Anslut Microsoft AD FS med SAML 2.0

FoxIDs kan anslutas till AD FS med en SAML 2.0 autentiseringsmetod. Där AD FS är en SAML 2.0 Identity Provider (IdP) och FoxIDs agerar som en SAML 2.0 Relying Party (RP).

Konfigurera AD FS som Identity Provider (IdP)

1 - Börja med att skapa en SAML 2.0 autentiseringsmetod i FoxIDs Control Client

SAML 2.0 autentiseringsmetoden kan antingen konfigureras genom att använda AD FS metadata https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml eller genom att manuellt lägga till SAML 2.0 detaljerna.

Rekommenderade SAML 2.0 bindningar:

  • Authn request and response binding: Post
  • Logout request and response binding: Post

Notera; authn request redirect binding kan resultera i en lång query string vilket kan ge problem på vissa enheter. Därför är post binding att föredra.

Se AD FS sample konfigurationen i FoxIDs Control: https://control.foxids.com/test-corp Få read åtkomst med användaren reader@foxids.com och lösenord gEh#V6kSw och välj sedan Production miljön och fliken Authentication.

Följande skärmbild visar den grundläggande FoxIDs SAML 2.0 autentiseringsmetod konfigurationen med AD FS metadata i FoxIDs Control Client.

AD FS metadata endpoint måste vara tillgänglig online för att konfigurera SAML 2.0 med AD FS metadata. Om inte, behöver du konfigurera manuellt.

Konfigurera SAML 2.0 AD FS autentiseringsmetod

Fler konfigurationsalternativ blir tillgängliga genom att klicka Show advanced.

2 - Gå sedan till AD FS och skapa Relying Party (RP)

I den här delen av konfigurationen behöver du använda SAML 2.0 autentiseringsmetodens metadata. Det är möjligt att anropa en fiktiv SAML 2.0 autentiseringsmetod metadata i FoxIDs och därmed om önskat utföra steg 2 som första steg.

FoxIDs SAML 2.0 autentiseringsmetod metadata https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata för tenant-x och environment-y med autentiseringsmetod namnet adfs-saml-idp1.

Konfigurera Relying Party (RP) i AD FS med SAML 2.0 autentiseringsmetodens metadata.

Alternativt kan Relying Party (RP) konfigureras manuellt i AD FS med följande egenskaper:

  • FoxIDs miljöcertifikat ("tenant-x" och "environment-y")
  • Hash algoritm, standard SHA-256
  • FoxIDs miljöidentifierare https://foxids.com/tenant-x/environment-y/ eller en annan identifierare om konfigurerad
  • Assertion consumer service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs
  • Single logout (logout) service endpoint https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/

3 - Gå sedan till AD FS Relying Party (RP) claims utfärdande konfiguration

Det rekommenderas att lägga till NameID claim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (i AD FS kallad NameIdentifier) för att aktivera SessionIndex.

Utan NameID claim lägger AD FS inte till SessionIndex i SAML token och det blir därmed inte möjligt att logga ut eller single logout.

FoxIDs kräver att AD FS utfärdar användarens identitet antingen i NameID eller minst en av följande claims:

  • NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Övriga claims är valfria och kan tas emot och transformeras i FoxIDs.

Din integritet

Vi använder cookies för att göra din upplevelse av våra webbplatser bättre. Klicka på 'Acceptera alla cookies' för att godkänna användningen av cookies. För att avstå från icke-nödvändiga cookies, klicka på 'Endast nödvändiga cookies'.

Besök vår integritetspolicy för mer