SAML SSO

App für SAML Single-Sign-On

Die SAML SSO (Security Assertion Markup Language Single Sign-On) App ermöglicht es Benutzern, sich mit verschiedenen SAML 2.0 SSO-Anbietern, einschließlich Microsoft ADFS, bei Eliona anzumelden. Diese Einrichtung vereinfacht die Authentifizierung durch die Verwendung eines einzigen Satzes von Anmeldeinformationen.

Migration von ADFS zu SAML SSO

Hinweis: Dieser Abschnitt ist nur relevant, wenn Sie zuvor die ADFS-App verwendet haben und auf Eliona v13.2 oder neuer aktualisieren. Wenn Sie Eliona zum ersten Mal installieren, können Sie diesen Abschnitt überspringen.

Vor Eliona v13.2 wurde die "ADFS"-App für Single Sign-On (SSO) mit Azure verwendet. Ab v13.2 unterstützt Eliona eine breitere Palette von Identity Providern und implementiert das vollständige SAML-SSO-Protokoll. Daher wurde die "ADFS"-App durch die neue "SAML SSO"-App ersetzt.

Wichtig: Nach dem Upgrade auf Eliona v13.2 wird der ADFS-Login nicht mehr funktionieren. Um die SSO-Funktionalität wiederherzustellen, führen Sie die folgenden Schritte aus:

  1. Installieren Sie die SAML SSO-App.

  2. Überprüfen Sie die Konfiguration der SAML SSO-App. Diese sollte automatisch die vorherige ADFS-Konfiguration erkennen und übernehmen. (Die Konfigurationen beider Apps sollten ähnlich sein.)

  3. Aktualisieren Sie in Ihrer Azure-Konfiguration die Reply-URL auf: https://{your-eliona-domain.com}/apps-public/saml-sso/saml/acs

  4. Stellen Sie sicher, dass die Entity ID in Ihrer Azure-Konfiguration mit der in der SAML SSO-App übereinstimmt.

Nachdem Sie diese Schritte abgeschlossen haben, testen Sie den Login-Prozess, um sicherzustellen, dass SSO ordnungsgemäß funktioniert. Nach erfolgreicher Überprüfung können Sie die ADFS-App sicher entfernen.

Konfiguration

Der SAML 2.0 Service Provider wird durch die Definition eines oder mehrerer Authentifizierungsdaten konfiguriert:

Attribut
Beschreibung

id

Konfigurations-ID. Kann nur 1 sein

enable

Ob die Konfiguration aktiviert ist oder nicht

serviceProviderCertificate

Das Zertifikat dieses SAML Service Providers (SP). Kann ein selbstsigniertes x509-Zertifikat sein.

serviceProviderPrivateKey

Der private Schlüssel, der zum Zertifikat dieses SAML Service Providers (SP) passt. Verwenden Sie KEINE RSA-Schlüssellänge unter 2048

idpMetadataUrl

Die Metadaten-URL des Identity Providers (IdP), falls verfügbar. Andernfalls verwenden Sie die metadataXml, um die Metadaten des IdP direkt bereitzustellen und lassen dieses Feld leer

idpMetadataXml

Geben Sie die IdP-Metadaten-XML direkt an, falls Sie die idpMetadataUrl nicht zugänglich haben

ownUrl

Die eigene URL dieser Eliona-Instanz

userToArchive

Wenn aktiviert, wird der neu erstellte Benutzer archiviert und kann sich nicht anmelden, bis ein Administrator ihn aktiviert hat

allowInitializationByIdp

IdP-initiierte Assertions zulassen.

signedRequest

Ob der SP eine signierte SAML Authn-Anfrage stellen soll oder nicht

forceAuthn

Normalerweise ist dieser Wert für einen SP auf false gesetzt. Wenn auf true gesetzt, muss sich der Benutzer erneut authentifizieren (beim IdP anmelden), auch wenn er eine gültige Sitzung beim IdP hat

entityId

Service provider Entity ID. Eindeutiger Bezeichner URI, in der Regel basierend auf der Domäne des Tenants. Normalerweise kann der Standardwert unverändert bleiben

loginFailedUrl

Die URL, auf die umgeleitet wird, wenn die Anmeldung fehlschlägt. Wenn dieser Wert null ist, wird die Standardseite /noLogin angezeigt

Die Konfiguration erfolgt über eine entsprechende JSON-Struktur. Als Beispiel kann die folgende JSON-Struktur verwendet werden, um einen Endpunkt für App-Berechtigungen zu definieren:

{
  "id": 1,
  "enable": true,
  "serviceProviderCertificate": "-----BEGIN CERTIFICATE-----***-----END CERTIFICATE-----",
  "serviceProviderPrivateKey": "-----BEGIN PRIVATE KEY-----***-----END PRIVATE KEY-----",
  "idpMetadataUrl": "https://login.thirdparty-idp.example/federationmetadata/metadata.xml",
  "idpMetadataXml": null,
  "ownUrl": "https://customer.eliona.cloud",
  "userToArchive": false,
  "allowInitializationByIdp": false,
  "signedRequest": true,
  "forceAuthn": false,
  "entityId": "{ownUrl}/saml/metadata",
  "loginFailedUrl": "{ownUrl}/logout"
}

Konfigurationen können mit dieser Struktur in Eliona unter Einstellungen > Apps > System > SAML SSO app erstellt werden. Wählen Sie dazu den /configs Endpunkt mit der POST-Methode aus.

