Einen SAML-Authentifizierungsanbieter einrichten

Du kannst Authentifizierungs-Anbieter mit Deiner Plattform verknüpfen, um es Deinen Nutzern zu ermöglichen, sich mit ihren Firmen-Anmeldedaten anzumelden. Du kannst jeden Identitätsanbieter integrieren, der mit den Protokollen SAML 2.0 und OpenID kompatibel ist. Wenn Du SAML just-in-time verwendest, werden Nutzer während ihrer ersten Anmeldung importiert, wenn sie noch nicht auf Deiner Plattform existieren.

Dieser Artikel beschreibt die Schritte zur Einrichtung eines SAML-Authentifizierungs-Anbieters in Haiilo. Unten kannst Du ein Video-Tutorial zur Einrichtung von SAML für AD FS ansehen.

Du musst auch bestimmte Schritte in Deinem Identitätsanbieter abschließen, um die Verbindung abzuschließen. Um SAML in Deinem Identitätsanbieter zu konfigurieren, empfehlen wir, die Richtlinien für Deinen spezifischen Identitätsanbieter zu konsultieren.

Obwohl Haiilo selbst keine Zwei-Faktor-Authentifizierung anbietet, kannst Du einen SAML-Dienst dafür verwenden. Du musst sicherstellen, dass der Dienst ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.

Einrichten eines SAML-Authentifizierungs-Anbieters

Bei der Einrichtung eines SAML-Authentifizierungs-Anbieters kann dies nur auf ein Benutzerverzeichnis und die Nutzer dieses Verzeichnisses angewendet werden. Du benötigst die Berechtigung "Verwaltung der Authentifizierungs-Anbieter", um einen Authentifizierungs-Anbieter in Haiilo einzurichten.

  1. Gehe zu Administration > Authentifizierung
  2. Wähle Authentifizierungs-Anbieter erstellen
  3. Gib einen Namen ein. Der Name wird den Nutzern auf dem Anmeldebildschirm nach "Authentifizieren mit" angezeigt.
  4. Wähle einen Typ: SAML oder SAML just-in-time
  5. Markiere Aktiv
  6. Entscheide, ob Du Automatische Anmeldung verwenden möchtest. Dies leitet den Nutzer automatisch vom Anmeldebildschirm nach einigen Sekunden zum Identitätsanbieter um. Wenn Nutzer nicht umgeleitet werden möchten, können sie vor der Umleitung Als lokaler Nutzer anmelden auswählen.
  7. Entscheide, ob dieser Authentifizierungs-Anbieter Sitzungs-E-Mails für neue Anmeldungen sendet.
  8. Fülle die Felder auf jedem Tab wie unten beschrieben aus.

Allgemein

  1. Markiere nur AD FS, wenn Dein Microsoft Active Directory Federation Services verwendet.
  2. Gib die Entität ID, Authentifizierungs-URL und Logout-URL aus der metadata.xml Deines Identitätsanbieters ein.
  3. Wähle die Logout-Methode. Diese definiert, ob der Nutzer lokal (nur Haiilo) oder global (SAML-Abmeldung) abgemeldet wird, wenn er sich bei Haiilo abmeldet.
  4. Gib eine Antwortgültigkeit an, d.h. den Zeitrahmen für Anfragen. Wir empfehlen die Standarddauer von 300 Sekunden.
  5. Wähle das Benutzerverzeichnis aus, das diesen Authentifizierungs-Anbieter verwenden kann. Die Optionen hängen von Deinen Benutzerverzeichnis-Einstellungen ab.

Screenshot 2021-06-16 at 11.12.59.png

Anforderungs-Signierung

  1. Wenn Du die SAML-Anfrage mit einem Zertifikat und einem privaten Schlüssel signieren möchtest, aktiviere Anfragen signieren. Andernfalls überspringe diesen Tab.
  2. Gib ein Zertifikat und einen Privaten Schlüssel im PEM-Format ein. Du kannst ein selbstsigniertes Zertifikat verwenden. Das Zertifikat muss im ADFS-Server unter "Signing" in den Trust-Beziehungseinstellungen hinzugefügt werden.
  3. Wenn der private Schlüssel passwortgeschützt ist, gib das Passwort ein.

Antwortvalidierung

  1. Neben dem Signieren von Anfragen kannst Du auch die Antwort des SAML-Servers überprüfen. Füge dazu das Token-Signaturzertifikat des IdP-Servers im PEM-Format hinzu.
  2. Wenn Du diese Funktion nicht nutzen möchtest, aktiviere Deaktiviere Zertifikatsprüfung.

Just-in-time-Bereitstellung

Dieser Tab ist nur verfügbar, wenn Du den Typ SAML just in time auswählst.

  1. Definiere die Attribute, die für die Nutzer importiert werden. Die erforderlichen Werte findest Du in Deiner metadata.xml.
  2. Du kannst auch Profilfelder synchronisieren. Wähle die Profilfelder auf Haiilo aus und ordne sie entsprechend den Werten in Deiner metadata.xml zu.

Screenshot 2021-06-16 um 11.15.58.png

Abschließen

  1. Wähle Speichern, um die Haiilo-Endpunkte und die Metadaten-XML zu generieren. Nach dem Speichern erscheinen diese im Tab Allgemein.
  2. Füge die Informationen von Haiilo zu Deinem IdP hinzu. Haiilo richtet nur eine Weiterleitung zum IdP ein und erwartet dann eine SAML-Aussage, in der der Anmeldename (z. B. die E-Mail-Adresse) als NameID übergeben wird.
    • Für SAML just-in-time müssen die bereitgestellten Attribute auch in der SAML-Aussage konfiguriert sein.

War dieser Beitrag hilfreich?

1 von 4 fanden dies hilfreich