Verbind Microsoft AD FS met SAML 2.0

FoxIDs kan met AD FS worden verbonden via een SAML 2.0 authenticatiemethode. AD FS is een SAML 2.0 Identity Provider (IdP) en FoxIDs fungeert als SAML 2.0 Relying Party (RP).

AD FS configureren als Identity Provider (IdP)

1 - Begin met het maken van een SAML 2.0 authenticatiemethode in FoxIDs Control Client

De SAML 2.0 authenticatiemethode kan worden geconfigureerd door AD FS metadata te gebruiken https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml of door de SAML 2.0 details handmatig toe te voegen.

Aanbevolen SAML 2.0 bindings:

  • Authn request and response binding: Post
  • Logout request and response binding: Post

Opmerking: de authn request redirect binding kan resulteren in een lange query string die problemen kan veroorzaken op sommige apparaten. Daarom heeft post binding de voorkeur.

Bekijk de AD FS sample configuratie in FoxIDs Control: https://control.foxids.com/test-corp Vraag read toegang aan met gebruiker reader@foxids.com en wachtwoord gEh#V6kSw en selecteer daarna de Production omgeving en het tabblad Authentication.

De onderstaande screenshot toont de basis FoxIDs SAML 2.0 authenticatiemethode configuratie met AD FS metadata in FoxIDs Control Client.

Het AD FS metadata endpoint moet online toegankelijk zijn om de SAML 2.0 configuratie met AD FS metadata te doen. Als dat niet kan, moet je handmatig configureren.

Configureer SAML 2.0 AD FS authenticatiemethode

Meer configuratieopties worden beschikbaar door op Show advanced te klikken.

2 - Ga daarna naar AD FS en maak de Relying Party (RP)

In dit onderdeel van de configuratie gebruik je de SAML 2.0 authenticatiemethode metadata. Het is mogelijk om een fictieve SAML 2.0 authenticatiemethode metadata te gebruiken in FoxIDs en stap 2 als eerste stap uit te voeren.

FoxIDs SAML 2.0 authenticatiemethode metadata https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata voor tenant-x en environment-y met de authenticatiemethode naam adfs-saml-idp1.

Configureer de Relying Party (RP) in AD FS met de SAML 2.0 authenticatiemethode metadata.

Alternatief kan de Relying Party (RP) handmatig worden geconfigureerd in AD FS met de volgende eigenschappen:

  • Het FoxIDs omgevingscertificaat ('tenant-x' en 'environment-y')
  • Hash algoritme, standaard SHA-256
  • De FoxIDs omgevingsidentifier https://foxids.com/tenant-x/environment-y/ of een andere identifier indien geconfigureerd
  • Assertion consumer service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Single logout (logout) service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Ga daarna naar de AD FS Relying Party (RP) issuance claims configuratie

Het wordt aanbevolen om de NameID claim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (in AD FS NameIdentifier genoemd) toe te voegen om de SessionIndex te activeren.

Zonder de NameID claim voegt AD FS de SessionIndex niet toe aan het SAML token en is het niet mogelijk om logout of single logout uit te voeren.

FoxIDs vereist dat AD FS de gebruikersidentiteit uitgeeft in NameID of minimaal een van de volgende claims:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Andere claims zijn optioneel en kunnen in FoxIDs worden ontvangen en getransformeerd.

Uw privacy

We gebruiken cookies om uw ervaring op onze websites te verbeteren. Klik op de knop 'Alle cookies accepteren' om akkoord te gaan met het gebruik van cookies. Om niet-noodzakelijke cookies te weigeren, klikt u op 'Alleen noodzakelijke cookies'.

Bezoek onze privacyverklaring voor meer informatie