SAML 2.0-Konfiguration mit Mehrfachanbieter-SSO

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Sie können eine SAML 2.0-SSO-Konfiguration über die Multi-Provider-SSO-Funktion erstellen oder aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Release Jakarta müssen Sie Ihre Konfiguration mithilfe der Testverbindungsfunktion validieren, bevor Sie Ihre IdP-Konfiguration aktivieren können. Sie können die Aktualisierungsfunktion weiterhin verwenden, um Ihre Konfigurationsdaten zu speichern, aber es ist keine aktive Konfiguration ohne eine erfolgreiche Testverbindung.

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provider.
    2. Sie haben folgende Möglichkeiten.
      • Um eine Konfiguration zu aktualisieren, klicken Sie auf einen SSO-Konfigurationsdatensatz.
      • Um eine neue Konfiguration zu erstellen, klicken Sie auf Neu > SAML.
    3. Geben Sie für eine neue Konfiguration die IdP-Informationen mit einer der folgenden Methoden ein:
      OptionBezeichnung
      Verwenden einer Metadaten-Deskriptor-URL Klicken Sie auf das Kontrollkästchen URL, und geben Sie die URL des verwendeten IdP ein.
      Verwenden der XML-Metadatendeskriptordatei Klicken Sie auf das Kontrollkästchen XML, und fügen Sie die XML-Daten ein, die vom verwendeten IdP generiert wurden.
      Metadaten manuell eingeben Schließen Sie das Popup-Fenster, und geben Sie die Daten manuell in die Eigenschaftsfelder ein.
      Alle Pflichtfelder im Formular „Identitätsanbieter“ müssen ausgefüllt werden. IdP-Formular
      Tabelle : 1. Single Sign-on-Felder für mehrere Anbieter
      Eigenschaft Erforderlich Beschreibung
      Name Ja Geben Sie den Namen für den IdP ein. Dieser IdP ist die Sys-ID der automatischen Umleitung.
      Aktiv Ja Aktiv muss für den IdP, der für die Authentifizierung verwendet werden soll, auf „true“ festgelegt werden.
      Hinweis:
      Die Option zum Festlegen dieser Eigenschaft ist nur nach einer erfolgreichen Testverbindung möglich.
      Standard Nein Der IdP für die automatische Weiterleitung, früher als primärer IdP bezeichnet, leitet Benutzer automatisch zum Zugriff auf die Basisinstanz-URL um. Diese Eigenschaft legt diese IdP-Konfiguration als Standard fest.
      Automatische IdP-Weiterleitung Nein Legt diese IdP-Konfiguration als IdP für die automatische Umleitung fest.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Weiterleitung aktivieren, wird das Cookie glide_sso_id mit dem neuen IdP für die automatische Weiterleitung aktualisiert. Die automatisch aktivierte Systemeigenschaft glide.authenticate.sso.update.idp.cookie steuert diese Funktion.
      URL des Identitätsanbieters Ja Geben Sie die URL zu Ihrem IdP ein. Jede IdP-URL muss eindeutig sein.
      AuthnRequest des Identitätsanbieters Ja Geben Sie die URL für die HTTP-Redirect-Bindung ein, die vom SingleSignOnService-Element abgerufen wurde.
      SingleLogoutRequest des Identitätsanbieters Nein Geben Sie die URL ein, die aus dem SingleLogoutService-Element abgerufen wurde.
      ServiceNow Homepage Ja Geben Sie die URL (einschließlich Anmeldeseite) der Instanz ein, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/navpage.do
      Entitäts-ID/Aussteller Ja Geben Sie die Basis-URL ohne Anmeldeseite ein. der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      Zielgruppen-URI Ja Geben Sie die Basis-URL ohne Anmeldeseite ein. der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      NameID-Richtlinie Ja Geben Sie den Wert des NameIDFormat-Elements ein, das die Integration verwendet.
      Weiterleitung für externe Abmeldung Nein Geben Sie die URL ein, an die die Integration Benutzer nach der Abmeldung umleitet.
      Fehlerhafte Anforderungsumleitung Nein Geben Sie die URL für die Umleitung fehlgeschlagener Authentifizierungsanforderungen ein. Standardmäßig ist dies der URL-Endpunkt einer Fehlerseite oder Abmeldeseite, die im IdP konfiguriert ist. Sie können diesen Wert im Feld glide.authenticate.failed_requirement_redirect ausfüllen.
    4. Wahlweise: Registerkarte „Verschlüsselung und Signatur“.
      Hinweis:
      Es wird empfohlen, eigene Zertifikate für die Verschlüsselung und Signierung zu verwenden.
      Verschlüsselung und Signieren
      Tabelle : 2. Felder „Verschlüsselung und Signatur“.
      Eigenschaft Beschreibung
      Signaturschlüsselalias Geben Sie den Signaturalias des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Signaturschlüssel-Passwort Geben Sie das Signaturpasswort des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Verschlüsselungsschlüsselalias Geben Sie den Verschlüsselungsalias des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Passwort des Verschlüsselungsschlüssels Geben Sie das Verschlüsselungspasswort des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Assertion verschlüsseln Aktivieren Sie die Checkbox, um die Assertion in der SAML-Antwort zu verschlüsseln. Die für den IdP generierten Metadaten enthalten das x509-Zertifikat, mit dem der IdP die Assertion in der von ihm generierten SAML-Antwort verschlüsselt.
