Postavljanje SAML autentikacije u FastComments zahtijeva konfiguraciju i u vašem administratorskom panelu i postavke u vašem pružatelju identiteta.

Preduvjeti

Prije konfiguriranja SAML-a, osigurajte da imate:

• Flex ili Pro plan FastComments-a (SAML nije dostupan na Creators planu)
• Administrativni pristup vašem FastComments računu
• Administrativni pristup vašem pružatelju identiteta
• SAML metadata vašeg IdP-a ili informacije o certifikatu

Pristup SAML konfiguraciji

1. Prijavite se u svoj FastComments administratorski panel
2. Idite na API/SSO Settings u lijevom izborniku
3. Kliknite gumb SAML Config

Ako ne vidite gumb SAML Config, provjerite da:

• vaš račun ima potrebni paket (Flex ili Pro)
• imate administratorske ovlasti
• vaš korisnik ima uloge API Admin ili Admin Admin

Osnovna SAML konfiguracija

Omogućite SAML autentikaciju

1. Označite potvrdni okvir Enable SAML Authentication
2. Ovo aktivira SAML za vaš tenant i čini polja za konfiguraciju dostupnima

Obavezna polja

IdP Single Sign-On URL (Obavezno)

• URL na koji će korisnici biti preusmjereni radi autentikacije
• Obično ga pruža vaš pružatelj identiteta
• Primjer: https://your-company.okta.com/app/fastcomments/sso/saml

IdP X.509 Certificate (Obavezno)

• Javni certifikat vašeg pružatelja identiteta
• Koristi se za provjeru autentičnosti SAML odgovora
• Mora uključivati cijeli certifikat s BEGIN/END oznakama
• Primjer formata: ```
• ----BEGIN CERTIFICATE----- MIICXjCCAcegAwIBAgIBADANBgkqhkiG9w0BAQsFADA...
• ----END CERTIFICATE-----

Opcionalna polja

IdP Entity ID / Issuer

• Identificira vašeg pružatelja identiteta
• Ako je ostavljeno prazno, zadan je vaš FastComments URL
• Trebao bi se podudarati s issuer-om konfiguriranim u vašem IdP-u

Napredna konfiguracija

Sigurnosne postavke

Signature Algorithm

• Zadano: SHA-256 (preporučeno)
• Opcije: SHA-1, SHA-256, SHA-512
• Treba odgovarati konfiguraciji vašeg IdP-a

Digest Algorithm

• Zadano: SHA-256 (preporučeno)
• Koristi se za izračun sažetka u SAML odgovorima
• Treba odgovarati konfiguraciji vašeg IdP-a

Name ID Format

• Zadano: format Email Address
• Određuje kako su formatirani identifikatori korisnika
• Uobičajene opcije: Email Address, Persistent, Transient

Šifriranje (neobavezno)

Private Key for Decryption

• Potrebno samo ako vaš IdP šifrira SAML assertions
• Zalijepite svoj privatni ključ koji se koristi za dešifriranje
• Većina implementacija ne zahtijeva šifriranje assertions

Spremanje konfiguracije

1. Pregledajte sve postavke radi točnosti
2. Kliknite Save SAML Configuration
3. Sustav će provjeriti vašu konfiguraciju
4. Ako je uspješno, vidjet ćete poruku o potvrdi

Sljedeći koraci

Nakon spremanja FastComments SAML konfiguracije:

1. Konfigurirajte svog pružatelja identiteta koristeći informacije o Service Provideru
2. Testirajte tijek autentikacije
3. Postavite korisničke uloge i dozvole po potrebi

Informacije o Service Provideru potrebne za konfiguraciju vašeg IdP-a bit će prikazane nakon što SAML bude omogućen.

Nakon konfiguriranja SAML-a u FastCommentsu, morate postaviti FastComments kao pružatelja usluge (Service Provider) u svom pružatelju identiteta.

