Conectarse a Microsoft AD FS con SAML 2.0

FoxIDs se puede conectar a AD FS con un método de autenticación SAML 2.0. AD FS es un proveedor de identidad SAML 2.0 (IdP) y FoxIDs actúa como Relying Party (RP) SAML 2.0.

Configurar AD FS como proveedor de identidad (IdP)

1 - Comience creando un método de autenticación SAML 2.0 en FoxIDs Control Client

El método de autenticación SAML 2.0 se puede configurar usando metadatos de AD FS https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml o agregando manualmente los detalles de SAML 2.0.

Enlaces SAML 2.0 recomendados:

  • Enlace de solicitud y respuesta Authn: Post
  • Enlace de solicitud y respuesta Logout: Post

Nota: el enlace redirect de la solicitud Authn puede provocar una cadena de consulta larga que puede ser un problema en algunos dispositivos. Por eso se prefiere el enlace Post.

Vea el ejemplo de configuración de AD FS en FoxIDs Control: https://control.foxids.com/test-corp
Obtenga acceso de lectura con el usuario reader@foxids.com y la contraseña gEh#V6kSw, y luego seleccione el entorno Production y la pestaña Authentication.

La siguiente captura de pantalla muestra la configuración básica del método de autenticación SAML 2.0 de FoxIDs usando metadatos de AD FS en FoxIDs Control Client.

El endpoint de metadatos de AD FS debe ser accesible en línea para realizar la configuración SAML 2.0 con los metadatos de AD FS. De lo contrario, debe hacer la configuración manualmente.

Configure SAML 2.0 AD FS authentication method

Hay más opciones de configuración disponibles al hacer clic en Show advanced.

2 - Luego vaya a AD FS y cree la Relying Party (RP)

En esta parte de la configuración, debe usar los metadatos del método de autenticación SAML 2.0. Es posible llamar a metadatos ficticios del método de autenticación SAML 2.0 en FoxIDs y, por lo tanto, si lo desea, realizar el paso 2 como primer paso.

Metadatos del método de autenticación SAML 2.0 de FoxIDs https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata
para tenant-x y environment-y con el nombre del método de autenticación adfs-saml-idp1.

Configure la Relying Party (RP) en AD FS usando los metadatos del método de autenticación SAML 2.0.

Alternativamente, la Relying Party (RP) se puede configurar manualmente en AD FS con las siguientes propiedades:

  • El certificado del entorno público de FoxIDs ('tenant-x' y 'environment-y')
  • Algoritmo de hash, por defecto SHA-256
  • El identificador de entorno de FoxIDs https://foxids.com/tenant-x/environment-y/ u otro identificador si se configuró
  • Endpoint de Assertion Consumer Service https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Endpoint del servicio Single Logout (logout) https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Luego vaya a la configuración de las reclamaciones de emisión de la Relying Party (RP) de AD FS

Se recomienda agregar la reclamación NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (en AD FS denominada NameIdentifier) para habilitar el SessionIndex.

Sin la reclamación NameID AD FS no agrega el SessionIndex al token SAML y, por lo tanto, no será posible realizar un logout o single logout.

FoxIDs requiere que AD FS emita la identidad de los usuarios en el NameID o al menos en una de las siguientes reclamaciones:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Las demás reclamaciones son opcionales y se pueden recibir y transformar en FoxIDs.

Tu privacidad

Usamos cookies para mejorar tu experiencia en nuestros sitios web. Haz clic en «Aceptar todas las cookies» para aceptar su uso. Para rechazar cookies no esenciales, haz clic en «Solo cookies necesarias».

Visita nuestra política de privacidad para saber más