§ 00SAML SSO کیا ہے
SAML SSO آپ کے EasyLiveChat کو اس شناختی فراہم کنندہ سے جوڑتا ہے جو آپ کی کمپنی پہلے سے چلا رہی ہے — Okta، Microsoft Entra، Google Workspace یا کوئی اور SAML 2.0 IdP۔ جب کوئی ایجنٹ اپنے IdP ڈیش بورڈ میں EasyLiveChat ٹائل پر کلک کرتا ہے (یا کوئی بک مارک کھولتا ہے)، تو وہ IdP پر بھیجا جاتا ہے، وہاں وہی پاس ورڈ استعمال کر کے لاگ ان ہوتا ہے جو وہ ہر چیز کے لیے استعمال کرتا ہے، اور واپس EasyLiveChat انباکس پر آ جاتا ہے۔ کوئی EasyLiveChat پاس ورڈ کبھی ٹائپ نہیں ہوتا۔
اگر آپ نے کبھی کسی ویب سائٹ پر "Google سے سائن ان کریں" پر کلک کیا ہے، تو آپ نے اس پیٹرن کا صارف ورژن استعمال کیا ہے۔ SAML اس کا کارپوریٹ متبادل ہے — ویب سائٹ (ہم) ہر اس بات پر اعتماد کرتی ہے جو شناختی فراہم کنندہ (آپ کا Okta / Microsoft / Google) صارف کے بارے میں کہتا ہے۔
EasyLiveChat کبھی شناختی فراہم کنندہ نہیں چلاتا۔ آپ اپنا خود لاتے ہیں۔ ہم وصول کنندہ سرا فراہم کرتے ہیں۔
§ 01پلان دستیابی
SAML SSO ایک Enterprise فیچر ہے۔ یہ 14 دن کے مفت ٹرائل کے دوران بھی کھل جاتا ہے تاکہ آپ فیصلے سے پہلے سیٹ اپ کا جائزہ لے سکیں۔
| پلان | SAML SSO |
|---|---|
| مفت ٹرائل | ٹرائل کے دوران کھلا |
| Starter | بند |
| Growth | بند |
| Enterprise | شامل |
§ 02اپنے IdP ایڈمن کو دینے کے لیے اقدار
یہ EasyLiveChat کی طرف کے شناخت کنندہ ہیں جنہیں آپ کے IdP کو معلوم ہونا چاہیے۔ <slug> کو اپنے ورک اسپیس slug سے بدلیں۔ /settings/sso صفحہ یہ سب کاپی بٹن کے ساتھ دکھاتا ہے۔
| سنگل سائن آن / ACS یو آر ایل | https://api.livechattools.com/api/saml/<slug>/callback |
| سامعین / SP اینٹیٹی ID | https://api.livechattools.com/api/saml/<slug>/metadata |
| نام ID فارمیٹ | ای میل پتہ |
| مطلوبہ خصوصیت | email (یا NameID = email) |
| سائنڈ asseртион | لازمی (سائنڈ ریسپانس اختیاری ہے) |
زیادہ تر IdPs ایک XML میٹا ڈیٹا دستاویز کو براہ راست درآمد بھی کر سکتے ہیں — میٹا ڈیٹا URL اینٹیٹی ID کے مساوی ہے اور ہمارے بیک اینڈ کی تیار کردہ XML واپس کرتا ہے۔
§ 03Okta سیٹ اپ
ان مراحل کے لیے فرض کیا گیا ہے کہ آپ کے پاس Okta ورک اسپیس کی ایڈمن رسائی ہے۔ Okta dev ٹیئر مفت ہے اور تشخیص کے لیے کام کرتا ہے۔
- Okta ایڈمن پینل میں سائن ان کریں → Applications → Create App Integration → SAML 2.0۔
- ایپ کا نام دیں (مثلاً "EasyLiveChat") اور Next پر کلک کریں۔
- Configure SAML مرحلے میں، اپنے EasyLiveChat /settings/sso صفحے سے یہ فیلڈز بھریں:
- Single sign-on URL → وہ ACS URL جو ہم نے آپ کو دیا۔
- "Use this for Recipient URL and Destination URL" پر چیک کریں۔
- Audience URI (SP Entity ID) → وہ اینٹیٹی ID جو ہم نے دیا۔
- Name ID format → EmailAddress.