Opća konfiguracija IdP-a

Većina pružatelja identiteta zahtijeva sljedeće informacije za dodavanje FastComments-a kao SAML aplikacije:

Obvezne informacije o pružatelju usluge

Ove vrijednosti se automatski generiraju i prikazuju na stranici za SAML konfiguraciju u FastCommentsu:

SP Entity ID / Audience

• Format: https://fastcomments.com/saml/{your-tenant-id}
• Ovo jedinstveno identificira vašu FastComments instancu

Assertion Consumer Service (ACS) URL

• Format: https://fastcomments.com/saml/callback/{your-tenant-id}
• Gdje vaš IdP šalje SAML odgovore nakon autentikacije

SP Metadata URL (if supported by your IdP)

• Format: https://fastcomments.com/saml/metadata/{your-tenant-id}
• Pruža kompletnu SAML konfiguraciju u XML formatu

SAML Login URL

• Format: https://fastcomments.com/saml/login/{your-tenant-id}
• Izravan link za iniciranje SAML autentikacije

Obavezni SAML atributi

Konfigurirajte svog pružatelja identiteta da šalje ove atribute sa SAML odgovorima:

Osnovni atributi

Adresa e-pošte (obavezno)

• Naziv atributa: email, emailAddress, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
• Svrha: Jedinstvena identifikacija korisnika i obavijesti
• Format: Valjana adresa e-pošte

Neobavezni atributi

Ime

• Nazivi atributa: firstName, givenName, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
• Svrha: Prikazno ime korisnika

Prezime

• Nazivi atributa: lastName, surname, or http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
• Svrha: Prikazno ime korisnika

Uloge (važno za kontrolu pristupa)

• Nazivi atributa: roles, groups, memberOf, or custom attribute names
• Svrha: Dodjela uloga i dozvola u FastCommentsu
• Format: Niz stringova uloga ili vrijednosti odvojenih zarezom

Uobičajene konfiguracije pružatelja identiteta

Microsoft Azure AD

1. Dodajte Enterprise aplikaciju

   • Pretražite "FastComments" ili stvorite prilagođenu SAML aplikaciju
   • Upotrijebite SP informacije koje pruža FastComments

2. Konfigurirajte atribute

   • E-pošta: user.mail or user.userprincipalname
   • Ime: user.givenname
   • Prezime: user.surname
   • Uloge: user.assignedroles or directory groups

Okta

1. Stvorite SAML aplikaciju

   • Upotrijebite "Create New App" i odaberite SAML 2.0
   • Konfigurirajte koristeći SP informacije iz FastCommentsa

2. Izjave atributa

   • Email: user.email
   • FirstName: user.firstName
   • LastName: user.lastName
   • Roles: user.groups or custom attributes

Google Workspace

1. Dodajte SAML aplikaciju

   • Idite na Apps > Web and mobile apps > Add App > Add custom SAML app
   • Konfigurirajte koristeći SP informacije iz FastCommentsa

2. Mapiranje atributa

   • Email: Primary email
   • First Name: First name
   • Last Name: Last name
   • Roles: Groups or custom attributes

Active Directory Federation Services (ADFS)

1. Dodajte Relying Party Trust

   • Koristite FastComments metadata URL ili ručnu konfiguraciju
   • Konfigurirajte SP informacije kako je navedeno

2. Pravila tvrdnji

   • Email: Email Address claim
   • Name: Name ID claim
   • Roles: Group membership or custom claims

Fleksibilnost naziva atributa

FastComments prihvaća informacije o ulogama iz više naziva atributa kako bi prilagodio različite IdP konfiguracije:

• roles
• groups
• memberOf
• role
• group
• http://schemas.microsoft.com/ws/2008/06/identity/claims/role
• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

Ova fleksibilnost osigurava kompatibilnost s različitim pružateljima identiteta bez potrebe za određenim konvencijama imenovanja atributa.

Testiranje vaše konfiguracije

Nakon konfiguriranja vašeg pružatelja identiteta:

1. Spremite IdP konfiguraciju
2. Testirajte s namjenskim test korisničkim računom
3. Potvrdite da se atributi pravilno šalju
4. Provjerite da su uloge pravilno mapirane
5. Osigurajte da se autentikacijski tok uspješno dovrši

Većina pružatelja identiteta nudi SAML alate za testiranje kako bi se konfiguracija verificirala prije uvođenja u produkciju.

