SAML 2.0 autentificeringsmetode

FoxIDs SAML 2.0 autentificeringsmetode, som har tillid til en ekstern SAML 2.0 Identity Provider (IdP).

SAML (Security Assertion Markup Language) 2.0 er en åben standard for udveksling af autentificerings- og autorisationsdata mellem en Identity Provider (IdP) og en Service Provider (SP). Den muliggør Single Sign-On (SSO), så brugere kan logge ind én gang og få adgang til flere applikationer uden at skulle autentificere igen. De to SAML 2.0 flows understøttes. SP-Initieret login flow, som er default, mest almindeligt og anbefalet, og IdP-Initieret login flow.

SAML 2.0 er udbredt i enterprise-miljøer og muliggør sikker identitetsfederation på tværs af organisationer og applikationer.

FoxIDs SAML 2.0 authentication method

Ved at konfigurere en SAML 2.0 autentificeringsmetode og en OpenID Connect applikationsregistrering bliver FoxIDs en bridge mellem SAML 2.0 og OpenID Connect. FoxIDs håndterer derefter SAML 2.0 forbindelsen som en Relying Party (RP) / Service Provider (SP), og du skal kun forholde dig til OpenID Connect i din applikation.

Det er muligt at konfigurere flere SAML 2.0 autentificeringsmetoder, som derefter kan vælges af OpenID Connect applikationsregistreringer og SAML 2.0 applikationsregistreringer.

Konfigurer IdP-Initieret login og videresend login til SAML 2.0 og OpenID Connect applikationer.

FoxIDs understøtter SAML 2.0 redirect og post bindings. Både login, logout og single logout SAML 2.0 profiler understøttes. Artifact profilen understøttes ikke.

En autentificeringsmetode eksponerer SAML 2.0 metadata og kan konfigureres med SAML 2.0 metadata eller ved manuelt at tilføje konfigurationsdetaljerne.

FoxIDs genererede SAML 2.0 metadata indeholder kun logout og single logout information, hvis logout er konfigureret i SAML 2.0 autentificeringsmetoden.

FoxIDs understøtter alle SAML 2.0 identity providers (IdP'er) og er testet mod et bredt udvalg af IdP'er.

How to guides:

Konfiguration

Sådan konfigureres en ekstern SAML 2.0 Identity Provider (IdP).

FoxIDs SAML 2.0 autentificeringsmetode metadata endpoint er https://foxids.com/tenant-x/environment-y/(some_external_idp)/saml/spmetadata. Hvis IdP'en er konfigureret i tenant tenant-x og environment environment-y med autentificeringsmetodenavnet some_external_idp.

Følgende skærmbillede viser konfigurationen af en SAML 2.0 autentificeringsmetode i FoxIDs Control Client. Her oprettes konfigurationen med den eksterne IdP's metadata. De videresendte claims er begrænset til det konfigurerede sæt af claims; som standard videresendes alle claims med * notationen.

Flere konfigurationsmuligheder bliver tilgængelige ved at klikke Show advanced.

Configure SAML 2.0

Du kan ændre claims og udføre claim tasks med claim transforms og claim tasks.

Manuel konfiguration bliver tilgængelig ved at deaktivere Automatic update. På denne måde behøver IdP'en ikke at eksponere eller sende en metadatafil, du kan konfigurere det hele manuelt.

Manual SAML 2.0 configuration

Hvis du opretter et nyt claim, tilføj claimet eller * (default) til Forward claims listen for at videresende claimet til applikationsregistreringen.

IdP-Initieret Login

SAML 2.0 IdP-Initieret Login er en Single Sign-On (SSO) autentificeringsflow, hvor processen starter hos Identity Provider (IdP) i stedet for Service Provider (SP). Denne metode bruges ofte i enterprise-miljøer for at give brugere adgang til flere applikationer med en enkelt autentificering.

I modsætning til SP-Initieret Login anmoder SP'en ikke om autentificering fra IdP'en. IdP'en sender en uopfordret SAML assertion på eget initiativ. Denne nøgleforskel gør IdP-Initieret Login flowet mindre sikkert end SP-Initieret Login flowet, og derfor er IdP-Initieret Login deaktiveret som standard i FoxIDs.

