SAML SSO
Last updated
Last updated
Die SAML SSO (Security Assertion Markup Language Single Sign-On) App ermöglicht es Benutzern, sich mit verschiedenen SSO-Anbietern, einschließlich Microsoft ADFS, bei Eliona anzumelden. Diese Einrichtung vereinfacht die Authentifizierung durch die Verwendung eines einzigen Satzes von Anmeldeinformationen.
Hinweis: Dieser Abschnitt ist nur relevant, wenn Sie zuvor die ADFS-App verwendet haben und auf Eliona v13.2 oder neuer aktualisieren. Wenn Sie Eliona zum ersten Mal installieren, können Sie diesen Abschnitt überspringen.
Vor Eliona v13.2 wurde die "ADFS"-App für Single Sign-On (SSO) mit Azure verwendet. Ab v13.2 unterstützt Eliona eine breitere Palette von Identity Providern und implementiert das vollständige SAML-SSO-Protokoll. Daher wurde die "ADFS"-App durch die neue "SAML SSO"-App ersetzt.
Wichtig: Nach dem Upgrade auf Eliona v13.2 wird der ADFS-Login nicht mehr funktionieren. Um die SSO-Funktionalität wiederherzustellen, führen Sie die folgenden Schritte aus:
Installieren Sie die SAML SSO-App.
Überprüfen Sie die Konfiguration der SAML SSO-App. Diese sollte automatisch die vorherige ADFS-Konfiguration erkennen und übernehmen. (Die Konfigurationen beider Apps sollten ähnlich sein.)
Aktualisieren Sie in Ihrer Azure-Konfiguration die Reply-URL auf:
https://{your-eliona-domain.com}/apps-public/saml-sso/saml/acs
Stellen Sie sicher, dass die Entity ID in Ihrer Azure-Konfiguration mit der in der SAML SSO-App übereinstimmt.
Nachdem Sie diese Schritte abgeschlossen haben, testen Sie den Login-Prozess, um sicherzustellen, dass SSO ordnungsgemäß funktioniert. Nach erfolgreicher Überprüfung können Sie die ADFS-App sicher entfernen.
Der SAML 2.0 Service Provider wird durch die Definition eines oder mehrerer Authentifizierungsdaten konfiguriert:
id
Konfigurations-ID. Kann nur 1 sein
enable
Ob die Konfiguration aktiviert ist oder nicht
serviceProviderCertificate
Das Zertifikat dieses SAML Service Providers (SP). Kann ein selbstsigniertes x509-Zertifikat sein.
serviceProviderPrivateKey
Der private Schlüssel, der zum Zertifikat dieses SAML Service Providers (SP) passt. Verwenden Sie KEINE RSA-Schlüssellänge unter 2048
idpMetadataUrl
Die Metadaten-URL des Identity Providers (IdP), falls verfügbar. Andernfalls verwenden Sie die metadataXml, um die Metadaten des IdP direkt bereitzustellen und lassen dieses Feld leer
idpMetadataXml
Geben Sie die IdP-Metadaten-XML direkt an, falls Sie die idpMetadataUrl nicht zugänglich haben
ownUrl
Die eigene URL dieser Eliona-Instanz
userToArchive
Wenn aktiviert, wird der neu erstellte Benutzer archiviert und kann sich nicht anmelden, bis ein Administrator ihn aktiviert hat
allowInitializationByIdp
IdP-initiierte Assertions zulassen.
signedRequest
Ob der SP eine signierte SAML Authn-Anfrage stellen soll oder nicht
forceAuthn
Normalerweise ist dieser Wert für einen SP auf false gesetzt. Wenn auf true gesetzt, muss sich der Benutzer erneut authentifizieren (beim IdP anmelden), auch wenn er eine gültige Sitzung beim IdP hat
entityId
Eindeutiger Bezeichner URI, in der Regel basierend auf der Domäne des Tenants. Normalerweise kann der Standardwert unverändert bleiben
loginFailedUrl
Die URL, auf die umgeleitet wird, wenn die Anmeldung fehlschlägt. Wenn dieser Wert null ist, wird die Standardseite /noLogin angezeigt
Die Konfiguration erfolgt über eine entsprechende JSON-Struktur. Als Beispiel kann die folgende JSON-Struktur verwendet werden, um einen Endpunkt für App-Berechtigungen zu definieren:
Konfigurationen können mit dieser Struktur in Eliona unter Apps > SAML SSO app > Einstellungen
erstellt werden. Wählen Sie dazu den /configs Endpunkt mit der POST-Methode aus.
Für detaillierte Konfigurationsschritte lesen Sie die Dokumentation Ihres SSO-Anbieters.
Um Microsoft ADFS spezifisch zu konfigurieren, folgen Sie diesen Schritten:
Registrieren Sie eine neue App in Azure
Gehen Sie zum Azure-Portal.
Navigieren Sie zu Azure Active Directory > App-Registrierungen > Neue Registrierung.
Geben Sie Ihren Anwendungsnamen und die Umleitungs-URI ein (z.B. https://customer.eliona.cloud/apps-public/saml-sso/
, Plattform Web
).
Klicken Sie auf Registrieren.
Erstellen Sie ein Clientgeheimnis
Gehen Sie zu Zertifikate & Geheimnisse.
Klicken Sie unter Client-Geheimnisse auf Neues Clientgeheimnis.
Fügen Sie eine Beschreibung hinzu und setzen Sie einen Ablaufzeitraum, klicken Sie dann auf Hinzufügen.
Kopieren Sie den Wert des Clientgeheimnisses und sp2. **SAML-basiertes SSO konfigurieren** - Wählen Sie im Bereich **App-Registrierungen** Ihre Anwendung aus. - Gehen Sie unter **Verwalten** zu **Single Sign-On**. - Wählen Sie **SAML** als Methode für die einmalige Anmeldung.
Grundlegende SAML-Konfiguration einrichten - Identifikator (Entitäts-ID): Legen Sie hier eine eindeutige URI fest, die in der Regel auf der Domäne Ihres Mandanten oder einer anderen verifizierten Domäne basiert. Zum Beispiel `https://yourtenant.onmicrosoft.com/your-app-id`. Er muss nicht mit der tatsächlichen Domäne der Eliona-Instanz übereinstimmen. Kann auch über das Manifestfeld `„identifierUris“` gesetzt werden. - Reply URL (Assertion Consumer Service URL): Dies ist die URL, an die Azure AD die SAML-Antworten senden wird. Zum Beispiel: `https://customer.eliona.cloud/apps-public/saml-sso/saml/acs`. Zu finden unter Authentifizierung -> Plattformkonfigurationen. - Anmelde-URL Die URL, unter der sich Benutzer bei Ihrer Anwendung anmelden können.
Hochladen des öffentlichen Schlüsselzertifikats - Laden Sie unter SAML Signing Certificate das Public-Key-Zertifikat aus der Eliona SAML SSO App hoch.
Konfigurationsdaten finden
Finden Sie die Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) auf der Übersichtsseite der App.
ADFS-Einstellungen in Eliona konfigurieren
MS-Log-in: Aktivieren Sie die Schaltfläche "Anmelden über Microsoft", indem Sie die Konfiguration auf "Aktiviert" setzen.
Metadaten-URL: Geben Sie die Metadaten-URL aus Ihrem Microsoft Azure-Konto ein (zu finden unter App-Registrierung -> Übersicht -> Endpunkte).
Die XML-Metadaten-Datei enthält alle notwendigen Konfigurationsdetails wie Endpunkte und Zertifikatsinformationen. Die URL lautet normalerweise:
https://login.microsoftonline.com/{tenant-id}/FederationMetadata/2007-06/FederationMetadata.xml
Ersetzen Sie {tenant-id}
durch Ihre tatsächliche Tenant-ID.
Eigene URL: Geben Sie die URL Ihres Eliona-Systems ein (z.B. https://customer.eliona.cloud
).
Zertifikat: Kann ein selbstgeneriertes Zertifikat sein.
Für detaillierte Schritte zur Registrierung einer App in Azure lesen Sie die offizielle Microsoft-Dokumentation.