Kada je SAML omogućen u FastCommentsu, sustav automatski generira informacije o Service Provideru (SP) koje trebate konfigurirati u svom davatelju identiteta.

Pristup informacijama o Service Provideru

Informacije o SP-u prikazuju se na stranici konfiguracije SAML-a nakon što omogućite SAML autentikaciju. Ove informacije uključuju sve detalje koje vaš davatelj identiteta treba za uspostavu SAML povjerenja.

Krajnje točke Service Providera

SP Entity ID / Audience

Svrha: Jedinstveno identificira vašu FastComments instancu kao pružatelja usluga
Format: https://fastcomments.com/saml/{your-tenant-id}
Upotreba: Konfigurirajte ovo kao Entity ID ili Audience u vašem IdP-u

Ovaj identifikator osigurava da su SAML odgovori namijenjeni za vaš specifični FastComments tenant i sprječava prihvaćanje SAML odgovora od drugih instanci.

Assertion Consumer Service (ACS) URL

Svrha: Krajnja točka na koju vaš IdP šalje SAML odgovore nakon autentikacije korisnika
Format: https://fastcomments.com/saml/callback/{your-tenant-id}
Upotreba: Konfigurirajte ovo kao ACS URL ili Reply URL u vašem IdP-u

Ovdje se korisnici preusmjeravaju nakon uspješne autentikacije kod vašeg davatelja identiteta, zajedno sa SAML asercijom koja sadrži informacije o korisniku.

SP Metadata URL

Svrha: Pruža kompletnu SAML konfiguraciju u standardnom XML formatu
Format: https://fastcomments.com/saml/metadata/{your-tenant-id}
Upotreba: Neki IdP-ovi mogu automatski uvesti konfiguraciju koristeći ovaj URL

Metadata URL sadrži sve potrebne SP informacije u XML formatu, što olakšava automatsku konfiguraciju kompatibilnih davatelja identiteta.

SAML Login URL

Svrha: Direktna poveznica za pokretanje SAML autentikacije za vaš tenant
Format: https://fastcomments.com/saml/login/{your-tenant-id}
Upotreba: Povežite korisnike izravno na SAML autentikaciju ili testirajte tok

Ovaj URL možete koristiti za testiranje SAML autentikacije ili korisnicima dati izravnu poveznicu za prijavu putem SAML-a.

Podrška za SAML bindinge

FastComments podržava sljedeće SAML bindinge:

HTTP-POST Binding

• Primarna metoda: Najčešći binding za SAML odgovore
• Sigurnost: SAML odgovor se šalje putem HTTP POST na ACS URL
• Upotreba: Preporučeno za produkcijska okruženja

HTTP-Redirect Binding

• Alternativna metoda: SAML odgovor se šalje putem HTTP preusmjeravanja
• Ograničenja: Ograničena veličina payloada zbog ograničenja duljine URL-a
• Upotreba: Podržano, ali HTTP-POST je preporučen

Name ID policy

FastComments konfigurira sljedeće pravilo Name ID u SAML zahtjevima:

• Zadani format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Alternativni formati: Persistent, Transient, Unspecified (konfigurabilno)
• Zahtjev: Email adresa se koristi kao primarni identifikator korisnika

Atributi SAML zahtjeva

Prilikom pokretanja SAML autentikacije, FastComments šalje zahtjeve s ovim karakteristikama:

Potpisivanje zahtjeva

• Status: Opcionalno (konfigurabilno)
• Algoritam: Usklađuje se s konfiguriranim algoritmom potpisa
• Certifikat: Koristi tenant-specifični certifikat ako je potpisivanje zahtjeva omogućeno

Zahtijevani atributi

FastComments zahtijeva sljedeće atribute u SAML AuthnRequests:

• Email: Potreban za identifikaciju korisnika
• Ime: Opcionalno za prikaz
• Prezime: Opcionalno za prikaz
• Uloge/Grupе: Opcionalno za kontrolu pristupa i dozvole