Aktivér IdP-Initieret Login.

  1. Åbn SAML 2.0 autentificeringsmetoden i FoxIDs Control Client
  2. Klik Show advanced
  3. Rul til bunden af konfigurationssektionen
  4. Aktiver IdP-Initieret login
  5. Valgfrit ændr IdP-Initieret Login - OpenID Connect grant lifetime
  6. Klik Update

Configure SAML 2.0

Konfigurer SAML 2.0 autentificeringsmetoden til at have tillid til IdP'en på samme måde som ved SP-initieret login.

IdP Relay State

Den eksterne IdP skal sende en relay state, der specificerer den applikation, som autentificeringen skal videresendes til. Relay state skal altid indeholde applikationsnavnet app_name og applikationstypen app_type og i nogle tilfælde en applikations redirect URL app_redirect.

Elementerne har hver et navn og en værdi og er adskilt af &. Redirect URL værdier skal være URL-encoded. Applikationstypeværdien kan være enten saml2 eller oidc.

SAML 2.0 identity provider (IdP) .NET sample AspNetCoreSamlIdPSample viser hvordan man opretter et IdP-Initieret Login med en relay state.

FoxIDs SAML 2.0 authentication method

SAML 2.0 applikation

Hvis du vil videresende autentificeringen til SAML 2.0 applikationen med navnet my-saml2-app, er relay state:

app_name=my-saml2-app&app_type=saml2

Dette videresender autentificeringskaldet til den første Assertion Consumer Service (ACS) endpoint, der er konfigureret for applikationen.

Hvis du vil videresende autentificeringen til en anden konfigureret ACS endpoint https://my-domain.com/auth/acs2, er relay state:

app_name=my-saml2-app&app_type=saml2&app_redirect=https%3A%2F%2Fmy-domain.com%2Fauth%2Facs2

Autentificeringskaldet videresendes til SAML 2.0 applikationen som et IdP-Initieret Login med et uopfordret SAML 2.0 authn response.

OpenID Connect applikation

OpenID Connect understøtter ikke IdP-Initieret Login. Derfor verificeres IdP-Initieret Login i autentificeringsmetoden og videresendes til OpenID Connect applikationen ved at kalde applikationen med redirect URL app_redirect som skal starte login flowet (OpenID Connect standard: Initiating Login from a Third Party). Du skal have en side i OpenID Connect applikationen, der kræver at brugeren er autentificeret og derfor starter login flowet når den kaldes. En issuer iss parameter sendes med i query'en, som du kan vælge at validere. OpenID Connect applikationen kan lave en generel login request med *, FoxIDs ved hvor login requesten skal routes.

Derefter kalder OpenID Connect applikationen FoxIDs, som læser IdP-Initieret Login grant. Alternativt, uden IdP-Initieret Login grant kaldes den eksterne IdP med et SP-Initieret Login flow. Den eksterne IdP bruger Single Sign-On (SSO) konteksten og svarer til FoxIDs.

Det anbefales at bruge IdP-Initieret Login grant funktionaliteten for at undgå en ekstra round-trip til den eksterne IdP.

SAML 2.0 IdP-Initieret Login oversættes derefter til OpenID Connect og videresender autentificeringen til OpenID Connect applikationen.

Hvis du vil videresende autentificeringen til OpenID Connect applikationen med navnet my-oidc-app med login initiating URL https://my-domain.com/secure-page, er relay state:

app_name=my-oidc-app&app_type=oidc&app_redirect=https%3A%2F%2Fmy-domain.com%2Fsecure-page

Applikations redirect URL skal være en gyldig/konfigureret URL for OpenID Connect applikationen.

Dit privatliv

Vi bruger cookies til at gøre din oplevelse på vores websites bedre. Klik på 'Acceptér alle cookies' for at acceptere brugen af cookies. For at fravælge ikke-nødvendige cookies, klik på 'Kun nødvendige cookies'.

Besøg vores privatlivspolitik for mere