות לא נכון
בעיות בהקצאת אפליקציה

Solutions:

סקור את קונפיגורציית ה-attribute statements
בדוק הקצאת קבוצות וכללי סינון
אמת שהאפליקציה מוקצת למשתמשים/קבוצות המתאימות

Google Workspace

Common Issues:

תכונות מותאמות אישית לא ממופות כראוי
חברות בקבוצה לא נשלחות
שגיאות בקונפיגורציית אפליקציית SAML

Solutions:

הגדר סכימה מותאמת אישית לתכונות תפקידים
בדוק הפצת חברות הקבוצה
אמת מיפוי תכונות של אפליקציית SAML

Network and Connectivity Issues

Timeout Errors

Symptoms:

תהליך האימות פג תוקף (timeout)
"Request timeout" או שגיאות דומות
זרימת אימות איטית

Solutions:

Network Connectivity:
- בדוק שחוקי החומת אש מאפשרים תקשורת עם FastComments
- אמת רזולוציית DNS עבור fastcomments.com
- בדוק חיבור רשת מה-IdP אל FastComments
Performance Issues:
- בדוק זמני תגובה של ה-IdP
- אמת שלאבדיקת שרשרת התעודות אין קושי שגורם לעיכוב
- שקול השפעת השיהוי ברשת בין ה-IdP והמשתמשים

SSL/TLS Issues

Symptoms:

אזהרות תעודה במהלך האימות
כשלי SSL handshake
שגיאות "Secure connection failed"

Solutions:

ודא שכל נקודות הקצה של SAML משתמשות ב-HTTPS
בדוק תוקף תעודות לכל הדומיינים המעורבים
אמת תאימות גרסת TLS

Debugging and Logging

Enabling Debug Information

Browser Developer Tools:
- עקוב אחרי לשונית ה-Network במהלך זרימת SAML
- בדוק את ה-Console לשגיאות JavaScript
- בחן בקשות POST של SAML (אם נראות)
IdP Logging:
- אפשר דיבוג של SAML ב-IdP שלך
- סקור לוגים של ה-IdP לפרטי בקשות/תגובות SAML
- בדוק בעיות במיפוי תכונות

Common Log Messages

FastComments Logs:

"SAML config not found" - SAML לא מופעל או מוגדר לא נכון
"Invalid certificate" - אימות התעודה נכשל
"Missing email attribute" - המייל הנדרש לא נשלח בתשובת ה-SAML

IdP Logs:

"Unknown service provider" - חוסר התאמה של Entity ID
"Invalid ACS URL" - כתובת Assertion Consumer Service שגויה
"User not assigned" - למשתמש אין גישה לאפליקציית SAML

Getting Help

Information to Gather

כאשר פונים לתמיכה, ספק:

הודעות שגיאה מדויקות וחותמות זמן
פרטי קונפיגורציית SAML (ללא מידע רגיש)
סוג וגרסת ה-IdP
צעדים לשחזור הבעיה
מידע על הדפדפן והרשת

FastComments Support

For SAML-related issues:

Use the פורטל התמיכה
כלול את tenant ID ודוא"לי המשתמשים המושפעים
ספק הודעות שגיאה ופרטי קונפיגורציה
ציין את סוג ה-IdP ושיטת הקונפיגורציה

IdP Support

For IdP-specific issues:

עיין בתיעוד ה-IdP לפתרון בעיות SAML
השתמש בערוצי התמיכה של ה-IdP לבעיות קונפיגורציה
נצל פורומים קהילתיים של ה-IdP לבעיות נפוצות

Prevention Tips

Best Practices

Test Thoroughly:
- בדוק שינויים בקונפיגורציה בסביבה שאינה פרודקשן
- אמת עם מספר משתמשי בדיקה
- תעד קונפיגורציות שפועלות
Monitor Regularly:
- הגדר ניטור לכשלי אימות SAML
- סקור תאריכי פקיעת תעודות
- נטר שינויים בקונפיגורציית ה-IdP
Documentation:
- תחזק תיעוד של קונפיגורציית SAML
- תעד כל קונפיגורציה מותאמת אישית או פתרונות עקיפה
- שמור פרטי קשר למנהלי ה-IdP

Proactive Maintenance

Certificate Management:
- נטר תאריכי פקיעת תעודות
- תכנן נוהלי סיבוב תעודות (certificate rotation)
- בדוק עדכוני תעודות לפני פקיעת התוקף
Configuration Reviews:
- סקור באופן קבוע את קונפיגורציית SAML
- אמת שהגדרות ה-IdP נשארות עדכניות
- עדכן תיעוד כאשר מבוצעים שינויים

שיטות עבודה מומלצות לאבטחה

SAML implementation security is critical for protecting your organization's authentication infrastructure and user data.

