SAML 2.0 autentiseringsmetode

FoxIDs SAML 2.0 autentiseringsmetode som stoler på en ekstern SAML 2.0 Identity Provider (IdP).

SAML (Security Assertion Markup Language) 2.0 er en åpen standard for utveksling av autentiserings- og autorisasjonsdata mellom en Identity Provider (IdP) og en Service Provider (SP). Den muliggjør Single Sign-On (SSO) slik at brukere kan logge inn én gang og få tilgang til flere applikasjoner uten å måtte autentisere seg på nytt. De to SAML 2.0 flowene støttes. SP-Initiated Login flow, som er standard, mest vanlig og anbefalt, og IdP-initiated Login flow.

SAML 2.0 er utbredt i enterprise-miljøer og muliggjør sikker identitetsfederasjon på tvers av ulike organisasjoner og applikasjoner.

FoxIDs SAML 2.0 authentication method

Ved å konfigurere en SAML 2.0 autentiseringsmetode og en OpenID Connect applikasjonsregistrering blir FoxIDs en bridge mellom SAML 2.0 og OpenID Connect. FoxIDs håndterer da SAML 2.0 tilkoblingen som en Relying Party (RP) / Service Provider (SP), og du trenger bare å forholde deg til OpenID Connect i applikasjonen din.

Det er mulig å konfigurere flere SAML 2.0 autentiseringsmetoder som deretter kan velges av OpenID Connect applikasjonsregistreringer og SAML 2.0 applikasjonsregistreringer.

Konfigurer IdP-Initiated Login og videresend login til SAML 2.0 og OpenID Connect applikasjoner.

FoxIDs støtter SAML 2.0 redirect and post bindings. Både login, logout og single logout SAML 2.0 profiles støttes. Artifact profile støttes ikke.

En autentiseringsmetode eksponerer SAML 2.0 metadata og kan konfigureres med SAML 2.0 metadata eller ved manuelt å legge til konfigurasjonsdetaljene.

FoxIDs genererte SAML 2.0 metadata inneholder kun logout og single logout informasjon hvis logout er konfigurert i SAML 2.0 autentiseringsmetoden.

FoxIDs støtter alle SAML 2.0 identity providers (IdP-er) og er testet mot et bredt utvalg av IdP-er.

How to guides:

Configuration

Slik konfigurerer du en ekstern SAML 2.0 Identity Provider (IdP).

FoxIDs SAML 2.0 autentiseringsmetode metadata endpoint er https://foxids.com/tenant-x/environment-y/(some_external_idp)/saml/spmetadata. Hvis IdP-en er konfigurert i tenant tenant-x og environment environment-y med autentiseringsmetodenavnet some_external_idp.

Følgende skjermbilde viser konfigurasjonen av en SAML 2.0 autentiseringsmetode i FoxIDs Control Client. Her er konfigurasjonen opprettet med den eksterne IdP-ens metadata. De videresendte claims er begrenset til det konfigurerte settet; som standard videresendes alle claims med * notasjonen.

Flere konfigurasjonsalternativer blir tilgjengelige ved å klikke Show advanced.

Configure SAML 2.0

Du kan endre claims og utføre claim tasks med claim transforms og claim tasks.

Manuell konfigurasjon blir tilgjengelig ved å deaktivere Automatic update. På denne måten trenger ikke IdP-en å eksponere eller sende en metadatafil, du kan konfigurere alt manuelt.

Manual SAML 2.0 configuration

Hvis du oppretter et nytt claim, legg til claimet eller * (default) i listen Forward claims for å videresende claimet til applikasjonsregistreringen.

IdP-Initiated Login

SAML 2.0 IdP-Initiated Login er en Single Sign-On (SSO) autentiseringsflow der prosessen starter hos Identity Provider (IdP) i stedet for Service Provider (SP). Denne metoden er vanlig i enterprise-miljøer for å gi brukere tilgang til flere applikasjoner med én autentisering.

I motsetning til SP-Initiated Login ber SP-en ikke om autentisering fra IdP-en. IdP-en sender en uoppfordret SAML assertion på eget initiativ. Denne nøkkelforskjellen gjør IdP-Initiated Login flow mindre sikker enn SP-Initiated Login flow, og derfor er IdP-Initiated Login deaktivert som standard i FoxIDs.

