SAML 2,0-Konfiguration mit Multi-Provider-SSO

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Sie können eine SAML 2,0 SSO-Konfiguration über die Multi-Provider-SSO-Funktion erstellen oder aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Neu in Jakarta Release, müssen Sie Ihre Konfiguration mit der Funktion „Verbindung testen“ validieren, bevor Sie Ihre IdP-Konfiguration aktivieren können. Sie können weiterhin die Funktionalität „Aktualisieren“ verwenden, um Ihre Konfigurationsdaten zu speichern, aber es handelt sich nicht um eine aktive Konfiguration ohne erfolgreiche Testverbindung.

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provideran.
    2. Sie haben folgende Möglichkeiten.
      • Um eine Konfiguration zu aktualisieren, klicken Sie auf einen SSO-Konfigurationsdatensatz.
      • Klicken Sie auf, um eine neue Konfiguration zu erstellen Neu > SAMLan.
    3. Geben Sie die IdP-Informationen mit einer der folgenden Methoden ein.
      OptionBezeichnung
      Mit einer Metadaten-Deskriptor-URL Klicken Sie auf das Kontrollkästchen URL, und geben Sie die URL des verwendeten IdP ein.
      XML-Datei des Metadatendeskriptors wird verwendet Klicken Sie auf das Kontrollkästchen XML, und fügen Sie die XML-Daten ein, die aus dem verwendeten IdP generiert wurden.
      Metadaten werden manuell eingegeben Schließen Sie das Popup-Fenster, und geben Sie die Daten manuell in die Eigenschaftsfelder ein.
      Hinweis:
      Alle Pflichtfelder müssen im Formular „Identitätsanbieter“ ausgefüllt werden.
      Tabelle : 1. Single Sign-on-Felder für mehrere Anbieter
      Eigenschaft Erforderlich Beschreibung
      Name Ja Geben Sie den Namen für den IdP ein. Dieser IdP ist die SYS-ID der automatischen Umleitung
      Aktiv Ja „Aktiv“ muss auf „wahr“ festgelegt werden, damit der IdP für die Authentifizierung verwendet werden soll.
      Hinweis:
      Die Option zum Festlegen dieser Eigenschaft erfolgt erst nach einer erfolgreichen Testverbindung.
      Standard Nein Der IdP für automatische Umleitung, früher als primärer IdP bekannt, leitet Anwender automatisch um, um auf die Basisinstanz-URL zuzugreifen. Diese Eigenschaft legt diese IdP-Konfiguration als Standard fest.
      Automatische IdP-Weiterleitung Nein Legt diese IdP-Konfiguration als IdP für automatische Umleitung fest.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Umleitung aktivieren, wird die aktiviert glide_sso_id Cookie-Updates mit dem neuen automatischen Umleitungs-IdP. Die glide.authenticate.sso.update.idp.cookieDie Systemeigenschaft, die automatisch aktiviert ist, steuert diese Funktion.
      URL des Identitätsanbieters Ja Geben Sie die URL für Ihren IdP ein. Jede IdP-URL muss eindeutig sein.
      AuthnRequest des Identitätsanbieters Ja Geben Sie die URL für die HTTP-Umleitungsbindung ein, die aus dem SingleSignOnService-Element abgerufen wurde.
      SingleLogoutRequest des Identitätsanbieters Nein Geben Sie die URL ein, die aus dem SingleLogoutService-Element abgerufen wurde.
      ServiceNow Homepage Ja Geben Sie die URL, einschließlich Anmeldeseite, der Instanz ein, für die sich der IdP authentifiziert. Beispiel: https://yourinstance.service-now.com/navpage.do
      Entitäts-ID/Aussteller Ja Geben Sie die Basis-URL ohne Anmeldeseite ein. Der Instanz, für die sich der IdP authentifiziert. Beispiel: https://yourinstance.service-now.com/
      Zielgruppen-URI Ja Geben Sie die Basis-URL ohne Anmeldeseite ein. Der Instanz, für die sich der IdP authentifiziert. Beispiel: https://yourinstance.service-now.com/
      NameID-Richtlinie Ja Geben Sie den Wert des NameIDFormat-Elements ein, das die Integration verwendet.
      Weiterleitung für externe Abmeldung Nein Geben Sie die URL ein, an die die Integration Anwender weiterleitet, nachdem sie sich abgemeldet haben.
      Fehlerhafte Anforderungsumleitung Nein Geben Sie die URL für die Umleitung fehlgeschlagener Authentifizierungsanforderungen ein. Standardmäßig ist dies der URL-Endpunkt einer Fehlerseite oder Abmeldeseite, die im IdP konfiguriert ist. Sie können diesen Wert im Feld glide.authenticate.failed_requirement_redirect ausfüllen.