SAML Security Fundamentals

Digital Signatures

SAML Response Signing:

All SAML responses must be digitally signed by the IdP
FastComments validates signatures using the IdP's public certificate
Prevents tampering with authentication assertions
Ensures responses originate from trusted IdP

Certificate Validation:

Certificates are validated against configured IdP certificate
Certificate chain validation ensures trust hierarchy
Expired or invalid certificates are rejected
Certificate rotation should be planned and coordinated

Assertion Security

Audience Restriction:

SAML assertions include audience restriction (SP Entity ID)
Prevents assertion replay attacks against other service providers
FastComments validates audience matches tenant configuration
Reject assertions intended for other applications

Time-Based Validation:

Assertions include time-based validity windows
NotBefore and NotOnOrAfter conditions are enforced
Prevents replay of old assertions
Clock skew tolerance is configurable

Communication Security

Transport Layer Security

HTTPS Requirements:

All SAML communication occurs over HTTPS
TLS 1.2 or higher is required
Certificate validation prevents man-in-the-middle attacks
Secure communication protects sensitive authentication data

Endpoint Security:

SAML endpoints use secure, authenticated connections
IdP and SP endpoints must support modern TLS
Weak cipher suites are rejected
Certificate pinning may be implemented for additional security

Data Protection

Sensitive Data Handling:

SAML assertions may contain sensitive user information
Data is encrypted in transit and processed securely
Temporary storage is minimized and secured
User data retention follows privacy requirements

Assertion Encryption (Optional):

SAML assertions can be encrypted for additional security
Useful when assertions traverse untrusted networks
Requires private key configuration in FastComments
Most deployments rely on TLS encryption instead

Authentication Security

Single Sign-On Benefits

Centralized Authentication:

Reduces password-related security risks
Enables consistent security policies
Provides single point for access control
Facilitates compliance with security standards

Session Management:

SAML enables secure session establishment
Session timeouts can be centrally managed
Single logout capabilities (if supported by IdP)
Reduces credential exposure across applications

Multi-Factor Authentication

IdP MFA Integration:

MFA requirements enforced by identity provider
FastComments inherits IdP security policies
Supports various MFA methods (SMS, authenticator apps, hardware tokens)
Centralized MFA policy management

Access Control Security

Role-Based Access Control

Principle of Least Privilege:

Assign minimum necessary permissions to users
Use specific roles rather than overly broad permissions
Regular review of role assignments
Remove access when no longer needed

Role Validation:

SAML role attributes are validated and sanitized
Unknown roles are ignored (not rejected)
Role changes are applied immediately upon login
Audit trail maintained for role changes

Administrative Access

Admin Role Protection:

Administrative roles require explicit assignment
Monitor administrative access and activities
Implement approval workflows for sensitive role assignments
Regular auditing of administrative accounts

Identity Provider Security

IdP Configuration Security

Certificate Management:

Use strong certificates (RSA-2048 or higher)
Implement proper certificate rotation procedures
Secure private key storage at IdP
Monitor certificate expiration dates

Access Control:

Restrict who can modify SAML application configuration
Implement approval processes for configuration changes
Monitor configuration changes and access
Regular security reviews of IdP configuration

Attribute Security

Sensitive Attribute Protection:

Minimize sensitive data in SAML attributes
Use role identifiers rather than sensitive group names
Encrypt assertions containing sensitive information
Follow data minimization principles

Attribute Validation:

Validate all incoming SAML attributes
Sanitize attribute values to prevent injection attacks
Implement attribute value restrictions where appropriate
Log suspicious or malformed attributes

Monitoring and Auditing

Authentication Monitoring

Failed Authentication Tracking:

Monitor failed SAML authentication attempts
Alert on unusual authentication patterns
Track certificate validation failures
Log configuration-related errors

Success Monitoring:

Monitor successful authentication rates
Track user role assignments and changes
Verify normal authentication flow timing
Monitor for unexpected user creation

Security Event Logging

Audit Trail Maintenance:

Log all SAML authentication events
Maintain records of configuration changes
Track administrative actions and access
Store logs securely with tamper protection

Alert Configuration:

Set up alerts for security-relevant events
Monitor for certificate expiration
Alert on repeated authentication failures
Notify of unusual administrative activity

Compliance Considerations

Data Privacy

User Data Protection:

Follow GDPR, CCPA, and relevant privacy regulations
Minimize personal data collection and processing
Provide user control over personal information
Implement data retention and deletion policies

Cross-Border Data Transfer:

Consider data residency requirements
Implement appropriate safeguards for international transfers
Document data flows between IdP and FastComments
Ensure compliance with local privacy laws

Security Standards

Industry Standards Compliance:

Follow SAML 2.0 security best practices
Implement NIST authentication guidelines
Consider SOC 2 and ISO 27001 requirements
Regular security assessments and penetration testing

Incident Response

Security Incident Procedures

Breach Response:

Immediate containment of security incidents
Notification of affected parties
Investigation and root cause analysis
Implementation of corrective measures

Certificate Compromise:

Immediate revocation of compromised certificates
Emergency certificate rotation procedures
User notification and re-authentication requirements
Security review and strengthening measures

Business Continuity

Backup Authentication Methods:

Maintain alternative authentication methods
Document emergency access procedures
Regular testing of backup authentication
Clear communication during outages

Disaster Recovery:

Document SAML configuration for disaster recovery
Maintain copies of certificates and configuration
Test recovery procedures regularly
Coordinate with IdP disaster recovery plans

Security Best Practices Summary

Implementation Security

Use Strong Certificates: RSA-2048 or higher with proper validation
Enforce HTTPS: All communication over secure, encrypted channels
Validate All Input: Sanitize and validate all SAML attributes
Monitor Continuously: Implement comprehensive monitoring and alerting
Regular Reviews: Conduct periodic security reviews and updates

Operational Security

Principle of Least Privilege: Assign minimal necessary permissions
Regular Auditing: Review access, roles, and configurations regularly
Documentation: Maintain current security documentation
Training: Ensure staff understand SAML security requirements
Incident Preparedness: Have incident response procedures ready

Organizational Security

Change Management: Implement controlled change processes
Separation of Duties: Divide administrative responsibilities
Regular Updates: Keep all systems and certificates current
Vendor Management: Monitor security of IdP and related services
Compliance Monitoring: Ensure ongoing compliance with regulations

אימות SAML מספק אבטחה ברמת ארגונים וחוויית משתמש חלקה למשתמשי FastComments. עם קונפיגורציה נכונה ובדיקות נאותות, SAML מאפשר כניסה יחידה מאובטחת שמשתלבת עם תשתית הזהות הקיימת שלכם תוך שמירה על בקרות אבטחה חזקות ויכולות ביקורת מקיפות.

שפה 🇮🇱 עברית

יסודות

תצורה

ניהול משתמשים

פתרון בעיות

מתקדם

מה זה SAML?

כיצד SAML עובד

יתרונות של SAML

תמיכה ב-SAML 2.0

SAML לעומת SSO

SSO פשוט/מאובטח

אימות SAML

מתי לבחור ב‑SAML

מתי לבחור ב‑SSO פשוט או מאובטח

הגדרת SAML

דרישות מוקדמות

גישה לתצורת SAML

תצורת SAML בסיסית

הפעלת אימות SAML

שדות חובה

שדות אופציונליים

תצורה מתקדמת

הגדרות אבטחה

הצפנה (אופציונלי)

שמירת התצורה

שלבים הבאים

תצורת ספק זהות

General IdP Configuration

Required Service Provider Information

Required SAML Attributes

Essential Attributes

Optional Attributes

Common Identity Provider Configurations

Microsoft Azure AD

Okta

Google Workspace

Active Directory Federation Services (ADFS)

Attribute Name Flexibility

Testing Your Configuration

מידע על ספק השירות

גישה למידע של ספק השירות

נקודות קצה של ספק השירות

SP Entity ID / Audience

Assertion Consumer Service (ACS) URL

SP Metadata URL

SAML Login URL

תמיכה ב-SAML Binding

HTTP-POST Binding

HTTP-Redirect Binding

מדיניות Name ID

מאפייני בקשת SAML

Request Signing

Requested Attributes

העתקת מידע של ספק השירות

מידע על תעודת ה-SP

שימוש בתעודה

פרטי התעודה

פתרון תקלות בתצורת ה-SP

תפקידים והרשאות משתמש

מערכת התפקידים של FastComments

תפקידי FastComments הזמינים

תפקידים ניהוליים

תפקידים מיוחדים

תצורת מיפוי תפקידים

מקורות מאפייני SAML

פורמטים נתמכים של תפקידים

קונפיגורציית תפקידי ספק זהות

Microsoft Azure AD

Okta

Google Workspace

התנהגות ברירת מחדל של משתמשים

משתמשים ללא תפקידים

ירושת תפקידים

ניהול משתמשי SAML

יצירת משתמש

עדכוני תפקידים

מיפוי תפקידים מותאם

התאמה ארגונית

אימות תפקידים