SAML 2.0 autentiseringsmetod

FoxIDs SAML 2.0 autentiseringsmetod som litar på en extern SAML 2.0 Identity Provider (IdP).

SAML (Security Assertion Markup Language) 2.0 är en öppen standard för att utbyta autentiserings- och auktoriseringsdata mellan en Identity Provider (IdP) och en Service Provider (SP). Den möjliggör Single Sign-On (SSO), vilket låter användare logga in en gång och få åtkomst till flera applikationer utan att behöva autentisera igen.
De två SAML 2.0-flödena stöds. SP-initierad inloggning, som är standard, det vanligaste och rekommenderade flödet, och flödet IdP-initierad inloggning.

SAML 2.0 används i stor utsträckning i företagsmiljöer och möjliggör säker identitetsfederation mellan olika organisationer och applikationer.

FoxIDs SAML 2.0 authentication method

Genom att konfigurera en SAML 2.0 autentiseringsmetod och en OpenID Connect-applikationsregistrering blir FoxIDs en brygga mellan SAML 2.0 och OpenID Connect. FoxIDs hanterar då SAML 2.0-anslutningen som en Relying Party (RP) / Service Provider (SP) och du behöver bara hantera OpenID Connect i din applikation.

Det är möjligt att konfigurera flera SAML 2.0 autentiseringsmetoder som sedan kan väljas av OpenID Connect-applikationsregistreringar och SAML 2.0-applikationsregistreringar.

Konfigurera IdP-initierad inloggning och vidarebefordra inloggningen till SAML 2.0- och OpenID Connect-applikationer.

FoxIDs stödjer SAML 2.0 redirect- och post-bindings. Både inloggning, utloggning och single logout SAML 2.0-profiler stöds. Artifact-profilen stöds inte.

En autentiseringsmetod exponerar SAML 2.0 metadata och kan konfigureras med SAML 2.0 metadata eller genom att manuellt lägga till konfigurationsdetaljer.

Den FoxIDs-genererade SAML 2.0-metadata innehåller endast utloggning och single logout-information om utloggning är konfigurerad i SAML 2.0-autentiseringsmetoden.

FoxIDs stödjer alla SAML 2.0 Identity Providers (IdP:er) och har testats mot ett brett utbud av IdP:er.

How to guides:

Configuration

Så här konfigurerar du en extern SAML 2.0 Identity Provider (IdP).

FoxIDs SAML 2.0 autentiseringsmetods metadata-endpoint är https://foxids.com/tenant-x/environment-y/(some_external_idp)/saml/spmetadata. Om IdP:n är konfigurerad i tenant tenant-x och miljö environment-y med autentiseringsmetodsnamnet some_external_idp.

Följande skärmbild visar konfigurationen av en SAML 2.0 autentiseringsmetod i FoxIDs Control Client. Här skapas konfigurationen med den externa IdP:ns metadata. Vidarebefordrade claims är begränsade till den konfigurerade uppsättningen, som standard vidarebefordras alla claims med *-notationen.

Fler konfigurationsalternativ blir tillgängliga genom att klicka Show advanced.

Configure SAML 2.0

Du kan ändra claims och göra claim tasks med claim transforms och claim tasks.

Manuell konfiguration blir tillgänglig genom att inaktivera Automatic update. Då behöver IdP:n inte exponera eller skicka en metadatafil, du kan konfigurera allt manuellt.

Manual SAML 2.0 configuration

Om du skapar ett nytt claim, lägg till claimet eller * (standard) i listan Forward claims för att vidarebefordra claimet till applikationsregistreringen.

IdP-initierad inloggning

SAML 2.0 IdP-initierad inloggning är ett Single Sign-On (SSO) autentiseringsflöde där processen startar hos Identity Provider (IdP) i stället för hos Service Provider (SP). Den här metoden används ofta i företagsmiljöer för att låta användare få åtkomst till flera applikationer med en enda autentisering.

Till skillnad från SP-initierad inloggning begär inte SP:n autentisering från IdP:n. IdP:n skickar en oombedd SAML-assertion på eget initiativ. Denna viktiga skillnad gör IdP-initierad inloggning mindre säker än SP-initierad inloggning, och därför är IdP-initierad inloggning inaktiverad som standard i FoxIDs.

