SAML SSO

App für Single-Sign-On

Die SAML SSO (Security Assertion Markup Language Single Sign-On) App ermöglicht es Benutzern, sich mit verschiedenen SSO-Anbietern, einschließlich Microsoft ADFS, bei Eliona anzumelden. Diese Einrichtung vereinfacht die Authentifizierung durch die Verwendung eines einzigen Satzes von Anmeldeinformationen.

Konfiguration

Der SAML 2.0 Service Provider wird durch die Definition eines oder mehrerer Authentifizierungsdaten konfiguriert:

AttributBeschreibung

id

Konfigurations-ID. Kann nur 1 sein

enable

Ob die Konfiguration aktiviert ist oder nicht

serviceProviderCertificate

Das Zertifikat dieses SAML Service Providers (SP). Kann ein selbstsigniertes x509-Zertifikat sein.

serviceProviderPrivateKey

Der private Schlüssel, der zum Zertifikat dieses SAML Service Providers (SP) passt. Verwenden Sie KEINE RSA-Schlüssellänge unter 2048

idpMetadataUrl

Die Metadaten-URL des Identity Providers (IdP), falls verfügbar. Andernfalls verwenden Sie die metadataXml, um die Metadaten des IdP direkt bereitzustellen und lassen dieses Feld leer

idpMetadataXml

Geben Sie die IdP-Metadaten-XML direkt an, falls Sie die idpMetadataUrl nicht zugänglich haben

ownUrl

Die eigene URL dieser Eliona-Instanz

userToArchive

Wenn aktiviert, wird der neu erstellte Benutzer archiviert und kann sich nicht anmelden, bis ein Administrator ihn aktiviert hat

allowInitializationByIdp

Ob die Konfiguration aktiviert ist oder nicht

signedRequest

Ob der SP eine signierte SAML Authn-Anfrage stellen soll oder nicht

forceAuthn

Normalerweise ist dieser Wert für einen SP auf false gesetzt. Wenn auf true gesetzt, muss sich der Benutzer erneut authentifizieren (beim IdP anmelden), auch wenn er eine gültige Sitzung beim IdP hat

entityId

Wenn Sie eine benutzerdefinierte Entity-ID verwenden müssen, können Sie sie hier überschreiben. Normalerweise kann der Standardwert unverändert bleiben

loginFailedUrl

Die URL, auf die umgeleitet wird, wenn die Anmeldung fehlschlägt. Wenn dieser Wert null ist, wird die Standardseite /noLogin angezeigt

Die Konfiguration erfolgt über eine entsprechende JSON-Struktur. Als Beispiel kann die folgende JSON-Struktur verwendet werden, um einen Endpunkt für App-Berechtigungen zu definieren:

{
  "id": 1,
  "enable": true,
  "serviceProviderCertificate": "-----BEGIN CERTIFICATE-----***-----END CERTIFICATE-----",
  "serviceProviderPrivateKey": "-----BEGIN PRIVATE KEY-----***-----END PRIVATE KEY-----",
  "idpMetadataUrl": "https://login.thirdparty-idp.example/federationmetadata/metadata.xml",
  "idpMetadataXml": null,
  "ownUrl": "https://my.eliona-instance.example",
  "userToArchive": false,
  "allowInitializationByIdp": false,
  "signedRequest": true,
  "forceAuthn": false,
  "entityId": "{ownUrl}/saml/metadata",
  "loginFailedUrl": "https://myFancyLogoutPage.example"
}

Konfigurationen können mit dieser Struktur in Eliona unter Apps > Exchange app > Einstellungen erstellt werden. Wählen Sie dazu den /configs Endpunkt mit der POST-Methode aus.

Nach Abschluss der Konfiguration startet die App die kontinuierliche Asset-Erstellung. Wenn alle erkannten Räume erstellt wurden, wird der Benutzer darüber im Benachrichtigungssystem von Eliona informiert.

Für detaillierte Konfigurationsschritte lesen Sie die Dokumentation Ihres SSO-Anbieters.

Microsoft ADFS-Einstellungen

Um Microsoft ADFS spezifisch zu konfigurieren, folgen Sie diesen Schritten:

  1. Registrieren Sie eine neue App in Azure

    • Gehen Sie zum Azure-Portal.

    • Navigieren Sie zu Azure Active Directory > App-Registrierungen > Neue Registrierung.

    • Geben Sie Ihren Anwendungsnamen und die Umleitungs-URI ein (z.B. https://customer.eliona.cloud/apps-public/saml-sso/, Plattform Web).

    • Klicken Sie auf Registrieren.

  2. Erstellen Sie ein Clientgeheimnis

    • Gehen Sie zu Zertifikate & Geheimnisse.

    • Klicken Sie unter Client-Geheimnisse auf Neues Clientgeheimnis.

    • Fügen Sie eine Beschreibung hinzu und setzen Sie einen Ablaufzeitraum, klicken Sie dann auf Hinzufügen.

    • Kopieren Sie den Wert des Clientgeheimnisses und speichern Sie ihn sicher. Sie benötigen ihn für die Eliona-Konfiguration und können ihn später nicht mehr abrufen.

  3. Konfigurationsdaten finden

    • Finden Sie die Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) auf der Übersichtsseite der App.

  4. ADFS-Einstellungen in Eliona konfigurieren

    • MS-Log-in: Aktivieren Sie die Schaltfläche "Anmelden über Microsoft", indem Sie die Konfiguration auf "Aktiviert" setzen.

    • Metadaten-URL: Geben Sie die Metadaten-URL aus Ihrem Microsoft Azure-Konto ein (zu finden unter App-Registrierung -> Endpunkte).

    • Eigene URL: Geben Sie die URL Ihres Eliona-Systems ein (z.B. https://customer.eliona.cloud).

    • Privater Schlüssel: Geben Sie den privaten Schlüssel im PEM-Format ein, der zu Ihrem Azure-Zertifikat passt (zu finden unter Zertifikate & Geheimnisse -> Zertifikat).

    • Zertifikat: Kann ein selbstgeneriertes Zertifikat sein.

Für detaillierte Schritte zur Registrierung einer App in Azure lesen Sie die offizielle Microsoft-Dokumentation.

Für weitere Informationen zur Erstellung und Verwaltung von Zertifikaten lesen Sie die Azure Key Vault-Dokumentation.

Last updated