Koble til Microsoft AD FS med SAML 2.0

FoxIDs kan kobles til AD FS med en SAML 2.0 autentiseringsmetode. Hvor AD FS er en SAML 2.0 Identity Provider (IdP) og FoxIDs fungerer som en SAML 2.0 Relying Party (RP).

Konfigurer AD FS som Identity Provider (IdP)

1 - Start med å opprette en SAML 2.0 autentiseringsmetode i FoxIDs Control Client

SAML 2.0 autentiseringsmetoden kan enten konfigureres ved å bruke AD FS metadata https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml eller ved å legge til SAML 2.0 detaljene manuelt.

Anbefalte SAML 2.0 bindings:

  • Authn request and response binding: Post
  • Logout request and response binding: Post

Merknad; authn request redirect binding kan resultere i en lang query string som kan skape problemer på noen enheter. Derfor er post binding å foretrekke.

Se AD FS sample konfigurasjonen i FoxIDs Control: https://control.foxids.com/test-corp Få read tilgang med brukeren reader@foxids.com og passord gEh#V6kSw og velg deretter Production miljøet og fanen Authentication.

Følgende skjermbilde viser den grunnleggende FoxIDs SAML 2.0 autentiseringsmetode konfigurasjonen ved bruk av AD FS metadata i FoxIDs Control Client.

AD FS metadata endepunktet må være tilgjengelig online for å konfigurere SAML 2.0 med AD FS metadata. Hvis ikke, må du konfigurere manuelt.

Konfigurer SAML 2.0 AD FS autentiseringsmetode

Flere konfigurasjonsmuligheter blir tilgjengelige ved å klikke Show advanced.

2 - Gå deretter til AD FS og opprett Relying Party (RP)

I denne delen av konfigurasjonen må du bruke SAML 2.0 autentiseringsmetodens metadata. Det er mulig å kalle en fiktiv SAML 2.0 autentiseringsmetode metadata i FoxIDs og dermed om ønsket utføre steg 2 som første steg.

FoxIDs SAML 2.0 autentiseringsmetode metadata https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata for tenant-x og environment-y med autentiseringsmetode navnet adfs-saml-idp1.

Konfigurer Relying Party (RP) i AD FS ved å bruke SAML 2.0 autentiseringsmetodens metadata.

Alternativt kan Relying Party (RP) konfigureres manuelt i AD FS med følgende egenskaper:

  • FoxIDs miljøsertifikat ("tenant-x" og "environment-y")
  • Hash algoritme, standard SHA-256
  • FoxIDs miljøidentifikator https://foxids.com/tenant-x/environment-y/ eller en annen identifikator hvis konfigurert
  • Assertion consumer service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Single logout (logout) service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Gå deretter til AD FS Relying Party (RP) utstedelses claims konfigurasjon

Det anbefales å legge til NameID claim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (i AD FS kalt NameIdentifier) for å aktivere SessionIndex.

Uten NameID claim legger AD FS ikke til SessionIndex i SAML tokenet og det vil derfor ikke være mulig å logge ut eller single logout.

FoxIDs krever at AD FS utsteder brukerens identitet enten i NameID eller minst ett av følgende claims:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Andre claims er valgfrie og kan mottas og transformeres i FoxIDs.

Ditt personvern

Vi bruker cookies for å gjøre opplevelsen av nettstedene våre bedre. Klikk på 'Godta alle cookies' for å samtykke til bruk av cookies. For å reservere deg mot ikke-nødvendige cookies, klikk på 'Kun nødvendige cookies'.

Besøk vår personvernerklæring for mer