Kopiranje SP informacija

Stranica konfiguracije SAML-a pruža polja na koja se može kliknuti i koja automatski kopiraju SP informacije u vaš međuspremnik:

1. Kliknite bilo koje polje s informacijama o SP-u (Entity ID, ACS URL itd.)
2. Vrijednost se automatski kopira u vaš međuspremnik
3. Zalijepite vrijednost u konfiguraciju vašeg davatelja identiteta
4. Kratko isticanje označava uspješno kopiranje

To olakšava točan prijenos SP informacija u vaš IdP bez pogrešaka pri tipkanju.

Informacije o SP certifikatu

Upotreba certifikata

• Svrha: Šifrira komunikaciju i potvrđuje identitet SP-a
• Rotacija: Certifikati se automatski upravljaju od strane FastCommentsa
• Pristup: Javne certifikate možete dobiti putem metadata URL-a

Detalji certifikata

• Algoritam: RSA-2048 ili jači
• Valjanost: Certifikati se automatski obnavljaju prije isteka
• Distribucija: Dostupno putem standardne SAML metadata

Rješavanje problema konfiguracije SP-a

Ako vaš davatelj identiteta prijavljuje probleme s informacijama o SP-u:

1. Provjerite URL-ove: Osigurajte da svi URL-ovi koriste HTTPS i sadrže ispravan tenant ID
2. Provjerite metadata: Koristite metadata URL za provjeru konfiguracije
3. Testirajte povezanost: Provjerite može li vaš IdP dosegnuti FastComments krajnje točke
4. Potvrdite format: Potvrdite da vaš IdP podržava format informacija o SP-u

Česti problemi uključuju:

• Pogrešan tenant ID u URL-ovima
• Problemi mrežne povezanosti između IdP-a i FastCommentsa
• IdP očekuje drugačiji format URL-ova ili dodatne opcije konfiguracije

Testiranje vaše SAML konfiguracije osigurava da autentikacija radi ispravno prije implementacije za produkcijske korisnike.

Kontrolni popis prije testiranja

Prije testiranja SAML autentikacije, provjerite:

• ✅ SAML je omogućen u FastComments
• ✅ Svi obavezni podaci su ispunjeni (IdP URL, Certificate)
• ✅ Dobavljač identiteta je konfiguriran s informacijama FastComments SP
• ✅ Testni korisnički račun postoji u vašem IdP
• ✅ Testnom korisniku su dodijeljene odgovarajuće uloge

Metode testiranja

Metoda 1: Izravni SAML URL za prijavu

1. Dobivanje SAML URL-a za prijavu:

   • Kopirajte s vaše stranice za konfiguraciju SAML-a
   • Format: https://fastcomments.com/saml/login/{your-tenant-id}

2. Testiranje autentikacije:

   • Otvorite SAML URL za prijavu u anonimnom/privatnom prozoru preglednika
   • Trebali biste biti preusmjereni na vašeg dobavljača identiteta
   • Prijavite se s testnim vjerodajnicama
   • Potvrdite uspješno preusmjerenje natrag na FastComments

Metoda 2: Pristup administratorskom sučelju

1. Navigirajte do FastComments:

   • Idite na Administracijska nadzorna ploča FastComments
   • Potražite opciju SAML prijave ili upotrijebite SAML URL za prijavu

2. Dovršite tijek autentikacije:

   • Autentificirajte se putem vašeg dobavljača identiteta
   • Potvrdite pristup odgovarajućim administratorskim značajkama na temelju dodijeljenih uloga

Metoda 3: Testiranje integracije widgeta

Za testiranje SAML-a s widgetima za komentare:

1. Ugradite widget: Koristite FastComments widget na testnoj stranici
2. Autentikacija: Kliknite prijavu i odaberite SAML opciju (ako je dostupna)
3. Verifikacija: Potvrdite da se korisnik pojavljuje kao autentificiran u widgetu

Što provjeriti tijekom testiranja

Tijek autentikacije

Uspješno preusmjerenje:

