Connect to Microsoft AD FS with SAML 2.0

O FoxIDs pode ser ligado ao AD FS com um método de autenticação SAML 2.0. Neste cenário, o AD FS é um SAML 2.0 Identity Provider (IdP) e o FoxIDs atua como SAML 2.0 Relying Party (RP).

Configuring AD FS as Identity Provider (IdP)

1 - Comece por criar um método de autenticação SAML 2.0 no FoxIDs Control Client

O método de autenticação SAML 2.0 pode ser configurado usando os metadata do AD FS https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml ou adicionando manualmente os detalhes SAML 2.0.

Bindings SAML 2.0 recomendados:

  • Binding de authn request e response: Post
  • Binding de logout request e response: Post

Observação: o binding redirect da authn request pode resultar numa query string longa que pode causar problemas nalguns dispositivos. Por isso, o binding post é preferível.

Veja a configuração sample AD FS no FoxIDs Control: https://control.foxids.com/test-corp
Obtenha acesso de leitura com o utilizador reader@foxids.com e a password gEh#V6kSw, depois selecione o ambiente Production e o separador Authentication.

O seguinte screenshot mostra a configuração básica do método de autenticação SAML 2.0 do FoxIDs usando metadata do AD FS no FoxIDs Control Client.

O endpoint de metadata do AD FS precisa de estar acessível online para fazer a configuração SAML 2.0 com metadata do AD FS. Caso contrário, precisa de fazer a configuração manualmente.

Configure SAML 2.0 AD FS authentication method

Mais opções de configuração ficam disponíveis ao clicar em Show advanced.

2 - Depois vá ao AD FS e crie a Relying Party (RP)

Nesta parte da configuração precisa de usar os metadata do método de autenticação SAML 2.0. É possível chamar metadata de um método de autenticação SAML 2.0 fictício no FoxIDs e, se preferir, executar o passo 2 como primeiro passo.

Metadata do método de autenticação SAML 2.0 do FoxIDs https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata
para tenant-x e environment-y com o nome do método de autenticação adfs-saml-idp1.

Configure a Relying Party (RP) no AD FS usando os metadata do método de autenticação SAML 2.0.

Em alternativa, a Relying Party (RP) pode ser configurada manualmente no AD FS com as seguintes propriedades:

  • O certificado público do ambiente FoxIDs, isto é 'tenant-x' e 'environment-y'
  • Algoritmo hash, por predefinição SHA-256
  • O identificador do ambiente FoxIDs https://foxids.com/tenant-x/environment-y/ ou outro identificador se estiver configurado
  • Endpoint assertion consumer service https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Endpoint single logout, isto é, logout service https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Depois vá à configuração de claims emitidos da Relying Party (RP) no AD FS

Recomenda-se adicionar o claim NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier, chamado NameIdentifier no AD FS, para ativar SessionIndex.

Sem o claim NamID o AD FS não adiciona SessionIndex ao token SAML e, por isso, não será possível fazer logout ou single logout.

O FoxIDs requer que o AD FS emita a identidade do utilizador no NameID ou pelo menos num dos seguintes claims:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Outros claims são opcionais e podem ser recebidos e transformados no FoxIDs.

A sua privacidade

A sua privacidade

Usamos cookies para melhorar a sua experiência nos nossos sites. Clique no botão 'Aceitar todos os cookies' para concordar com a utilização de cookies. Para recusar cookies não essenciais, clique em 'Apenas cookies necessários'.

Visite a nossa página de Política de Privacidade para saber mais