SAML 2.0-Konfiguration mit Mehrfachanbieter-SSO

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • Sie können eine SAML 2.0-SSO-Konfiguration mit der Mehrfachanbieter-SSO-Funktion erstellen oder aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Neu im Release Jakarta : Bevor Sie Ihre IdP-Konfiguration aktivieren können, müssen Sie Ihre Konfiguration mithilfe der Testverbindungsfunktion validieren. Sie können die Aktualisierungsfunktion weiterhin verwenden, um Ihre Konfigurationsdaten zu speichern. Ohne eine erfolgreiche Testverbindung ist dies jedoch keine aktive Konfiguration.

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provideran.
    2. Sie haben folgende Möglichkeiten.
      • Klicken Sie auf einen SSO-Konfigurationsdatensatz, um eine Konfiguration zu aktualisieren.
      • Klicken Sie auf, um eine neue Konfiguration zu erstellen Neu > SAMLan.
    3. Geben Sie die IdP-Informationen mit einer der folgenden Methoden ein.
      OptionBezeichnung
      Unter Verwendung einer Metadaten-Deskriptor-URL Aktivieren Sie das Kontrollkästchen URL, und geben Sie die URL des von Ihnen verwendeten IdP ein.
      Verwenden der Metadaten-Deskriptor-XML-Datei Klicken Sie auf das Kontrollkästchen XML, und fügen Sie die XML-Daten ein, die von dem von Ihnen verwendeten IdP generiert wurden.
      Metadaten werden manuell eingegeben Schließen Sie das Popup-Fenster, und geben Sie die Daten manuell in die Eigenschaftsfelder ein.
      Alle Pflichtfelder müssen im Formular „Identitätsanbieter“ ausgefüllt werden. IdP-Formular
      Tabelle : 1. Single Sign-on-Felder für mehrere Provider
      Eigenschaft Erforderlich Beschreibung
      Name Ja Geben Sie den Namen für den IdP ein. Dieser IdP ist die Sys-ID für die automatische Umleitung.
      Aktiv Ja „Aktiv“ muss für den IdP, der für die Authentifizierung verwendet werden soll, auf „wahr“ festgelegt werden.
      Hinweis:
      Die Option zum Festlegen dieser Eigenschaft ist nur nach einer erfolgreichen Testverbindung verfügbar.
      Standard Nein Der IdP mit automatischer Weiterleitung (früher als primärer IdP bezeichnet) leitet Benutzer automatisch zum Zugriff auf die Basisinstanz-URL um. Diese Eigenschaft legt diese IdP-Konfiguration als Standard fest.
      Automatische IdP-Weiterleitung Nein Legt diese IdP-Konfiguration als automatische IdP-Weiterleitung fest.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Weiterleitung aktivieren, wird das Cookie glide_sso_id mit dem neuen IdP für die automatische Weiterleitung aktualisiert. Die Systemeigenschaft glide.authenticate.sso.update.idp.cookie, die automatisch aktiviert ist, steuert diese Funktion.
      URL des Identitätsanbieters Ja Geben Sie die URL zu Ihrem IdP ein. Jede IdP-URL muss eindeutig sein.
      AuthnRequest des Identitätsanbieters Ja Geben Sie die URL für die HTTP-Redirect-Bindung ein, die Sie vom Element „SingleSignOnService“ erhalten haben.
      SingleLogoutRequest des Identitätsanbieters Nein Geben Sie die URL ein, die Sie vom Element SingleLogoutService erhalten haben.
      ServiceNow Homepage Ja Geben Sie die URL, einschließlich Anmeldeseite, der Instanz ein, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/navpage.do
      Entitäts-ID/Aussteller Ja Geben Sie die Basis-URL ohne Anmeldeseite ein. der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      Zielgruppen-URI Ja Geben Sie die Basis-URL ohne Anmeldeseite ein. der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      NameID-Richtlinie Ja Geben Sie den Wert des NameIDFormat-Elements ein, das die Integration verwendet.