- Application username → Email.
- Attribute Statements → ایک قطار شامل کریں:
email→user.email— Name format Basic.
- Next پر کلک کریں → "I'm an Okta customer adding an internal app" → Finish۔
- نئی ایپ کی Sign On ٹیب میں → "View SAML setup instructions"۔ IdP Single Sign-On URL، IdP Issuer، اور X.509 Certificate (PEM شکل میں، BEGIN/END مارکر سمیت) کاپی کریں۔
- ایپ کو ان صارفین کو تفویض کریں جن کے ای میلز آپ کے EasyLiveChat ورک اسپیس میں موجود ایجنٹس سے ملتے ہیں (People → Assignments)۔
§ 04Microsoft Entra (Azure AD) سیٹ اپ
ان مراحل کے لیے فرض ہے کہ آپ کے پاس Microsoft Entra میں Global Administrator یا Application Administrator کا کردار ہے۔
- Entra ایڈمن → Enterprise applications → New application → Create your own application → نام دیں (مثلاً "EasyLiveChat") → Non-gallery app۔
- نئی ایپ کھولیں → Single sign-on → SAML۔
- Basic SAML Configuration → اپنے EasyLiveChat /settings/sso صفحے کی اقدار سے Identifier (Entity ID) اور Reply URL (ACS) سیٹ کریں۔
- Attributes & Claims → یقینی بنائیں کہ کوئی claim صارف کا ای میل لے کر جا رہا ہے۔ یا تو ڈیفالٹ emailaddress claim پر انحصار کریں اور اس کا URI EasyLiveChat کے "Email claim" فیلڈ میں پیسٹ کریں، یا email نام کا نیا claim شامل کریں جس کی قدر user.mail ہو۔
- SAML Signing Certificate → "Certificate (Base64)" .cer فائل ڈاؤن لوڈ کریں۔ اسے ٹیکسٹ ایڈیٹر میں کھولیں اور پورا PEM مواد (BEGIN/END مارکر سمیت) EasyLiveChat کے سائننگ سرٹیفکیٹ فیلڈ میں پیسٹ کریں۔
- "Set up <app name>" کے تحت، Login URL (→ EasyLiveChat میں IdP entry URL) اور Microsoft Entra Identifier (→ IdP issuer) کاپی کریں۔ Users and groups سے صارفین تفویض کریں۔
§ 05Google Workspace سیٹ اپ
ان مراحل کے لیے فرض ہے کہ آپ Workspace Super Admin ہیں۔
- Google ایڈمن → Apps → Web and mobile apps → Add app → Add custom SAML app۔ "EasyLiveChat" جیسا نام دیں۔
- IdP details مرحلے میں، X.509 سرٹیفکیٹ ڈاؤن لوڈ کریں اور SSO URL اور Entity ID کاپی کریں۔
- Service provider details مرحلے میں، اپنے /settings/sso صفحے سے ACS URL اور Entity ID پیسٹ کریں۔ Name ID format کو EMAIL اور Name ID کو Basic Information > Primary email سیٹ کریں۔
- Attribute mapping → Primary email کو ایپ ایٹریبیوٹ email سے نقشہ بنائیں۔
- ختم کریں، پھر اس org unit کے لیے ایپ ON کریں جس کے صارفین کو سائن ان کرنا ہو۔ سرٹیفکیٹ + URLs EasyLiveChat میں محفوظ کریں۔
§ 06EasyLiveChat میں کنفیگر کریں
کھولیں https://app.livechattools.com/settings/sso. اور IdP سے ابھی جمع کی گئی چار اقدار پیسٹ کریں:
- IdP entry URL — وہ single sign-on URL جو IdP نے دیا (مثلاً https://yourcompany.okta.com/app/exk.../sso/saml)۔