• Korisnik je preusmjeren na IdP stranicu za prijavu
• IdP stranica za prijavu se ispravno učitava
• Ne pojavljuju se pogreške certifikata ili SSL pogreške

IdP autentikacija:

• Korisnik se može prijaviti svojim IdP vjerodajnicama
• Višefaktorska autentikacija radi (ako je konfigurirana)
• Nema pogrešaka autentikacije s IdP-a

Povratak na FastComments:

• Korisnik je preusmjeren natrag na FastComments nakon uspješne IdP prijave
• Nema pogrešaka provjere SAML assertion-a
• Korisnik dobiva pristup odgovarajućim značajkama FastComments

Podaci o korisniku

Osnovni podaci profila:

• Email adresa je ispravno zabilježena
• Ime i prezime se pojavljuju ako su pruženi
• Korisnički profil je kreiran ili ažuriran

Dodjela uloga:

• Administrativne uloge su ispravno dodijeljene
• Korisnik ima pristup očekivanim administratorskim značajkama
• Dozvole odgovaraju dodijeljenim ulogama

Validacija SAML odgovora

Verifikacija certifikata:

• Potpis SAML odgovora se uspješno provjerava
• Nema pogrešaka provjere certifikata u zapisima
• Odgovor se prihvaća kao autentičan

Obrada atributa:

• Obavezni atributi (email) su prisutni
• Opcionalni atributi se ispravno obrađuju
• Atributi uloga su ispravno parsirani i primijenjeni

Testiranje različitih scenarija

Standardni tijek korisnika

1. Novi korisnik:

   • Prva SAML prijava
   • Kreiranje računa
   • Dodjela osnovnih dozvola

2. Postojeći korisnik:

   • Ponovna prijava korisnika
   • Ažuriranja profila
   • Promjene uloga

Testiranje administratorskog pristupa

1. Administratorske uloge:

   • Testirajte korisnike s fc-admin-admin ulogom
   • Potvrdite pristup administratorskoj nadzornoj ploči
   • Potvrdite administrativne mogućnosti

2. Specijalizirane uloge:

   • Testirajte pristup fc-moderator za značajke moderiranja
   • Testirajte pristup fc-analytics-admin za analitiku
   • Testirajte pristup fc-billing-admin za značajke naplate

Scenariji pogrešaka

1. Neispravni certifikati:

   • Testirajte s isteklim ili netočnim certifikatima
   • Provjerite pravilno rukovanje pogreškama

2. Nedostajući atributi:

   • Testirajte SAML odgovore bez obaveznog email atributa
   • Provjerite elegantno rukovanje pogreškama

3. Problemi s mrežom:

   • Testirajte s problemima povezivosti
   • Provjerite rukovanje istekom vremena

Rješavanje problema s testiranjem

Uobičajeni problemi s autentikacijom

Petlja preusmjeravanja:

• Provjerite podudaraju li se SP Entity ID i IdP konfiguracija
• Provjerite je li ACS URL ispravno konfiguriran
• Potvrdite podudarnost SAML binding postavki

Pogreške certifikata:

• Osigurajte da certifikat sadrži BEGIN/END markere
• Provjerite da certifikat nije istekao
• Provjerite nema li dodatnih razmaka ili problema s formatiranjem

Problemi s atributima:

• Potvrdite da se email atribut šalje
• Provjerite koriste li atributi uloga ispravno imenovanje
• Provjerite format atributa (polje vs. vrijednosti odvojene zarezom)

Alati za otklanjanje pogrešaka

Alati za razvojne programere preglednika:

• Pratite mrežne zahtjeve tijekom SAML toka
• Provjerite HTTP pogreške ili preusmjeravanja
• Ispitajte SAML POST podatke (ako su vidljivi)

Alati za testiranje IdP-a:

• Većina IdP-a pruža SAML sučelja za testiranje
• Koristite IdP alate za validaciju formata SAML odgovora
• Testirajte konfiguraciju atributa prije slanja u FastComments

Podrška FastComments-a:

• Omogućite debug logiranje tijekom testiranja
• Spremite poruke o pogreškama i vremenske oznake
• Kontaktirajte podršku s konkretnim detaljima pogrešaka

Najbolje prakse testiranja

Postavljanje testnog okruženja

1. Namjenski testni korisnici:

   • Kreirajte specifične testne račune u vašem IdP-u
   • Dodijelite različite kombinacije uloga
   • Koristite lako prepoznatljive test email adrese

2. Izolirano testiranje:

   • Koristite anonimne/privatne prozore preglednika
   • Brišite kolačiće između testova
   • Testirajte s različitim korisničkim računima

3. Dokumentacija:

   • Zabilježite testne scenarije i rezultate
   • Dokumentirajte sve potrebne izmjene konfiguracije
   • Zabilježite detalje uspješne konfiguracije

Validacija prije proizvodnje

1. Sveobuhvatno testiranje:

   • Testirajte sve kombinacije uloga
   • Provjerite rubne slučajeve i uvjete pogrešaka
   • Potvrdite prihvatljivost performansi

2. Prihvaćanje od strane korisnika:

   • Neka krajnji korisnici testiraju tijek autentikacije
   • Prikupite povratne informacije o korisničkom iskustvu
   • Potvrdite da tijek zadovoljava zahtjeve

3. Sigurnosni pregled:

   • Potvrdite da provjera certifikata radi
   • Provjerite da su dodjele uloga sigurne
   • Testirajte provedbu kontrole pristupa

Implementacija u produkciju

Nakon uspješnog testiranja:

1. Postupno uvođenje: Razmotrite uvođenje SAML-a prvo za podskup korisnika
2. Nadzor: Pratite stope uspjeha autentikacije i zapise pogrešaka
3. Priprema podrške: Pripremite tim za podršku za pitanja vezana uz SAML
4. Dokumentacija: Osigurajte korisničku dokumentaciju za SAML postupak prijave

Ovaj vodič pokriva uobičajene probleme s SAML autentikacijom i njihova rješenja.

Certificate and Security Issues

Invalid Certificate Error

Symptoms:

• "Certificate validation failed" greška
• Korisnici ne mogu dovršiti SAML autentikaciju
• SAML odgovori se odbijaju

Common Causes:

• Format certifikata je neispravan
• Certifikat je istekao
• Pružен je pogrešan certifikat
• Dodatni znakovi ili razmaci u certifikatu

Solutions:

1. Verify Certificate Format:

   • Osigurajte da certifikat sadrži markere -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----
   • Uklonite dodatne razmake ili prijelome linija
   • Kopirajte certifikat izravno iz IdP metapodataka ili konfiguracije

2. Check Certificate Validity:

   • Provjerite da certifikat nije istekao
   • Potvrdite da je certifikat za ispravan IdP
   • Koristite online validatore certifikata za provjeru formata

3. Re-download Certificate:

   • Preuzmite svježi certifikat s IdP-a
   • Koristite IdP URL metapodataka ako je dostupan
   • Potvrdite da certifikat odgovara trenutnoj IdP konfiguraciji

Signature Verification Failed

Symptoms:

• Pogreške pri provjeri potpisa SAML asercije
• Autentikacija ne uspijeva nakon prijave na IdP
• Poruke o pogrešci "Invalid signature"

Solutions:

1. Algorithm Mismatch:

   • Provjerite da algoritam potpisa u FastComments odgovara IdP-u
   • Isprobajte različite algoritme potpisa (SHA-256, SHA-1, SHA-512)
   • Provjerite da digest algoritam odgovara IdP konfiguraciji

2. Certificate Issues:

   • Osigurajte da je konfiguriran ispravan certifikat za potpisivanje
   • Potvrdite da certifikat odgovara privatnom ključu koji koristi IdP
   • Provjerite rotaciju certifikata u IdP-u

Configuration Issues

Wrong Entity ID or ACS URL

Symptoms:

• IdP prijavljuje "Unknown Service Provider"
• SAML odgovori idu na pogrešni endpoint
• Autentikacija se ne dovrši

Solutions:

1. Verify SP Information:

   • Kopirajte točan Entity ID iz FastComments konfiguracije
   • Osigurajte da ACS URL odgovara formatu: https://fastcomments.com/saml/callback/{tenant-id}
   • Provjerite tipfeler u tenant ID-u

2. IdP Configuration:

   • Ažurirajte IdP s točnim SP Entity ID-jem
   • Konfigurirajte ispravan ACS/Reply URL
   • Provjerite IdP binding postavke (preferira se HTTP-POST)

Missing or Incorrect Attributes

Symptoms:

• Korisnici se kreiraju bez odgovarajućih uloga
• Nedostaju informacije u korisničkom profilu
• Greške "Email required"

Solutions:

1. Email Attribute:

   • Osigurajte da IdP šalje atribut email
   • Provjerite mapiranje naziva atributa (email, emailAddress, itd.)
   • Potvrdite da je vrijednost emaila valjana adresa e-pošte

2. Role Attributes:

   • Potvrdite da IdP šalje informacije o ulogama/grupama
   • Provjerite da nazivi atributa uloga odgovaraju očekivanjima FastComments-a
   • Provjerite da vrijednosti uloga točno odgovaraju imenima uloga u FastComments-u

3. Attribute Format:

   • Testirajte i niz (array) i formate s vrijednostima odvojenim zarezom za uloge
   • Osigurajte da vrijednosti atributa nemaju dodatne razmake
   • Provjerite osjetljivost na velika/mala slova u nazivima uloga

Authentication Flow Issues

Redirect Loop

Symptoms:

• Preglednik se beskrajno preusmjerava između FastComments-a i IdP-a
• Autentikacija nikada ne završi
• Višestruka preusmjeravanja se prikazuju u alatima za razvoj preglednika

Solutions:

1. Check SP Configuration:

   • Provjerite da Entity ID točno odgovara IdP konfiguraciji
   • Osigurajte da je ACS URL ispravno konfiguriran u IdP-u
   • Provjerite završne kosine (trailing slashes) u URL-ovima

2. Session Issues:

   • Očistite kolačiće preglednika i pokušajte ponovno
   • Testirajte u incognito/privatnom prozoru preglednika
   • Provjerite postavke isteka sesije

Access Denied After Authentication

Symptoms:

• SAML autentikacija uspijeva
• Korisnik je preusmjeren na FastComments
• Prikazuje se poruka "Access denied" ili greška s dozvolama

Solutions:

1. Role Assignment:

   • Provjerite ima li korisnik odgovarajuće uloge u IdP-u
   • Provjerite šalje li se atribut uloge u SAML odgovoru
   • Potvrdite da nazivi uloga točno odgovaraju zahtjevima FastComments-a

2. Package Limitations:

   • Provjerite ima li račun Flex ili Pro plan
   • Provjerite je li SAML značajka omogućena za paket
   • Kontaktirajte podršku ako paket uključuje SAML, ali značajka nije dostupna

Identity Provider Specific Issues

Microsoft Azure AD

Common Issues:

• Dodjele uloga aplikaciji se ne odražavaju u tokenima
• Claimovi se ne šalju ispravno
• Zahtjevi za dodjelu korisnika

Solutions:

• Provjerite dodjelu korisnika aplikaciji FastComments
• Provjerite jesu li app role pravilno konfigurirane
• Osigurajte da mapiranje claimova uključuje potrebne atribute

Okta

Common Issues:

• Filtri grupa ne rade ispravno
• Atributne izjave su krivo konfigurirane
• Problemi s dodjelom aplikacije

Solutions:

• Pregledajte konfiguraciju atributne izjave
• Provjerite pravila dodjele i filtriranja grupa
• Potvrdite da je aplikacija dodijeljena odgovarajućim korisnicima/grupama

Google Workspace

Common Issues:

• Prilagođeni atributi se ne mapiraju ispravno
• Članstvo u grupama se ne šalje
• Pogreške u konfiguraciji SAML aplikacije

Solutions:

• Konfigurirajte prilagođenu shemu za atribute uloga
• Provjerite propagaciju članstva u grupama
• Potvrdite mapiranje atributa SAML aplikacije