      Weiterleitung für externe Abmeldung Nein Geben Sie die URL ein, an die die Integration Anwender nach der Abmeldung weiterleitet.
      Fehlerhafte Anforderungsumleitung Nein Geben Sie die URL für die Umleitung von fehlgeschlagenen Authentifizierungsanforderungen ein. Standardmäßig ist dies der URL-Endpunkt einer im IdP konfigurierten Fehlerseite oder Abmeldeseite. Sie können diesen Wert im Feld glide.authenticate.failed_requirement_redirect ausfüllen.
      Clienttyp Nein Wählen Sie den Clienttyp basierend auf dem Typ Ihres Clients aus. Optionen:IFrame Eingebettet.
      Hinweis:
      Wenn das Feld „Clienttyp“ für Ihre Konfiguration erforderlich ist, können Sie das Formular bearbeiten und das Feld hinzufügen. Weitere Informationen finden Sie unter Konfigurieren Sie den Clienttyp für OAuth- und SSO-Datensätze.
    4. Wahlweise: Registerkarte „Verschlüsselung und Signierung“.
      Hinweis:
      • Es wird empfohlen, eigene Zertifikate für die Verschlüsselung und Signierung zu verwenden.
      • Der von FIPS genehmigte Modus erfordert unterschiedliche Zertifikate für Verschlüsselung und Signatur
      • Stellen Sie bei der Verwendung der Zertifikate sicher, dass Sie die folgenden Systemeigenschaften mit der sys_id der Zertifikate (x.509-Zertifikate) aktualisieren:
        • Signieren (glide.authenticate.sso.saml2.keystore)
        • Verschlüsselung (glide.authenticate.sso.saml2.encryption.keystore)
      • Stellen Sie sicher, dass Sie den Schlüsselalias und das Schlüsselpasswort der Signier- und Verschlüsselungsschlüsselspeicher im Identitätsanbieter-Datensatz aktualisieren, und generieren Sie die Metadaten (Wählen Sie Metadaten generierenaus).
      • Laden Sie die in den generierten Metadaten (XML) vorhandenen Signatur- und Verschlüsselungszertifikate zum Identitätsanbieter hoch.
      Verschlüsselung und Signatur
      Tabelle : 2. Felder für Verschlüsselung und Signatur
      Eigenschaft Beschreibung
      Signaturschlüsselalias Geben Sie den Signaturalias des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Signaturschlüssel-Passwort Geben Sie das Signaturpasswort des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Verschlüsselungsschlüsselalias Geben Sie den Verschlüsselungsalias des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Passwort des Verschlüsselungsschlüssels Geben Sie das Verschlüsselungspasswort des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags ein.
      Assertion verschlüsseln Aktivieren Sie das Kontrollkästchen, um die Assertion in der SAML-Antwort zu verschlüsseln. In den für den IdP generierten Metadaten ist das x509-Zertifikat eingebettet, das der IdP zum Verschlüsseln der Assertion in der von ihm generierten SAML-Antwort verwendet.
      Signaturalgorithmus für Signieren Geben Sie die URL ein, die auf den AuthnRequest-Verbraucher des SAML 2.0-Identitätsanbieters für die eSignature-Authentifizierung verweist.
      AuthnRequest signieren Aktivieren Sie das Kontrollkästchen, um den Empfang des signierten AuthnRequest für den IdP-Single Sign-on-Service zu aktivieren.
      LogoutRequest signieren Aktivieren Sie das Kontrollkästchen, um den Empfang des signierten LogoutRequest für den IdP-Single Sign-on-Service zu aktivieren.
      Abmeldeantwort signieren Aktivieren Sie das Kontrollkästchen, um dem IdP-Single-Sign-on-Service den Empfang einer signierten Abmeldeantwort zu ermöglichen.
    5. Wahlweise: Registerkarte Anwenderbereitstellung
      Registerkarte „Anwenderbereitstellung“.
      Tabelle : 3. Felder für die Anwenderbereitstellung
      Eigenschaft Beschreibung
      Automatische Bereitstellung von Anwender Aktiviert die automatische Anwenderbereitstellung und erstellt die Anwender, wenn der Anwender in der Instanzanwendertabelle basierend auf den vom IdP bereitgestellten Informationen nicht vorhanden ist.