Informationen zur Konfiguration auf Seiten des Anbieters finden Sie in der Dokumentation Ihres SSO-Anbieters.

Attribut-Zuordnung

Die Standard-Attribut-Zuordnung (geeignet für Azure AD) kann mit Hilfe des /configuration/attribute-mapping geändert werden.

{
  "uuid": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
  "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email",
  "firstName": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/firstName",
  "lastName": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/lastName",
  "phone": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/phoneNumber"
}

Wenn Sie E-Mail als Kennung verwenden möchten (empfohlen), lassen Sie das uuid-Feld leer. Wenn Sie eine andere eindeutige Benutzerkennung (z. B. UPN) verwenden möchten, füllen Sie das uuid-Feld mit dem Namen des SAML-Attributs aus.

Berechtigungszuordnung

Um die Zugriffskontrollliste zu übergeben, erlaubt die SAML SSO App die Zuweisung von Benutzerrollen während der Benutzererstellung.

Beispiel für die Einrichtung von Projektrollen:

Erstellen Sie zunächst die Projektrollen „Project user“ und „Project guest“ im Eliona Engineering Modul und konfigurieren Sie dann den Endpunkt /configuration/permission-mapping mit folgender Konfiguration:

{
  "defaultSystemRole": "System user",
  "defaultProjRole": "Project user",
  "defaultLanguage": "en",
  "projRoleSamlAttribute": "MemberOf", // SAML-Attributname mit Rollennamen
  "projRoleMap": [
    {
      "elionaRole": "Project user",
      "samlValue": "Manager"
    },
    {
      "elionaRole": "Project guest",
      "samlValue": "Guest"
    }
  ]
}

Azure AD als SAML-SSO-Identitätsanbieter

Um Azure Active Directory (Azure AD) speziell für SAML-basiertes Single Sign-On (SSO) zu konfigurieren, folgen Sie diesen Schritten:

  1. Erstellen Sie eine Unternehmensanwendung in Azure AD

    • Gehen Sie zum Azure-Portal.

    • Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen. (Hinweis: App-Registrierungen sind für den OAuth/OIDC-Workflow, während Unternehmensanwendungen für SAML sind.)

    • Klicken Sie auf Neue Anwendung und wählen Sie dann "Eigene Anwendung erstellen".

    • Geben Sie den Namen Ihrer Anwendung ein und wählen Sie "Jede andere Anwendung integrieren, die Sie nicht in der Galerie finden".

    • Klicken Sie auf Erstellen.

  2. Single Sign-On (SAML) konfigurieren

    • In Ihrer Unternehmensanwendung wählen Sie unter Verwalten die Option Single Sign-On.

    • Wählen Sie SAML als Single Sign-On-Methode.

  3. Grundlegende SAML-Konfiguration einrichten

    • Klicken Sie auf Bearbeiten im Bereich Grundlegende SAML-Konfiguration.

      • Kennung (Entity ID): Setzen Sie dies auf eine eindeutige URI, in der Regel basierend auf der Domäne Ihres Mandanten oder einer anderen verifizierten Domäne. Beispiel: yourtenant.onmicrosoft.com/your-app-id. Muss nicht der tatsächlichen Eliona-Instanzdomäne entsprechen. Kann auch über das Manifestfeld "identifierUris" gesetzt werden.

      • Antwort-URL (Assertion Consumer Service URL): Geben Sie die URL ein, an die Azure AD SAML-Antworten sendet, z. B.: https://customer.eliona.cloud/apps-public/saml-sso/saml/acs.

  4. Azure AD-Metadaten herunterladen

    • Im Abschnitt SAML-Signaturzertifikat laden Sie die Datei Federation Metadata XML herunter oder kopieren Sie die bereitgestellte Metadaten-URL:

    https://login.microsoftonline.com/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml

    • Ersetzen Sie {tenant-id} durch Ihre tatsächliche Azure AD-Mandanten-ID.

  5. Benutzer und Gruppen zuweisen

    • Unter Benutzer und Gruppen weisen Sie Benutzer oder Gruppen zu, die sich über SAML bei Eliona authentifizieren dürfen.

  6. SAML-SSO-Einstellungen in Eliona konfigurieren

    • MS-Login: Aktivieren Sie die Login-Schaltfläche "über Microsoft", indem Sie die Konfiguration auf "Aktiviert" setzen.

    • Metadaten-URL: Geben Sie die aus Azure AD kopierte Metadaten-URL ein (siehe Schritt 4).

    • Eigene URL: Geben Sie die URL Ihrer Eliona-Instanz ein (z. B. https://customer.eliona.cloud).

    • Entity ID: Setzen Sie die Entity ID aus Schritt 3.

    • Zertifikat: Optional können Sie ein selbst erstelltes Zertifikat zur Sicherung der Kommunikation verwenden.

Für eine detailliertere Anleitung verweisen Sie auf die offizielle Microsoft Azure SAML-Dokumentation.

PreviousROOMZNextSignify

Last updated

Was this helpful?