- IdP issuer — IdP کا اینٹیٹی شناخت کنندہ (کبھی IdP کی جانب سے Issuer URL یا Entity ID کہلاتا ہے)۔
- IdP سائننگ سرٹیفکیٹ (PEM) — X.509 سرٹیفکیٹ کو BEGIN CERTIFICATE / END CERTIFICATE مارکر سمیت پیسٹ کریں۔
- ای میل claim (اختیاری) — NameID استعمال کرنے کے لیے خالی چھوڑیں۔ اگر آپ کا IdP ای میل کسی مخصوص ایٹریبیوٹ نام کے تحت بھیجتا ہے تو claim URI پیسٹ کریں۔
Save پر کلک کریں۔ اسٹیٹس بیج CONFIGURED میں بدل جاتا ہے اور SP-initiated لاگ ان URL صفحے کے نیچے ظاہر ہوتا ہے۔
§ 07ایجنٹس کیسے لاگ ان کرتے ہیں
دو راستے — دونوں ایک ہی جگہ (آپ کا ان باکس) ختم ہوتے ہیں، تازہ سیشن ٹوکن سے توثیق شدہ۔
- SP-initiated — ایجنٹس کو بھیجیں
https://api.livechattools.com/api/saml/<slug>/login۔ یہ بُک مارک دوست URL انہیں آپ کے IdP پر بھیج کر واپس لاتا ہے۔ - IdP-initiated — ایجنٹس اپنے IdP کے ایپ ڈیش بورڈ (Okta dashboard، Microsoft 365 app launcher، Google Workspace app launcher) سے EasyLiveChat ٹائل پر کلک کرتے ہیں۔ وہ سیدھے EasyLiveChat ان باکس پر پہنچتے ہیں۔
§ 08ایجنٹ ملاپ
EasyLiveChat SAML صارف کو ای میل کے ذریعے موجودہ Agent قطار سے ملاتا ہے — IdP کا توثیق شدہ صارف آپ کے ورک اسپیس میں پہلے سے ایک ایجنٹ کے طور پر موجود ہونا چاہیے۔ ہم پہلے SSO لاگ ان پر خود بخود ایجنٹ نہیں بناتے (ابھی "just-in-time" provisioning نہیں ہے) تاکہ SSO آپ کی ٹیم کی دعوتی پالیسی کو نظر انداز نہ کرے۔
اگر SAML صارف کا کوئی ملاپ والا ایجنٹ نہیں ہے، تو callback EasyLiveChat لاگ ان صفحے پر reason=agent_not_found کے ساتھ ری ڈائریکٹ کرتا ہے۔ IdP کے بھیجے گئے درست ای میل کے ساتھ Settings → Team سے صارف کو مدعو کریں، پھر دوبارہ کوشش کریں۔
§ 09مسائل کا حل
اگر کوئی لاگ ان ناکام ہو، EasyLiveChat /login?saml_error=1&reason=<code> پر ری ڈائریکٹ کرتا ہے۔ کوڈ بتاتا ہے کہ کیا غلط ہوا:
| reason= | کیا ہوا | حل |
|---|---|---|
| missing_response | IdP نے ہمارے callback پر SAMLResponse پوسٹ نہیں کیا۔ | IdP کی طرف ACS / Single Sign-On URL کو دوبارہ جانچیں — یہ بالکل وہی callback URL ہونی چاہیے جو ہم نے دکھائی، ورک اسپیس slug سمیت۔ |
| validation_failed | ہمیں SAMLResponse ملا لیکن دستخط کی توثیق نہیں ہوئی۔ | /settings/sso میں پیسٹ کردہ سائننگ سرٹیفکیٹ کو IdP کے اصل سائننگ سرٹیفکیٹ سے ملنا چاہیے۔ IdP سے PEM (BEGIN/END مارکر سمیت) دوبارہ کاپی کریں۔ |
| no_email | دستخط ٹھیک ہے لیکن assertion میں کوئی ای میل نہیں۔ | یقینی بنائیں کہ IdP صارف کا ای میل بھیجتا ہے — یا تو NameID کے طور پر (فارمیٹ EmailAddress) یا claim کے طور پر۔ اگر claim ہے تو اس کا URI Email claim فیلڈ میں پیسٹ کریں۔ |
| agent_not_found | IdP کا تصدیق کردہ ای میل آپ کی ایجنٹ فہرست میں نہیں ہے۔ | اسی درست ای میل کے ساتھ Settings → Team سے صارف کو مدعو کریں، پھر لاگ ان دوبارہ آزمائیں۔ |