SSO / SAML kurulumu

SAML 2.0 SSO bir Enterprise feature'ı. Konfigürasyon org başı; etkinleştirildiğinde, kullanıcılar IdP'in üzerinden authenticate olur ve Moonborn parola sayfasını asla görmez.

1. SP metadata'sını çek

Moonborn SP (Service Provider) metadata'sını şurada açar:

https://api.moonborn.co/v1/auth/sso/saml/metadata?orgId=org_...

IdP-tarafı config'in şunlara ihtiyacı var:

• Entity ID: https://api.moonborn.co/saml/{orgId}
• ACS URL: https://api.moonborn.co/v1/auth/sso/saml/acs
• NameID format: emailAddress
• İmzalı AuthnRequest'ler: zorunlu
• İmzalı Response'lar: zorunlu

2. IdP metadata'sını Moonborn'a push et

IdP'in metadata URL'ini ya da XML'ini al, sonra:

await client.config.setItem({
  key: 'identity.sso.saml.idp_metadata_url',
  value: 'https://your-idp.example.com/metadata',
  scope: 'org',
  scopeId: 'org_...',
});
 
await client.config.setItem({
  key: 'identity.sso.saml.enabled',
  value: true,
  scope: 'org',
  scopeId: 'org_...',
});

3. Attribute mapping

Zorunlu SAML attribute'ları:

Opsiyonel role attribute (yoksa default'ta editor):

roles → 'editor' | 'viewer' | 'admin' | 'billing' | 'auditor'

4. Flow'u test et

SP-initiated: https://app.moonborn.co/'da giriş yap, iş email'ini gir, IdP'e yönlendiril, authenticate olarak dön.

IdP-initiated: Moonborn'u IdP'inde tile olarak ekle; kullanıcılar tıklar ve authenticate olarak iner.

5. Parolaları kilitle

SSO canlı olduktan sonra, org için parola sign-in'i devre dışı bırak böylece kullanıcılar sadece IdP üzerinden authenticate olabilir:

await client.config.setItem({
  key: 'identity.credentials.enabled',
  value: false,
  scope: 'org',
  scopeId: 'org_...',
});

Provisioning vs authentication

SAML kim sign-in olabilir'i handle eder. Otomatik kullanıcı yaşam döngüsü (IdP değişikliklerinde create / disable) için SCIM provisioning ile eşle.

Tarif

Enterprise.

İlgili

• Enterprise RBAC + SSO use case.
• Workspace + RBAC setup tutorial.