SAML 2.0 applikasjonsregistrering
FoxIDs SAML 2.0 applikasjonsregistrering gjør det mulig å koble til en SAML 2.0-basert applikasjon.
SAML (Security Assertion Markup Language) 2.0 er en XML-basert standard for autentisering og autorisasjon som muliggjør sikker Single Sign-On (SSO) mellom en Identity Provider (IdP) og en Service Provider (SP). De to SAML 2.0 flowene: SP-Initiated Login flow og IdP-initiated Login flow støttes som standard.
Applikasjonen din blir en SAML 2.0 Relying Party (RP) og FoxIDs fungerer som en SAML 2.0 Identity Provider (IdP).
FoxIDs støtter SAML 2.0 redirect and post bindings.
FoxIDs videresender også et login hint fra SAML Authn request URL ved å bruke enten login_hint eller LoginHint query-parameter når requesten ikke inneholder en NameID. Dette lar relying parties som Microsoft Entra og Okta forhåndsutfylle brukeridentifikatoren i FoxIDs login-opplevelse.
En applikasjonsregistrering eksponerer SAML 2.0 metadata hvor applikasjonen din kan oppdage SAML 2.0 Identity Provider (IdP).
Både login, logout og single logout SAML 2.0 profiles støttes. Artifact profile støttes ikke.
FoxIDs genererte SAML 2.0 metadata inneholder kun logout og single logout informasjon hvis logout er konfigurert i SAML 2.0 applikasjonsregistreringen.
How to guides:
- Koble til Amazon IAM Identity Center
- Koble til Context Handler test IdP (dansk identitetsbroker)
Configuration
Slik konfigurerer du applikasjonen din som en SAML 2.0 Relying Party (RP).
Metadata endpoints
- IdP metadata:
https://foxids.com/tenant-x/environment-y/application-saml-pr1(*)/saml/idpmetadata(erstatttenant-x,environment-yogapplication-saml-pr1med dine verdier). - Alternativt single endpoint: Authn endepunktet returnerer også IdP metadata når det kalles med
GETog uten enSAMLRequest. Dette gjør at partnere som krever én URL for både metadata-nedlasting og Authn requests kan bruke samme adresse, f.eks.https://foxids.com/tenant-x/environment-y/application-saml-pr1(*)/saml/authn. Når samme endepunkt mottar en SAML AuthnRequest (via redirect eller post binding), utfører det normal login flow.
En applikasjonsregistrering kan støtte login via flere authentication methods ved å legge til authentication method-navnet i URL-en.
For eksempel https://foxids.com/tenant-x/environment-y/application-saml-pr1(login)/saml/idpmetadata (eller /saml/authn) målretter login metoden.
Du kan også bruke standard * notasjon for å aktivere login med alle authentication methods.
Følgende skjermbilde viser konfigurasjonen av en FoxIDs SAML 2.0 applikasjonsregistrering i FoxIDs Control Client.
Her er konfigurasjonen opprettet med applikasjonens metadata. Utstedte claims er begrenset til det konfigurerte settet; alle claims kan utstedes med * notasjon.
Flere konfigurasjonsmuligheter blir tilgjengelige ved å klikke Show advanced.
Du kan endre SAML 2.0 claim collection og utføre claim tasks med claim transforms og claim tasks. Hvis du oppretter et nytt claim, legg til claimet eller
*iIssue claims-listen for å utstede claimet til applikasjonen din.
Require multi-factor authentication (MFA)
SAML 2.0 Relying Party (RP) kan kreve multi-factor authentication ved å angi verdien urn:foxids:mfa i RequestedAuthnContext.AuthnContextClassRef-egenskapen.
Du finner eksempelkode i AspNetCoreSamlSample sample SamlController.cs filen.
Egenskapen AuthnContextClassRef kan settes i Login-metoden i SamlController.cs:
public IActionResult Login(string returnUrl = null)
{
var binding = new Saml2RedirectBinding();
binding.SetRelayStateQuery(new Dictionary<string, string>
{
{ relayStateReturnUrl, returnUrl ?? Url.Content("~/") }
});
var saml2AuthnRequest = new Saml2AuthnRequest(saml2Config)
{
// To require MFA
RequestedAuthnContext = new RequestedAuthnContext
{
Comparison = AuthnContextComparisonTypes.Exact,
AuthnContextClassRef = new string[] { "urn:foxids:mfa" },
}
};
return binding.Bind(saml2AuthnRequest).ToActionResult();
}