Mit Microsoft AD FS über SAML 2.0 verbinden
FoxIDs kann mit AD FS über eine SAML 2.0 Authentifizierungsmethode verbunden werden. AD FS ist ein SAML 2.0 Identity Provider (IdP) und FoxIDs agiert als SAML 2.0 Relying Party (RP).
AD FS als Identity Provider (IdP) konfigurieren
1 - Beginnen Sie mit der Erstellung einer SAML 2.0 Authentifizierungsmethode in FoxIDs Control Client
Die SAML 2.0 Authentifizierungsmethode kann entweder durch Verwendung der AD FS metadata https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml oder durch manuelles Hinzufügen der SAML 2.0 Details konfiguriert werden.
Empfohlene SAML 2.0 bindings:
- Authn request and response binding: Post
- Logout request and response binding: Post
Hinweis: Die authn request redirect binding kann zu einer langen query string führen, was auf einigen Geräten Probleme verursachen kann. Daher ist die post binding vorzuziehen.
Sehen Sie sich die AD FS sample Konfiguration in FoxIDs Control an: https://control.foxids.com/test-corp Erhalten Sie read Zugriff mit dem Benutzer
reader@foxids.comund dem PasswortgEh#V6kSwund wählen Sie anschließend dieProductionUmgebung und die RegisterkarteAuthentication.
Der folgende Screenshot zeigt die grundlegende FoxIDs SAML 2.0 Authentifizierungsmethoden Konfiguration mit AD FS metadata in FoxIDs Control Client.
Der AD FS metadata endpoint muss online erreichbar sein, um die SAML 2.0 Konfiguration mit AD FS metadata durchzuführen. Wenn nicht, müssen Sie die Konfiguration manuell vornehmen.
Weitere Konfigurationsoptionen werden verfügbar, wenn Sie
Show advancedanklicken.
2 - Gehen Sie dann zu AD FS und erstellen Sie die Relying Party (RP)
In diesem Teil der Konfiguration müssen Sie die SAML 2.0 Authentifizierungsmethoden metadata verwenden. Es ist möglich, eine fiktive SAML 2.0 Authentifizierungsmethoden metadata in FoxIDs aufzurufen und dadurch Schritt 2 bei Bedarf als ersten Schritt auszuführen.
FoxIDs SAML 2.0 Authentifizierungsmethoden metadata
https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadatafürtenant-xundenvironment-ymit dem Authentifizierungsmethoden Namenadfs-saml-idp1.
Konfigurieren Sie die Relying Party (RP) in AD FS mithilfe der SAML 2.0 Authentifizierungsmethoden metadata.
Alternativ kann die Relying Party (RP) in AD FS manuell mit folgenden Eigenschaften konfiguriert werden:
- Öffentliches FoxIDs Umgebungszertifikat ('tenant-x' und 'environment-y')
- Hash Algorithmus, Standard SHA-256
- FoxIDs Umgebungsbezeichner
https://foxids.com/tenant-x/environment-y/oder ein anderer Bezeichner, falls konfiguriert - Assertion consumer service endpoint
https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs - Single logout (logout) service endpoint
https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/
3 - Gehen Sie dann zur AD FS Relying Party (RP) issue claims Konfiguration
Es wird empfohlen, den NameID claim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (in AD FS NameIdentifier genannt) hinzuzufügen, um den SessionIndex zu ermöglichen.
Ohne den NameID claim fügt AD FS keinen SessionIndex in das SAML token ein und es ist daher nicht möglich, logout oder single logout durchzuführen.
FoxIDs erfordert, dass AD FS die Benutzeridentität entweder im NameID oder mindestens in einem der folgenden claims ausgibt:
- NameID
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - UPN
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn - Email
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress - Name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Andere claims sind optional und können in FoxIDs empfangen und transformiert werden.