Network and Connectivity Issues

Timeout Errors

Symptoms:

• Proces autentikacije ističe
• "Request timeout" ili slične pogreške
• Spori tijek autentikacije

Solutions:

1. Network Connectivity:

   • Provjerite firewall pravila da dopuštaju komunikaciju s FastComments-om
   • Potvrdite DNS rezoluciju za fastcomments.com
   • Testirajte mrežnu povezanost s IdP-a prema FastComments-u

2. Performance Issues:

   • Provjerite vrijeme odgovora IdP-a
   • Potvrdite da provjera lanca certifikata nije spora
   • Razmotrite mrežnu latenciju između IdP-a i korisnika

SSL/TLS Issues

Symptoms:

• Upozorenja o certifikatu tijekom autentikacije
• Neuspjesi SSL rukovanja (handshake)
• Poruke "Secure connection failed"

Solutions:

• Osigurajte da svi SAML endpointi koriste HTTPS
• Provjerite valjanost certifikata za sve uključene domene
• Potvrdite kompatibilnost verzije TLS-a

Debugging and Logging

Enabling Debug Information

1. Browser Developer Tools:

   • Pratite Network karticu tijekom SAML tijeka
   • Provjerite Console za JavaScript pogreške
   • Ispitajte SAML POST zahtjeve (ako su vidljivi)

2. IdP Logging:

   • Omogućite SAML debug u vašem IdP-u
   • Pregledajte IdP logove za detalje SAML zahtjeva/odgovora
   • Provjerite probleme s mapiranjem atributa

Common Log Messages

FastComments Logs:

• "SAML config not found" - SAML nije omogućen ili je krivo konfiguriran
• "Invalid certificate" - Validacija certifikata nije uspjela
• "Missing email attribute" - Obavezni email nije poslan u SAML odgovoru

IdP Logs:

• "Unknown service provider" - Neusklađenost Entity ID-a
• "Invalid ACS URL" - Assertion Consumer Service URL je netočan
• "User not assigned" - Korisnik nema pristup SAML aplikaciji

Getting Help

Information to Gather

Prilikom kontaktiranja podrške, dostavite:

• Točne poruke o pogrešci i vremenske oznake
• Detalje SAML konfiguracije (bez osjetljivih podataka)
• Tip i verziju IdP-a
• Korake za reprodukciju problema
• Informacije o pregledniku i mreži

FastComments Support

Za SAML povezane probleme:

1. Koristite support portal
2. Uključite tenant ID i e-mail adrese pogođenih korisnika
3. Dostavite poruke o pogrešci i detalje konfiguracije
4. Navedite tip IdP-a i pristup konfiguraciji

IdP Support

Za probleme specifične za IdP:

• Konzultirajte IdP dokumentaciju za rješavanje SAML problema
• Koristite IdP kanale podrške za probleme s konfiguracijom
• Iskoristite IdP community forume za uobičajene probleme

Prevention Tips

Best Practices

1. Test Thoroughly:

   • Testirajte promjene konfiguracije u neprodukcijskom okruženju
   • Provjerite s više testnih korisnika
   • Dokumentirajte radne konfiguracije

2. Monitor Regularly:

   • Postavite nadzor za SAML neuspjehe autentikacije
   • Pregledavajte datume isteka certifikata
   • Pratite promjene u IdP konfiguraciji

3. Documentation:

   • Održavajte dokumentaciju SAML konfiguracije
   • Dokumentirajte sve prilagođene konfiguracije ili zaobilazna rješenja
   • Čuvajte kontakt informacije administratora IdP-a

Proactive Maintenance

1. Certificate Management:

   • Pratite datume isteka certifikata
   • Planirajte postupke rotacije certifikata
   • Testirajte ažuriranja certifikata prije isteka

2. Configuration Reviews:

   • Redovito pregledavajte SAML konfiguraciju
   • Potvrdite da IdP konfiguracija ostaje ažurirana
   • Ažurirajte dokumentaciju kad se naprave promjene