      Client-Typ Nein Wählen Sie den Client-Typ basierend auf dem Typ Ihres Clients aus. Optionen: Iframe Eingebettet .
      Hinweis:
      Wenn das Feld „Client-Typ“ für Ihre Konfiguration erforderlich ist, können Sie das Formular bearbeiten und das Feld hinzufügen. Weitere Informationen finden Sie unter Konfigurieren Sie den Clienttyp für OAuth- und SSO-Datensätze.
    4. Wahlweise: Registerkarte „Verschlüsselung und Signatur“
      Hinweis:
      • Es wird empfohlen, eigene Zertifikate für die Verschlüsselung und Signierung zu verwenden.
      • Die FIPS-genehmigter Modus Erfordert verschiedene Zertifikate für Verschlüsselung Und Signieren
      • Achten Sie bei der Verwendung der Zertifikate darauf, die folgenden Systemeigenschaften mit der sys_ID der Zertifikate (x.509-Zertifikate) zu aktualisieren:
        • Signieren ( glide.authenticate.sso.saml2.keystore )
        • Verschlüsselung ( glide.authenticate.sso.saml2.encryption.keystore )
      • Stellen Sie sicher, dass Sie den Schlüsselalias und das Schlüsselpasswort des aktualisieren Signieren Und Verschlüsselung Schlüsselspeicher im Identitätsanbieter-Datensatz und generieren die Metadaten (Auswählen Generieren Sie Metadaten ).
      • Laden Sie die in den generierten Metadaten (XML) vorhandenen Signier- und Verschlüsselungszertifikate zum Identitätsanbieter hoch.
      Verschlüsselung Und Signatur
      Tabelle : 2. Verschlüsselungs- und Signaturfelder
      Eigenschaft Beschreibung
      Signaturschlüsselalias Geben Sie den Signaturalias des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Signaturschlüssel-Passwort Geben Sie das Signaturpasswort des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Verschlüsselungsschlüsselalias Geben Sie den Verschlüsselungsalias des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Passwort des Verschlüsselungsschlüssels Geben Sie das Verschlüsselungspasswort des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Assertion verschlüsseln Aktivieren Sie das Kontrollkästchen, um die Assertion in der SAML-Antwort zu verschlüsseln. Die für den IDP generierten Metadaten bettet das x509-Zertifikat ein, das der IDP verwendet, um die Assertion in der von ihm generierten SAML-Antwort zu verschlüsseln.
      Signaturalgorithmus für Signieren Geben Sie die URL ein, die auf den SAML 2,0-Identitätsanbieter AuthnRequest-Verbraucher für eSignature-Authentifizierung verweist.
      AuthnRequest signieren Aktivieren Sie das Kontrollkästchen, um zu aktivieren, dass der IdP-Single Sign-on-Service eine signierte AuthnRequest erhält.
      LogoutRequest signieren Aktivieren Sie das Kontrollkästchen, um zu aktivieren, dass der IdP-Single-Sign-on-Service eine signierte LogoutRequest erhält.
      Abmeldeantwort signieren Aktivieren Sie das Kontrollkästchen, um zu aktivieren, dass der IdP-Single-Sign-on-Service eine signierte Abmeldeantwort erhält.
    5. Wahlweise: Registerkarte „Anwenderbereitstellung“
      Tabelle : 3. Felder „Anwenderbereitstellung“
      Eigenschaft Beschreibung
      Automatische Bereitstellung von Anwender Aktivieren Sie die automatische Anwenderbereitstellung. Erstellt die Anwender, wenn der Anwender basierend auf den vom IdP bereitgestellten Informationen nicht in der Instanz-Anwendertabelle vorhanden ist.
      Anwenderdatensatz bei jeder Anmeldung aktualisiere Aktualisiert Anwenderinformationen in der Instanzanwendertabelle jedes Mal, wenn sich der Anwender mit SAML anmeldet, mit den Informationen im IdP.
    6. Wahlweise: Registerkarte „Erweitert“
      Registerkarte „Erweitert“
      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Anwenderfeld Geben Sie das Feld in der Anwendertabelle ein, das den Wert enthält, den der IdP zur Identifizierung des Anwenders benötigt. Dies ist eine eindeutige ID als Teil der Antwort. Zum Beispiel Anwendername, Mitarbeiter-ID usw. In der SYS-Anwendertabelle wird diese eindeutige ID mit den Anwenderdetails abgeglichen.
