Connect to Microsoft AD FS with SAML 2.0

FoxIDs puo essere collegato ad AD FS con un metodo di autenticazione SAML 2.0. In questo scenario AD FS e un SAML 2.0 Identity Provider (IdP) e FoxIDs agisce come SAML 2.0 Relying Party (RP).

Configuring AD FS as Identity Provider (IdP)

1 - Inizia creando un metodo di autenticazione SAML 2.0 in FoxIDs Control Client

Il metodo di autenticazione SAML 2.0 puo essere configurato sia usando i metadata AD FS https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml sia aggiungendo manualmente i dettagli SAML 2.0.

Binding SAML 2.0 raccomandati:

  • Binding di Authn request e response: Post
  • Binding di Logout request e response: Post

Nota: il binding redirect della authn request puo produrre una query string lunga che puo causare problemi su alcuni dispositivi. Per questo motivo il binding post e preferibile.

Dai un'occhiata alla configurazione sample AD FS in FoxIDs Control: https://control.foxids.com/test-corp
Ottieni accesso in lettura con l'utente reader@foxids.com e la password gEh#V6kSw, poi seleziona l'ambiente Production e la scheda Authentication.

La schermata seguente mostra la configurazione di base del metodo di autenticazione SAML 2.0 FoxIDs usando i metadata AD FS in FoxIDs Control Client.

L'endpoint metadata AD FS deve essere accessibile online per eseguire la configurazione SAML 2.0 con i metadata AD FS. In caso contrario, devi eseguire la configurazione manualmente.

Configure SAML 2.0 AD FS authentication method

Ulteriori opzioni di configurazione diventano disponibili facendo clic su Show advanced.

2 - Poi vai in AD FS e crea la Relying Party (RP)

In questa parte della configurazione devi usare i metadata del metodo di autenticazione SAML 2.0. E possibile richiamare metadata di un metodo di autenticazione SAML 2.0 fittizio in FoxIDs e quindi, se preferisci, eseguire il passaggio 2 come primo passaggio.

Metadata del metodo di autenticazione SAML 2.0 FoxIDs https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata
per tenant-x e environment-y con nome del metodo di autenticazione adfs-saml-idp1.

Configura la Relying Party (RP) in AD FS usando i metadata del metodo di autenticazione SAML 2.0.

In alternativa, la Relying Party (RP) puo essere configurata manualmente in AD FS con le seguenti proprieta:

  • Il certificato pubblico dell'ambiente FoxIDs, cioe 'tenant-x' e 'environment-y'
  • Algoritmo hash, predefinito SHA-256
  • L'identificatore dell'ambiente FoxIDs https://foxids.com/tenant-x/environment-y/ oppure un altro identificatore se configurato
  • Endpoint assertion consumer service https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Endpoint single logout, logout, service https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Poi vai alla configurazione dei claim emessi della Relying Party (RP) in AD FS

Si raccomanda di aggiungere il claim NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier, chiamato NameIdentifier in AD FS, per abilitare SessionIndex.

Senza il claim NamID AD FS non aggiunge SessionIndex al token SAML e quindi non sara possibile eseguire logout o single logout.

FoxIDs richiede che AD FS emetta l'identita dell'utente nel NameID oppure almeno in uno dei seguenti claim:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Altri claim sono facoltativi e possono essere ricevuti e trasformati in FoxIDs.

La tua privacy

La tua privacy

Usiamo i cookie per migliorare la tua esperienza sui nostri siti. Fai clic sul pulsante 'Accetta tutti i cookie' per acconsentire all'uso dei cookie. Per rifiutare i cookie non essenziali, fai clic su 'Solo cookie necessari'.

Visita la nostra pagina di Informativa sulla privacy per saperne di più