SAML 2.0 Authentifizierungsmethode

FoxIDs SAML 2.0 Authentifizierungsmethode, die einem externen SAML 2.0 Identity Provider (IdP) vertraut.

SAML (Security Assertion Markup Language) 2.0 ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identity Provider (IdP) und einem Service Provider (SP). Er ermöglicht Single Sign-On (SSO), sodass Benutzer sich einmal anmelden und Zugriff auf mehrere Anwendungen erhalten, ohne sich erneut authentifizieren zu müssen. Die zwei SAML 2.0 Flows werden unterstützt. Der SP-Initiated Login Flow, der Standard, am häufigsten und empfohlen ist, sowie der IdP-initiated Login Flow.

SAML 2.0 wird in Unternehmensumgebungen häufig verwendet und ermöglicht sichere Identitätsföderation über verschiedene Organisationen und Anwendungen hinweg.

FoxIDs SAML 2.0 authentication method

Durch das Konfigurieren einer SAML 2.0 Authentifizierungsmethode und einer OpenID Connect Anwendungsregistrierung wird FoxIDs zu einer Bridge zwischen SAML 2.0 und OpenID Connect. FoxIDs verarbeitet dann die SAML 2.0 Verbindung als Relying Party (RP) / Service Provider (SP), und Sie müssen sich in Ihrer Anwendung nur um OpenID Connect kümmern.

Es ist möglich, mehrere SAML 2.0 Authentifizierungsmethoden zu konfigurieren, die dann von OpenID Connect Anwendungsregistrierungen und SAML 2.0 Anwendungsregistrierungen ausgewählt werden können.

Konfigurieren Sie IdP-Initiated Login und leiten Sie den Login an SAML 2.0 und OpenID Connect Anwendungen weiter.

FoxIDs unterstützt SAML 2.0 redirect und post bindings. Login, Logout und Single Logout SAML 2.0 profiles werden unterstützt. Das Artifact Profil wird nicht unterstützt.

Eine Authentifizierungsmethode stellt SAML 2.0 metadata bereit und kann mit SAML 2.0 Metadata oder durch manuelles Hinzufügen der Konfigurationsdetails eingerichtet werden.

Die von FoxIDs generierten SAML 2.0 Metadata enthalten Logout- und Single Logout Informationen nur, wenn Logout in der SAML 2.0 Authentifizierungsmethode konfiguriert ist.

FoxIDs unterstützt alle SAML 2.0 Identity Provider (IdPs) und wurde gegen eine Vielzahl von IdPs getestet.

How to guides:

Configuration

So konfigurieren Sie einen externen SAML 2.0 Identity Provider (IdP).

Der FoxIDs SAML 2.0 Authentifizierungsmethode Metadata Endpoint ist https://foxids.com/tenant-x/environment-y/(some_external_idp)/saml/spmetadata. Wenn der IdP im Tenant tenant-x und der Umgebung environment-y mit dem Authentifizierungsmethodenamen some_external_idp konfiguriert ist.

Der folgende Screenshot zeigt die Konfiguration einer SAML 2.0 Authentifizierungsmethode im FoxIDs Control Client. Hier wird die Konfiguration mit den Metadaten des externen IdP erstellt. Die weitergeleiteten Claims sind auf den konfigurierten Satz beschränkt; standardmäßig werden alle Claims mit der * Notation weitergeleitet.

Weitere Konfigurationsoptionen werden durch Klick auf Show advanced verfügbar.

Configure SAML 2.0

Sie können Claims ändern und Claim Tasks mit claim transforms und claim tasks durchführen.

Manuelle Konfiguration wird verfügbar, wenn Automatic update deaktiviert wird. So muss der IdP keine Metadaten-Datei bereitstellen oder senden; Sie können alles manuell konfigurieren.

Manual SAML 2.0 configuration

Wenn Sie einen neuen Claim erstellen, fügen Sie den Claim oder * (Standard) zur Liste Forward claims hinzu, um den Claim an die Anwendungsregistrierung weiterzuleiten.

IdP-Initiated Login

SAML 2.0 IdP-Initiated Login ist ein Single Sign-On (SSO) Authentifizierungsflow, bei dem der Prozess beim Identity Provider (IdP) statt beim Service Provider (SP) beginnt. Diese Methode wird häufig in Unternehmensumgebungen verwendet, um Benutzern den Zugriff auf mehrere Anwendungen mit einer einzigen Authentifizierung zu ermöglichen.

