SAML 2.0 applicatieregistratie
FoxIDs SAML 2.0 applicatieregistratie maakt het mogelijk om een SAML 2.0 gebaseerde applicatie te koppelen.
SAML (Security Assertion Markup Language) 2.0 is een XML-gebaseerde standaard voor authenticatie en autorisatie die veilige Single Sign-On (SSO) mogelijk maakt tussen een Identity Provider (IdP) en een Service Provider (SP). De twee SAML 2.0 flows: SP-Initiated Login flow en IdP-initiated Login flow worden standaard ondersteund.
Je applicatie wordt een SAML 2.0 Relying Party (RP) en FoxIDs fungeert als een SAML 2.0 Identity Provider (IdP).
FoxIDs ondersteunt SAML 2.0 redirect and post bindings.
FoxIDs stuurt ook een login hint door vanuit de SAML Authn request URL met de login_hint of LoginHint query-parameter wanneer de request geen NameID bevat. Dit laat relying parties zoals Microsoft Entra en Okta de gebruikersidentifier vooraf invullen in de FoxIDs login-ervaring.
Een applicatieregistratie toont SAML 2.0 metadata waarmee je applicatie de SAML 2.0 Identity Provider (IdP) kan ontdekken.
Zowel login, logout en single logout SAML 2.0 profiles worden ondersteund. Het Artifact profile wordt niet ondersteund.
De door FoxIDs gegenereerde SAML 2.0 metadata bevat alleen logout en single logout informatie als logout is geconfigureerd in de SAML 2.0 applicatieregistratie.
How to guides:
Configuration
Zo configureer je je applicatie als een SAML 2.0 Relying Party (RP).
Metadata endpoints
- IdP metadata:
https://foxids.com/tenant-x/environment-y/application-saml-pr1(*)/saml/idpmetadata(vervangtenant-x,environment-yenapplication-saml-pr1door je waarden). - Alternatief single endpoint: het Authn endpoint retourneert ook de IdP metadata wanneer het met
GETen zonder eenSAMLRequestwordt aangeroepen. Dit maakt het mogelijk voor partners die één URL nodig hebben voor zowel metadata download als Authn requests om hetzelfde adres te gebruiken, bijv.https://foxids.com/tenant-x/environment-y/application-saml-pr1(*)/saml/authn. Wanneer hetzelfde endpoint een SAML AuthnRequest ontvangt (via redirect of post binding), voert het de normale login flow uit.
Een applicatieregistratie kan login ondersteunen via meerdere authentication methods door de authentication method-naam aan de URL toe te voegen.
Bijvoorbeeld https://foxids.com/tenant-x/environment-y/application-saml-pr1(login)/saml/idpmetadata (of /saml/authn) richt zich op de login methode.
Je kunt ook de standaard * notatie gebruiken om login met alle authentication methods mogelijk te maken.
De volgende screenshot toont de configuratie van een FoxIDs SAML 2.0 applicatieregistratie in FoxIDs Control Client.
Hier is de configuratie gemaakt met de metadata van de applicatie. De uitgegeven claims zijn beperkt tot de geconfigureerde set; alle claims kunnen worden uitgegeven met de * notatie.
Meer configuratieopties worden beschikbaar door op Show advanced te klikken.
Je kunt SAML 2.0 claim collection wijzigen en claim tasks uitvoeren met claim transforms en claim tasks. Als je een nieuw claim aanmaakt, voeg het claim of
*toe aan de lijstIssue claimsom het claim aan je applicatie uit te geven.
Require multi-factor authentication (MFA)
De SAML 2.0 Relying Party (RP) kan multi-factor authentication vereisen door de waarde urn:foxids:mfa op te geven in de eigenschap RequestedAuthnContext.AuthnContextClassRef.
Je vindt voorbeeldcode in de AspNetCoreSamlSample sample SamlController.cs file.
De eigenschap AuthnContextClassRef kan worden gezet in de Login methode in SamlController.cs:
public IActionResult Login(string returnUrl = null)
{
var binding = new Saml2RedirectBinding();
binding.SetRelayStateQuery(new Dictionary<string, string>
{
{ relayStateReturnUrl, returnUrl ?? Url.Content("~/") }
});
var saml2AuthnRequest = new Saml2AuthnRequest(saml2Config)
{
// To require MFA
RequestedAuthnContext = new RequestedAuthnContext
{
Comparison = AuthnContextComparisonTypes.Exact,
AuthnContextClassRef = new string[] { "urn:foxids:mfa" },
}
};
return binding.Bind(saml2AuthnRequest).ToActionResult();
}