Aktivera IdP-initierad inloggning.

  1. Öppna SAML 2.0 autentiseringsmetoden i FoxIDs Control Client
  2. Klicka Show advanced
  3. Bläddra till botten av konfigurationsavsnittet
  4. Aktivera IdP-Initiated login
  5. Valfritt ändra IdP-Initiated Login - OpenID Connect grant lifetime
  6. Klicka Update

Configure SAML 2.0

Konfigurera SAML 2.0 autentiseringsmetoden att lita på IdP:n på samma sätt som om du använder SP-initierad inloggning.

IdP Relay State

Den externa IdP:n måste skicka ett relay state som anger till vilken applikation autentiseringen ska vidarebefordras. Relay state måste alltid innehålla applikationsnamnet app_name och applikationstypen app_type och i vissa fall måste den innehålla en omdirigerings-URL för applikationen app_redirect.

Elementen har vardera ett namn och ett värde och separeras med &. Omdirigerings-URL-värden måste vara URL-kodade. Applikationstypens värde kan antingen vara saml2 eller oidc.

SAML 2.0 Identity Provider (IdP) .NET-exemplet AspNetCoreSamlIdPSample visar hur man skapar en IdP-initierad inloggning med ett relay state.

FoxIDs SAML 2.0 authentication method

SAML 2.0-applikation

Om du vill vidarebefordra autentiseringen till SAML 2.0-applikationen med namnet my-saml2-app är relay state:

app_name=my-saml2-app&app_type=saml2

Detta vidarebefordrar autentiseringsanropet till den första Assertion Consumer Service (ACS)-endpoint som är konfigurerad för applikationen.

Om du vill vidarebefordra autentiseringen till en annan konfigurerad ACS-endpoint https://my-domain.com/auth/acs2 är relay state:

app_name=my-saml2-app&app_type=saml2&app_redirect=https%3A%2F%2Fmy-domain.com%2Fauth%2Facs2

Autentiseringsanropet vidarebefordras till SAML 2.0-applikationen som en IdP-initierad inloggning med ett oombett SAML 2.0 authn-svar.

OpenID Connect-applikation

OpenID Connect stödjer inte IdP-initierad inloggning. Därför verifieras IdP-initierad inloggning i autentiseringsmetoden och vidarebefordras till OpenID Connect-applikationen genom att ropa applikationen med omdirigerings-URL app_redirect som ska starta inloggningsflödet (OpenID Connect-standard: Initiating Login from a Third Party).
Du behöver en sida i OpenID Connect-applikationen som kräver att användaren är autentiserad och därför startar inloggningsflödet när den anropas. En issuer-parameter iss skickas med i queryn som du kan välja att validera.
OpenID Connect-applikationen kan göra en generell inloggningsbegäran med *, FoxIDs vet vart inloggningsbegäran ska routas.

Sedan anropar OpenID Connect-applikationen FoxIDs, som läser IdP-initierad inloggningsgrant.
Alternativt, utan en IdP-initierad inloggningsgrant, anropas den externa IdP:n med ett SP-initierat inloggningsflöde. Den externa IdP:n använder Single Sign-On (SSO)-kontexten och svarar till FoxIDs.

Det rekommenderas att använda IdP-initierad inloggningsgrant-funktionaliteten för att undvika en extra rundresa till den externa IdP:n.

Den SAML 2.0 IdP-initierade inloggningen översätts sedan till OpenID Connect och vidarebefordrar autentiseringen till OpenID Connect-applikationen.

Om du vill vidarebefordra autentiseringen till OpenID Connect-applikationen med namnet my-oidc-app med den inloggningsinitierande URL:en https://my-domain.com/secure-page, är relay state:

app_name=my-oidc-app&app_type=oidc&app_redirect=https%3A%2F%2Fmy-domain.com%2Fsecure-page

Applikationens omdirigerings-URL måste vara en giltig/konfigurerad URL för OpenID Connect-applikationen.

Din integritet

Vi använder cookies för att göra din upplevelse av våra webbplatser bättre. Klicka på 'Acceptera alla cookies' för att godkänna användningen av cookies. För att avstå från icke-nödvändiga cookies, klicka på 'Endast nödvändiga cookies'.

Besök vår integritetspolicy för mer