Aktiver IdP-Initiated Login.

  1. Åpne SAML 2.0 autentiseringsmetoden i FoxIDs Control Client
  2. Klikk Show advanced
  3. Rull til bunnen av konfigurasjonsseksjonen
  4. Aktiver IdP-Initiated login
  5. Valgfritt endre IdP-Initiated Login - OpenID Connect grant lifetime
  6. Klikk Update

Configure SAML 2.0

Konfigurer SAML 2.0 autentiseringsmetoden til å stole på IdP-en på samme måte som ved SP-initiert login.

IdP Relay State

Den eksterne IdP-en må sende en relay state som spesifiserer applikasjonen som autentiseringen skal videresendes til. Relay state må alltid inneholde applikasjonsnavnet app_name og applikasjonstypen app_type og i noen tilfeller en applikasjons redirect URL app_redirect.

Elementene har hver et navn og en verdi og er separert med &. Redirect URL-verdier må være URL-encoded. Applikasjonstype-verdien kan enten være saml2 eller oidc.

SAML 2.0 identity provider (IdP) .NET sample AspNetCoreSamlIdPSample viser hvordan man lager en IdP-Initiated Login med en relay state.

FoxIDs SAML 2.0 authentication method

SAML 2.0 applikasjon

Hvis du vil videresende autentiseringen til SAML 2.0 applikasjonen med navnet my-saml2-app, er relay state:

app_name=my-saml2-app&app_type=saml2

Dette videresender autentiseringskallet til den første Assertion Consumer Service (ACS) endpoint som er konfigurert for applikasjonen.

Hvis du vil videresende autentiseringen til en annen konfigurert ACS endpoint https://my-domain.com/auth/acs2, er relay state:

app_name=my-saml2-app&app_type=saml2&app_redirect=https%3A%2F%2Fmy-domain.com%2Fauth%2Facs2

Autentiseringskallet videresendes til SAML 2.0 applikasjonen som en IdP-Initiated Login med en uoppfordret SAML 2.0 authn response.

OpenID Connect applikasjon

OpenID Connect støtter ikke IdP-Initiated Login. Derfor blir IdP-Initiated Login verifisert i autentiseringsmetoden og videresendt til OpenID Connect applikasjonen ved å kalle applikasjonen med redirect URL app_redirect som skal starte login flowen (OpenID Connect standard: Initiating Login from a Third Party). Du trenger en side i OpenID Connect applikasjonen som krever at brukeren er autentisert og dermed starter login flowen når den kalles. En issuer iss parameter sendes med i queryen som du kan velge å validere. OpenID Connect applikasjonen kan gjøre en generell login request med *, FoxIDs vet hvor login requesten skal routes.

Deretter kaller OpenID Connect applikasjonen FoxIDs, som leser IdP-Initiated Login grant. Alternativt, uten IdP-Initiated Login grant, kalles den eksterne IdP-en med en SP-Initiated Login flow. Den eksterne IdP-en bruker Single Sign-On (SSO) konteksten og svarer til FoxIDs.

Det anbefales å bruke IdP-Initiated Login grant funksjonalitet for å unngå en ekstra round-trip til den eksterne IdP-en.

SAML 2.0 IdP-Initiated Login oversettes deretter til OpenID Connect og videresender autentiseringen til OpenID Connect applikasjonen.

Hvis du vil videresende autentiseringen til OpenID Connect applikasjonen med navnet my-oidc-app med login initiating URL https://my-domain.com/secure-page, er relay state:

app_name=my-oidc-app&app_type=oidc&app_redirect=https%3A%2F%2Fmy-domain.com%2Fsecure-page

Applikasjonens redirect URL må være en gyldig/konfigurert URL for OpenID Connect applikasjonen.

Ditt personvern

Vi bruker cookies for å gjøre opplevelsen av nettstedene våre bedre. Klikk på 'Godta alle cookies' for å samtykke til bruk av cookies. For å reservere deg mot ikke-nødvendige cookies, klikk på 'Kun nødvendige cookies'.

Besøk vår personvernerklæring for mer