Połącz z Microsoft AD FS za pomocą SAML 2.0

FoxIDs można połączyć z AD FS przy użyciu metody uwierzytelniania SAML 2.0. AD FS jest dostawcą tożsamości SAML 2.0 (IdP), a FoxIDs działa jako strona ufająca SAML 2.0 (RP).

Konfiguracja AD FS jako dostawcy tożsamości (IdP)

1 - Zacznij od utworzenia metody uwierzytelniania SAML 2.0 w FoxIDs Control Client

Metodę uwierzytelniania SAML 2.0 można skonfigurować, używając metadanych AD FS https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml lub ręcznie dodając szczegóły SAML 2.0.

Zalecane powiązania SAML 2.0:

  • Powiązanie żądania i odpowiedzi Authn: Post
  • Powiązanie żądania i odpowiedzi Logout: Post

Uwaga: powiązanie redirect dla żądania authn może powodować długi query string, co może sprawiać problemy na niektórych urządzeniach. Dlatego zalecane jest powiązanie Post.

Zobacz konfigurację przykładu AD FS w FoxIDs Control: https://control.foxids.com/test-corp
Uzyskaj dostęp do odczytu użytkownikiem reader@foxids.com i hasłem gEh#V6kSw, a następnie wybierz środowisko Production i kartę Authentication.

Poniższy zrzut ekranu pokazuje podstawową konfigurację metody uwierzytelniania FoxIDs SAML 2.0 z użyciem metadanych AD FS w FoxIDs Control Client.

Endpoint metadanych AD FS musi być dostępny online, aby skonfigurować SAML 2.0 z metadanymi AD FS. W przeciwnym razie konfigurację trzeba wykonać ręcznie.

Configure SAML 2.0 AD FS authentication method

Więcej opcji konfiguracji jest dostępnych po kliknięciu Show advanced.

2 - Następnie przejdź do AD FS i utwórz stronę ufającą (RP)

W tej części konfiguracji musisz użyć metadanych metody uwierzytelniania SAML 2.0. Można wywołać fikcyjne metadane metody uwierzytelniania SAML 2.0 w FoxIDs, dzięki czemu (jeśli wolisz) możesz wykonać krok 2 jako pierwszy.

Metadane metody uwierzytelniania FoxIDs SAML 2.0 https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata
dla tenant-x i environment-y z nazwą metody uwierzytelniania adfs-saml-idp1.

Skonfiguruj stronę ufającą (RP) w AD FS przy użyciu metadanych metody uwierzytelniania SAML 2.0.

Alternatywnie stronę ufającą (RP) można skonfigurować ręcznie w AD FS z następującymi właściwościami:

  • Publiczny certyfikat środowiska FoxIDs (tenant-x i environment-y)
  • Algorytm skrótu, domyślnie SHA-256
  • Identyfikator środowiska FoxIDs https://foxids.com/tenant-x/environment-y/ lub inny identyfikator, jeśli skonfigurowano
  • Endpoint assertion consumer service https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Endpoint usługi single logout (logout) https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Następnie przejdź do konfiguracji wystawiania claimów dla strony ufającej (RP) w AD FS

Zaleca się dodać claim NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (w AD FS nazywany NameIdentifier), aby włączyć SessionIndex.

Bez claimu NameID AD FS nie dodaje SessionIndex do tokenu SAML, więc nie będzie możliwe wylogowanie ani single logout.

FoxIDs wymaga, aby AD FS wystawiał tożsamość użytkownika w NameID lub przynajmniej w jednym z następujących claimów:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Pozostałe claimy są opcjonalne i mogą być odbierane oraz transformowane w FoxIDs.

Twoja prywatność

Używamy plików cookie, aby poprawić korzystanie z naszych stron internetowych. Kliknij przycisk „Akceptuj wszystkie pliki cookie”, aby wyrazić zgodę na ich użycie. Aby zrezygnować z nieistotnych plików cookie, kliknij „Tylko niezbędne pliki cookie”.

Odwiedź naszą politykę prywatności, aby dowiedzieć się więcej