Tilslut Microsoft AD FS med SAML 2.0

FoxIDs kan tilsluttes AD FS med en SAML 2.0 autentificeringsmetode. Hvor AD FS er en SAML 2.0 Identity Provider (IdP) og FoxIDs agerer som en SAML 2.0 Relying Party (RP).

Konfigurer AD FS som Identity Provider (IdP)

1 - Start med at oprette en SAML 2.0 autentificeringsmetode i FoxIDs Control Client

SAML 2.0 autentificeringsmetoden kan enten konfigureres ved at bruge AD FS metadata https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml eller ved manuelt at tilføje SAML 2.0 detaljerne.

Anbefalede SAML 2.0 bindings:

  • Authn request and response binding: Post
  • Logout request and response binding: Post

Bemærk; authn request redirect binding kan resultere i en lang query string som kan give problemer på nogle enheder. Derfor er post binding at foretrække.

Se AD FS sample konfigurationen i FoxIDs Control: https://control.foxids.com/test-corp Få read adgang med brugeren reader@foxids.com og password gEh#V6kSw og vælg derefter Production miljøet og fanen Authentication.

Følgende skærmbillede viser den grundlæggende FoxIDs SAML 2.0 autentificeringsmetode konfiguration ved hjælp af AD FS metadata i FoxIDs Control Client.

AD FS metadata endpoint skal være tilgængeligt online for at konfigurere SAML 2.0 med AD FS metadata. Hvis ikke, skal du konfigurere manuelt.

Konfigurer SAML 2.0 AD FS autentificeringsmetode

Flere konfigurationsmuligheder bliver tilgængelige ved at klikke Show advanced.

2 - Gå derefter til AD FS og opret Relying Party (RP)

I denne del af konfigurationen skal du bruge SAML 2.0 autentificeringsmetodens metadata. Det er muligt at kalde en fiktiv SAML 2.0 autentificeringsmetode metadata i FoxIDs og dermed om ønsket udføre trin 2 som første trin.

FoxIDs SAML 2.0 autentificeringsmetode metadata https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata for tenant-x og environment-y med autentificeringsmetode navnet adfs-saml-idp1.

Konfigurer Relying Party (RP) på AD FS ved hjælp af SAML 2.0 autentificeringsmetodens metadata.

Alternativt kan Relying Party (RP) konfigureres manuelt på AD FS med følgende egenskaber:

  • FoxIDs miljøets ("tenant-x" og "environment-y") certifikat
  • Hash algoritme, standard SHA-256
  • FoxIDs miljøidentifikator https://foxids.com/tenant-x/environment-y/ eller en anden identifikator hvis konfigureret
  • Assertion consumer service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Single logout (logout) service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Gå derefter til AD FS Relying Party (RP) udstedelses claims konfiguration

Det anbefales at tilføje NameID claim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (i AD FS kaldet NameIdentifier) for at aktivere SessionIndex.

Uden NameID claim tilføjer AD FS ikke SessionIndex til SAML tokenet og det vil derfor ikke være muligt at logge ud eller single logout.

FoxIDs kræver at AD FS udsteder brugerens identitet enten i NameID eller mindst én af følgende claims:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Andre claims er valgfrie og kan modtages og transformeres i FoxIDs.

Dit privatliv

Vi bruger cookies til at gøre din oplevelse på vores websites bedre. Klik på 'Acceptér alle cookies' for at acceptere brugen af cookies. For at fravælge ikke-nødvendige cookies, klik på 'Kun nødvendige cookies'.

Besøg vores privatlivspolitik for mere