      Attribut NameID Lassen Sie dieses Feld leer, es sei denn, Sie konfigurieren eine neue NameID-Richtlinie. Wenn Sie eine neue Richtlinie konfigurieren, benötigt das System die Anwendertabelle, die es verwenden muss, um den Anwender zu identifizieren, der sich anmeldet. Das System stimmt das NameID-Token mit dem Namen dieses Anwendertabellenfelds hier ab.
      AuthnContextClass erstellen Aktivieren Sie das Kontrollkästchen, um eine bestimmte Kontextklasse anzugeben, z. B. passwortgeschützter Transport. Wenn das Kontrollkästchen deaktiviert ist, wählt der IdP die am besten geeignete Kontextklasse aus.
      AuthnContextClassRef-Methode Geben Sie den URN des Anmeldemechanismus ein, den der IdP zur Authentifizierung von Anwendern verwenden soll.
      AuthnRequest erzwingen Aktivieren Sie das Kontrollkästchen, um das Auftreten von AuthnRequests zu erzwingen.
      Ist passive AuthnRequest Aktivieren Sie das Kontrollkästchen, wenn AuthnRequest passiv ist.
      Single Sign-on-Skript Wählen Sie das Single Sign-on-Skript aus. Der Standardwert ist MultiSSOV2_SAML2_custom .
      Abmeldeantwort signieren Geben Sie die Details der Abmeldeantwort in dieses Feld ein.
      Taktversatz Geben Sie die Anzahl der Sekunden zwischen den beiden Attributen ein, aus denen die SAMLResponse-Nonce besteht. Der Standardwert ist 60. Eine gültige SAMLResponse muss zwischen liegen Nicht vorher Und NotOnOrAfter Datums-/Uhrzeitwerte. Siehe Beispiel für SAML 2-Antwort mit den Elementen SubjectConfirmation und SubjectConfirmationData und Beispiel für SAML 2-Antwort mit den Elementen AudienceRestrictions und Zielgruppe für eine Beispiel-SAMLResponse-Nachricht.
      Protokollbindung für SingleLogoutReuqest des IDP Geben Sie einen der unterstützten Werte ein, die im Bindungsattribut aus dem SingleLogoutService-Element aufgeführt sind.
      Metadaten-URL, aus der IDP-Eigenschaften importiert werden Die IdP-Eigenschaften werden aus dieser URL importiert. Wenn festgelegt, wird der automatische Import von SAML-Zertifikaten aus dem IdP aktiviert, wenn das vorherige Zertifikat abgelaufen ist.
      Hinweis:
      Wenn Sie ein Upgrade von SAML2 Update 1 auf Multi-Provider-SSO durchführen oder Ihre SSO-Verbindung manuell einrichten, wird die IdP-Metadaten-URL nicht automatisch ausgefüllt.
      Anforderung Eine eindeutige ID als Teil der Anforderung. Die ID kann Anwendername, Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl Umleitung als auch Post-Bindung werden für die Anforderung unterstützt. Die Option zum Festlegen dieses Felds wird erst nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter Testen Sie IdP-Verbindungen.
      Antwort Eine eindeutige ID als Teil der Antwort. Die ID kann Anwendername, Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl Umleitung als auch Post-Bindung werden für die Antwort unterstützt. Die Option zum Festlegen dieses Felds wird erst nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter Testen Sie IdP-Verbindungen.
    7. Wahlweise: Konfigurieren Sie auf der Registerkarte kontinuierliche Authentifizierung die folgenden Felder:
      Hinweis:
      • Die Registerkarte kontinuierliche Authentifizierung wird nur angezeigt, wenn Sie installieren Zero Trust: Kontinuierliche Authentifizierung ( Com.snc.Zero_Trust_Continuous_authentication ) Plugin, das eine Lizenz erfordert.
      • Wenn Sie die Richtlinie für die kontinuierliche Authentifizierung verwenden, um den Zugriff auf die Tabelle oder Datenklasse zu schützen, finden Sie weitere Informationen unter Kontinuierliche Authentifizierung (CA).
      Kontinuierliche Authentifizierung: Registerkarteninformationen
      Tabelle : 5. Kontinuierliche Authentifizierung
      Feld Beschreibung
      Kontinuierliche Authentifizierung konfiguriert Aktivieren Sie das Kontrollkästchen, um die Konfiguration aktiv zu machen.
      Verbraucher-URL für kontinuierliche Authentifizierung Geben Sie die Verbraucher-URL vom Identitätsanbieter an.
      Skript für kontinuierliche Authentifizierung

      Wählen Sie das Suchsymbol aus, um das von der Plattform bereitgestellte Skript auszuwählen. In dieser Konfiguration für SAML: MultiSSOv2_SAML2_ContinuousAuth_custom