      Signaturalgorithmus für Signieren Geben Sie die URL ein, die auf den SAML 2.0-Identitätsanbieter AuthnRequest-Verbraucher für die eSignature-Authentifizierung verweist.
      AuthnRequest signieren Aktivieren Sie die Checkbox, um den Single Sign-on-Service des IdP für den Empfang einer signierten AuthnRequest zu aktivieren.
      LogoutRequest signieren Aktivieren Sie die Checkbox, damit der IdP Single Sign-on-Service signierte LogoutRequests empfangen kann.
      Abmeldeantwort signieren Aktivieren Sie die Checkbox, damit der Single Sign-on-Service des IdP eine signierte Abmeldeantwort erhalten kann.
    5. Wahlweise: Registerkarte Benutzerbereitstellung
      Registerkarte „Benutzerbereitstellung“
      Tabelle : 3. Benutzerbereitstellungsfelder
      Eigenschaft Beschreibung
      Automatische Bereitstellung von Benutzer Aktivieren Sie die automatische Benutzerbereitstellung. Erstellt die Benutzer basierend auf den vom IdP bereitgestellten Informationen, wenn der Benutzer nicht in der Benutzertabelle der Instanz vorhanden ist.
      Benutzerdatensatz bei jeder Anmeldung aktualisiere Aktualisiert Benutzerinformationen in der Benutzertabelle der Instanz mit den Informationen im IdP, jedes Mal, wenn sich der Benutzer mit SAML anmeldet.
    6. Wahlweise: Registerkarte „Erweitert“
      Registerkarte „Erweitert“.
      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Benutzerfeld Geben Sie das Feld in der Benutzertabelle ein, das den Wert enthält, den der IdP zum Identifizieren des Benutzers benötigt. Dies ist eine eindeutige ID als Teil der Antwort. Beispiele: Benutzername, Mitarbeiter-ID usw. In der Sys-Benutzertabelle wird diese eindeutige ID mit den Benutzerdetails abgeglichen.
      Attribut NameID Lassen Sie dieses Feld leer, es sei denn, Sie konfigurieren eine neue NameID-Richtlinie. Wenn Sie eine neue Richtlinie konfigurieren, benötigt das System die Benutzertabelle, die zum Identifizieren des Benutzers verwendet werden muss, der sich anmeldet. Das System gleicht das NameID-Token mit dem Namen dieses Benutzertabellenfelds ab.
      AuthnContextClass erstellen Aktivieren Sie die Checkbox, um eine bestimmte Kontextklasse anzugeben, z. B. Passwortgeschützte Übertragung. Wenn das Kontrollkästchen deaktiviert ist, wählt der IdP die am besten geeignete Kontextklasse aus.
      AuthnContextClassRef-Methode Geben Sie die URN des Anmeldemechanismus ein, den der IdP zur Authentifizierung von Benutzern verwenden soll.
      AuthnRequest erzwingen Aktivieren Sie die Checkbox, um das Auftreten von AuthnRequests zu erzwingen.
      Ist „Passive AuthnRequest“. Aktivieren Sie die Checkbox, wenn AuthnRequest passiv ist.
      Single Sign-on-Skript Wählen Sie das Single Sign-on-Skript aus. Der Standardwert ist MultiSSOV2_SAML2_custom.
      Abmeldeantwort signieren Geben Sie die Details der Abmeldeantwort in dieses Feld ein.
      Taktversatz Geben Sie die Anzahl der Sekunden zwischen den beiden Attributen ein, aus denen die SAMLResponse-Nonce besteht. Der Standardwert ist 60. Eine gültige SAMLResponse muss zwischen den Datums-/Uhrzeitwerten notBefore und notOnOrAfter liegen. Eine Beispiel-SAMLResponse-Nachricht finden Sie unter SAML 2-Beispielantwort mit den Elementen SubjectConfirmation und SubjectConfirmationData und SAML 2-Beispielantwort mit AudienceRestrictions- und Audience-Elementen.
      Protokollbindung für SingleLogoutReuqest des IdP Geben Sie einen der unterstützten Werte ein, die im Attribut „Binding“ aus dem SingleLogoutService-Element aufgeführt sind.
      Metadaten-URL, aus der IdP-Eigenschaften importiert werden Die IdP-Eigenschaften werden von dieser URL importiert. Wenn festgelegt, wird der automatische Import des SAML-Zertifikats vom IdP aktiviert, wenn das vorherige Zertifikat abgelaufen ist.
      Hinweis:
      Wenn Sie ein Upgrade von SAML2 Update 1 auf Multi-Provider-SSO durchführen oder Ihre SSO-Verbindung manuell einrichten, wird die IdP-Metadaten-URL nicht automatisch ausgefüllt.
      Anforderung Eine eindeutige ID als Teil der Anforderung. Die ID kann Benutzername, Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitungs- als auch die Nachbindung werden für die Anforderung unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.
      Antwort Eine eindeutige ID als Teil der Antwort. Die ID kann Benutzername, Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitung als auch die Nachbindung werden für die Antwort unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.