      Anwenderdatensatz bei jeder Anmeldung aktualisiere Aktualisiert jedes Mal, wenn sich der Anwender mit SAML anmeldet, die Anwenderinformationen in der Instanzanwendertabelle mit den Informationen im IdP.
    6. Wahlweise: Registerkarte „Erweitert“
      Registerkarte „Erweitert“.
      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Anwenderfeld Geben Sie das Feld in der Anwendertabelle ein, das den Wert enthält, den der IdP zum Identifizieren des Anwenders benötigt. Dies ist eine eindeutige ID als Teil der Antwort. Zum Beispiel Anwendername, Mitarbeiter-ID usw. In der Sys-Benutzertabelle wird diese eindeutige ID mit den Benutzerdetails abgeglichen.
      Attribut NameID Lassen Sie dieses Feld leer, es sei denn, Sie konfigurieren eine neue NameID-Richtlinie. Wenn Sie eine neue Richtlinie konfigurieren, benötigt das System die Benutzertabelle, die es verwenden muss, um den Benutzer zu identifizieren, der sich anmeldet. Das System gleicht das NameID-Token mit dem Namen des entsprechenden Benutzertabellenfelds ab.
      AuthnContextClass erstellen Aktivieren Sie das Kontrollkästchen, um eine bestimmte Kontextklasse anzugeben, z. B. Passwortgeschützter Transport. Wenn das Kontrollkästchen deaktiviert ist, wählt der IdP die am besten geeignete Kontextklasse aus.
      AuthnContextClassRef-Methode Geben Sie die URN des Anmeldemechanismus ein, den der IdP zur Authentifizierung von Anwendern verwenden soll.
      AuthnRequest erzwingen Aktivieren Sie das Kontrollkästchen, um AuthnRequests zu erzwingen.
      Ist passive AuthnRequest Aktivieren Sie das Kontrollkästchen, wenn AuthnRequest passiv ist.
      Single Sign-on-Skript Wählen Sie das Single Sign-on-Skript aus. Der Standardwert ist MultiSSOV2_SAML2_custom.
      Abmeldeantwort signieren Geben Sie in dieses Feld die Details für die Abmeldeantwort ein.
      Taktversatz Geben Sie die Anzahl der Sekunden zwischen den beiden Attributen ein, die die SAMLResponse-Nonce bilden. Der Standardwert ist 60. Eine gültige SAML-Antwort muss zwischen den Datums-/Zeit-Werten von „notBefore“ und „notOnOrAfter“ liegen. Eine Beispiel-SAML-Antwortnachricht finden Sie unter Beispiel-SAML-2-Antwort mit den Elementen SubjectConfirmation und SubjectConfirmationData sowie Beispiel-SAML-2-Antwort mit den Elementen AudienceRestrictions und Audience.
      Protokollbindung für „SingleLogoutReuqest“ des IdP Geben Sie einen der unterstützten Werte ein, die im Bindungsattribut des Elements SingleLogoutService aufgeführt sind.
      Metadaten-URL, aus der IDP-Eigenschaften importiert werden Die IdP-Eigenschaften werden von dieser URL importiert. Wenn festgelegt, wird der automatische Import des SAML-Zertifikats vom IdP aktiviert, wenn das vorherige Zertifikat abgelaufen ist.
      Hinweis:
      Wenn Sie ein Upgrade von SAML2 Update 1 auf Multi-Provider-SSO durchführen oder Ihre SSO-Verbindung manuell einrichten, wird die URL für die IdP-Metadaten nicht automatisch ausgefüllt.
      Anforderung Eine eindeutige ID als Teil der Anforderung. Die ID kann ein Anwendername, eine Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Weiterleitung als auch die Nachbindung werden für die Anforderung unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.
      Antwort Eine eindeutige ID als Teil der Antwort. Die ID kann ein Anwendername, eine Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitung als auch die Nachbindung werden für die Antwort unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.