SAML 2.0 applikationsregistrering
FoxIDs SAML 2.0 applikationsregistrering gør det muligt at forbinde en SAML 2.0 baseret applikation.
SAML (Security Assertion Markup Language) 2.0 er en XML-baseret standard for autentificering og autorisation, der muliggør sikker Single Sign-On (SSO) mellem en Identity Provider (IdP) og en Service Provider (SP). De to SAML 2.0 flows: SP-Initieret login flow og IdP-Initieret login flow understøttes som standard.
Din applikation bliver en SAML 2.0 Relying Party (RP) og FoxIDs fungerer som en SAML 2.0 Identity Provider (IdP).
FoxIDs understøtter SAML 2.0 redirect og post bindings.
FoxIDs videresender også et login hint fra SAML Authn request URL ved hjælp af enten login_hint eller LoginHint query parameter, når requesten ikke indeholder en NameID. Det gør det muligt for relying parties som Microsoft Entra og Okta at forudfylde bruger-id i FoxIDs loginoplevelsen.
En applikationsregistrering eksponerer SAML 2.0 metadata, hvor din applikation kan opdage SAML 2.0 Identity Provider (IdP).
Både login, logout og single logout SAML 2.0 profiler understøttes. Artifact profilen understøttes ikke.
FoxIDs genererede SAML 2.0 metadata indeholder kun logout og single logout information, hvis logout er konfigureret i SAML 2.0 applikationsregistreringen.
How to guides:
Konfiguration
Sådan konfigureres din applikation som en SAML 2.0 Relying Party (RP).
Metadata endepunkter
- IdP metadata:
https://foxids.com/tenant-x/environment-y/application-saml-pr1(*)/saml/idpmetadata(erstattenant-x,environment-yogapplication-saml-pr1med dine værdier). - Alternativt single endepunkt: Authn endepunktet returnerer også IdP metadata når det kaldes med
GETog uden enSAMLRequest. Dette gør det muligt for partnere der kræver én URL til både metadata download og Authn requests at bruge samme adresse, f.eks.https://foxids.com/tenant-x/environment-y/application-saml-pr1(*)/saml/authn. Når samme endepunkt modtager en SAML AuthnRequest (via redirect eller post binding), udfører det det normale login flow.
En applikationsregistrering kan understøtte login via flere autentificeringsmetoder ved at tilføje autentificeringsmetodenavnet til URL'en.
For eksempel https://foxids.com/tenant-x/environment-y/application-saml-pr1(login)/saml/idpmetadata (eller /saml/authn) målretter login metoden.
Du kan også bruge standard * notation til at aktivere login med alle autentificeringsmetoder.
Følgende skærmbillede viser konfigurationen af en FoxIDs SAML 2.0 applikationsregistrering i FoxIDs Control Client.
Her er konfigurationen oprettet med applikationens metadata. De udstedte claims er begrænset til det konfigurerede sæt; alle claims kan udstedes med * notation.
Flere konfigurationsmuligheder bliver tilgængelige ved at klikke Show advanced.
Du kan ændre SAML 2.0 claim collection og udføre claim tasks med claim transforms og claim tasks. Hvis du opretter et nyt claim, tilføj claimet eller
*tilIssue claimslisten for at udstede claimet til din applikation.
Kræv multi-factor authentication (MFA)
SAML 2.0 Relying Party (RP) kan kræve multi-factor authentication ved at angive værdien urn:foxids:mfa i egenskaben RequestedAuthnContext.AuthnContextClassRef.
Du kan finde eksempelkode i AspNetCoreSamlSample eksemplets SamlController.cs fil.
Egenskaben AuthnContextClassRef kan sættes i Login metoden i SamlController.cs:
public IActionResult Login(string returnUrl = null)
{
var binding = new Saml2RedirectBinding();
binding.SetRelayStateQuery(new Dictionary<string, string>
{
{ relayStateReturnUrl, returnUrl ?? Url.Content("~/") }
});
var saml2AuthnRequest = new Saml2AuthnRequest(saml2Config)
{
// To require MFA
RequestedAuthnContext = new RequestedAuthnContext
{
Comparison = AuthnContextComparisonTypes.Exact,
AuthnContextClassRef = new string[] { "urn:foxids:mfa" },
}
};
return binding.Bind(saml2AuthnRequest).ToActionResult();
}