Im Gegensatz zum SP-Initiated Login fordert der SP keine Authentifizierung vom IdP an. Der IdP sendet eine unaufgeforderte SAML Assertion aus eigener Initiative. Dieser wesentliche Unterschied macht den IdP-Initiated Login Flow weniger sicher als den SP-Initiated Login Flow, weshalb IdP-Initiated Login in FoxIDs standardmäßig deaktiviert ist.

Aktivieren Sie IdP-Initiated Login.

  1. Öffnen Sie die SAML 2.0 Authentifizierungsmethode im FoxIDs Control Client
  2. Klicken Sie Show advanced
  3. Scrollen Sie zum Ende des Konfigurationsabschnitts
  4. Aktivieren Sie IdP-Initiated login
  5. Optional ändern Sie IdP-Initiated Login - OpenID Connect grant lifetime
  6. Klicken Sie Update

Configure SAML 2.0

Konfigurieren Sie die SAML 2.0 Authentifizierungsmethode so, dass sie dem IdP vertraut, wie beim SP-Initiated Login.

IdP Relay State

Der externe IdP muss einen Relay State senden, der die Anwendung angibt, an die die Authentifizierung weitergeleitet werden soll. Der Relay State muss immer den Anwendungsnamen app_name und den Anwendungstyp app_type enthalten und in einigen Fällen eine Anwendungs-Redirect-URL app_redirect.

Die Elemente haben jeweils einen Namen und einen Wert und werden durch & getrennt. Redirect-URL-Werte müssen URL-encoded sein. Der Anwendungstyp-Wert kann entweder saml2 oder oidc sein.

Das SAML 2.0 Identity Provider (IdP) .NET Sample AspNetCoreSamlIdPSample zeigt, wie ein IdP-Initiated Login mit Relay State erstellt wird.

FoxIDs SAML 2.0 authentication method

SAML 2.0 Anwendung

Wenn Sie die Authentifizierung an die SAML 2.0 Anwendung mit dem Namen my-saml2-app weiterleiten möchten, ist der Relay State:

app_name=my-saml2-app&app_type=saml2

Dies leitet den Authentifizierungsaufruf an den ersten Assertion Consumer Service (ACS) Endpoint weiter, der für die Anwendung konfiguriert ist.

Wenn Sie die Authentifizierung an einen anderen konfigurierten ACS Endpoint https://my-domain.com/auth/acs2 weiterleiten möchten, ist der Relay State:

app_name=my-saml2-app&app_type=saml2&app_redirect=https%3A%2F%2Fmy-domain.com%2Fauth%2Facs2

Der Authentifizierungsaufruf wird als IdP-Initiated Login mit einer unaufgeforderten SAML 2.0 Authn Response an die SAML 2.0 Anwendung weitergeleitet.

OpenID Connect Anwendung

OpenID Connect unterstützt kein IdP-Initiated Login. Daher wird das IdP-Initiated Login in der Authentifizierungsmethode verifiziert und an die OpenID Connect Anwendung weitergeleitet durch den Aufruf der Anwendung mit der Redirect-URL app_redirect, die den Login Flow starten sollte (OpenID Connect Standard: Initiating Login from a Third Party). Sie benötigen eine Seite in der OpenID Connect Anwendung, die den Benutzer zur Authentifizierung zwingt und dadurch den Login Flow startet, wenn sie aufgerufen wird. Ein Issuer iss Parameter wird in der Query übergeben, den Sie optional validieren können. Die OpenID Connect Anwendung kann eine generische Login Anfrage mit * ausführen, FoxIDs weiß, wohin die Login Anfrage geroutet werden muss.

Dann ruft die OpenID Connect Anwendung FoxIDs auf, das den IdP-Initiated Login Grant liest. Alternativ, ohne IdP-Initiated Login Grant wird der externe IdP mit einem SP-Initiated Login Flow aufgerufen. Der externe IdP nutzt den Single Sign-On (SSO) Kontext und antwortet an FoxIDs.

Es wird empfohlen, die IdP-Initiated Login Grant Funktionalität zu nutzen, um einen zusätzlichen Round-Trip zum externen IdP zu vermeiden.

Das SAML 2.0 IdP-Initiated Login wird dann in OpenID Connect übersetzt und leitet die Authentifizierung an die OpenID Connect Anwendung weiter.

Wenn Sie die Authentifizierung an die OpenID Connect Anwendung mit dem Namen my-oidc-app mit der Login Initiating URL https://my-domain.com/secure-page weiterleiten möchten, ist der Relay State:

app_name=my-oidc-app&app_type=oidc&app_redirect=https%3A%2F%2Fmy-domain.com%2Fsecure-page

Die Anwendungs-Redirect-URL muss eine gültige/konfigurierte URL für die OpenID Connect Anwendung sein.

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung