SAML-Login

SAML-Login für Portale konfigurieren

Um Ihre lokalen Nutzer für die Authentifizierung in Ihren OXOMI-Portalen zu verwenden benötigen Sie das Upgrade "SAML-Login". Damit können Sie beim Portal alle nötigen Einstellungen vornehmen. Kenntnisse von SAML (Security Assertion Markup Language) und Active Directory werden vorausgesetzt.

Im OXOMI-Backend müssen SAML-Antragssteller, der zugehörige Index, die SAML-URL, der SAML-Provider Name, der SAML-Fingerprint und ein frei wählbarer Text für den Login-Button für lokale Nutzer angegeben werden:

Portal Einstellungen

Konfigurationsschritte in ADFS

Die passenden Einstellungen dazu müssen wiederum in ADFS (Active Directory Federation Services) vorgenommen werden, dort gehen Sie so vor:

Vertrauensstellung der vertrauenden Seite

Begeben Sie sich zu den "Vertrauensstellungen der vertrauenden Seite" (englisch: Standard Relying Party Trust) und wählen Sie rechts "Vertrauensstellung der vertrauenden Seite hinzufügen".

Vertrauensstellung der vertrauenden Seite hinzufügen

Wählen Sie nun "Ansprüche unterstützend".

Datenquelle auswählen

Im nächsten Fenster "Datenquelle auswählen" die manuelle Dateneingabe auswählen.

Anzeigename angeben

Als nächstes geben Sie einen Namen ein, mit dem Sie die Einstellungen auch in Zukunft wiedererkennen.

Zertifikat konfigurieren

Die folgenden Einstellungen zum Zertifikat können übersprungen werden.

URL Konfigurieren

In der URL-Konfiguration wählen Sie die Option zur Unterstützung von SAML 2.0. Dort ist die URL https://oxomi.com/saml/<PORTAL-CODE> zu hinterlegen. <PORTAL-CODE> muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/ folgt Ihr Code (bspw. hat unser Portal: https://oxomi.com/p/125/search den Code 125).

Wichtig: Es muss https genutzt werden, nicht http.

Bezeichner konfigurieren

Fügen Sie nun einen Bezeichner mit beliebigem Namen hinzu – dieser wird in OXOMI in das Feld "SAML-Antragssteller" eingetragen.

Zugriffssteuerungsrichtlinie auswählen

Die Zugriffssteuerungsrichtlinie können Sie nach eigenen Wünschen wählen.

Einstellungen überprüfen

Anschließend können Sie Ihre Einstellungen nochmals überprüfen. Nach der Fertigstellung wählen Sie "Anspruchausstellungsrichtlinie bearbeiten":

LDAP als Regelvorlage auswählen

Wählen Sie hier "LDAP-Attribute als Ansprüche senden".

LDAP Regel konfigurieren

Wählen Sie nun das Attribut, welches als Portalbenutzername der Nutzer in OXOMI fungieren soll. Es empfiehlt sich z.B. die E-Mail-Adresse. Optional können nun noch eine oder mehrere Regeln erstellt werden, um Attribute direkt als  Portalrollen festzulegen:

Gruppenmitlgliedschaft als Anspruch senden als Regelvorlage auswählen

Dafür wird die Vorlage "Gruppenmitgliedschaft als Anspruch senden" gewählt.

Gruppenmitlgliedschaft als Anspruch senden Regel konfigurieren

Wählen Sie die LDAP-Gruppe und definieren Sie als Typ "Gruppe". Bei "Wert des ausgehenden Anspruchs" werden eine oder mehrere Portalrollen (kommagetrennt) angegeben.

Der "SAML-Fingerprint" des Zertifikats kann mit dem PowerShell Befehl "Get-ADFSCertificate" ausgelesen werden. Relevant ist der Fingerprint des "Token-Signing"-Zertifikates.