Das WordPress OAuth & OpenID Connect Single Sign-On (SSO)-Plugin ermöglicht die sichere Anmeldung bei WordPress mit ADFS als OAuth- und OpenID Connect-Anbieter. Sie können das Plugin auch mit verschiedenen benutzerdefinierten Anbietern und Standard-IDPs konfigurieren. Es unterstützt erweiterte Single Sign-On (SSO)-Funktionen wie die Zuordnung von Benutzerprofilattributen, Rollenzuordnung usw. Hier werden wir eine Anleitung zum Konfigurieren von SSO zwischen WordPress und ADFS durchgehen. Am Ende dieses Handbuchs sollten Benutzer in der Lage sein, sich über ADFS bei WordPress anzumelden. Um mehr über andere Funktionen zu erfahren, die wir im WP OAuth Single Sign-On-Plugin (OAuth & OpenID Connect Client) bereitstellen, können Sie hier klicken Klicke hier.

Voraussetzungen: Download und Installation

• Melden Sie sich als Administrator bei Ihrer WordPress-Instanz an.
• Gehen Sie zu WordPress Dashboard -> Plugins und klicken Sie auf Neu hinzufügen.
• Suche nach einem WordPress OAuth Single Sign-On (SSO) Plugin und klicken Sie auf <>Jetzt installieren.
• Klicken Sie nach der Installation auf Mehr erfahren.

Schritte zum Konfigurieren der ADFS Single Sign-On (SSO)-Anmeldung bei WordPress

1. Richten Sie ADFS als OAuth-Anbieter ein

• Um SSO mit ADFS als Anbieter durchzuführen, muss Ihre Anwendung https-fähig sein.
• Navigieren Server Manager Dashboard->Tools->ADFS-Verwaltung.

• Navigieren ADFS->Anwendungsgruppen. Rechtsklick auf Anwendungsgruppen & klicke auf Anwendungsgruppe hinzufügen dann eingeben Anwendungsname. Wählen Server-Anwendung & klicke auf weiter.

• Kopieren Client-ID. Dies ist dein Kunden-ID. Hinzufügen Rückruf-URL in URL umleiten. Das können Sie bekommen Rückruf-URL vom miniOrange OAuth Client Single Sign-On (SSO)-Plugin. Klicke auf weiter.

• Klicken Sie auf Generieren Sie ein gemeinsames Geheimnis. Kopiere das Geheimer Wert. Dies ist dein Kundengeheimnis. Klicken Sie auf Weiter.

• Auf dem Zusammenfassung Bildschirm, klicken Sie auf Weiter. Am Komplett Bildschirm, klicken Sie auf Menu.
• Klicken Sie nun mit der rechten Maustaste auf die neu hinzugefügte Anwendungsgruppe und wählen Sie aus Ferienhäuser.
• Klicken Sie auf Anwendung hinzufügen für App-Eigenschaften.
• Klicken Sie auf Anwendung hinzufügen. Dann wählen Sie Web API und klicken auf Weiter.

• Auf dem Web-API konfigurieren Geben Sie auf dem Bildschirm die Adresse des Domänennamens ein Identifizieren Sektion. Klicken Speichern. Klicken Sie Weiter.

• Auf dem Wählen Sie Zugriffskontrollrichtlinie Bildschirm, wählen Sie Erlaube allen und klicken auf Weiter.

• Auf dem Konfigurieren Sie die Anwendungsberechtigung, standardmäßig openid wird als Geltungsbereich ausgewählt. Sie können auswählen E-Mail und, profile auch, dann klicken Sie auf weiter.

• Auf dem Zusammenfassung Bildschirm, klicken Sie auf Weiter. Am Komplett Bildschirm, klicken Sie auf Menu.
• Auf dem Beispielanwendungseigenschaften klicken Sie auf OK.

Sie haben erfolgreich konfiguriert ADFS als OAuth-Anbieter für die ADFS-Anmeldung bei Ihrer WordPress-Site.

2. Richten Sie WordPress als OAuth-Client ein

• Frei
• Premium

• Gehen Sie zu Konfigurieren Sie OAuth Tab und klicken Sie auf Neue Anwendung hinzufügen um eine neue Client-Anwendung zu Ihrer Website hinzuzufügen.

• Wählen Sie hier Ihre Anwendung aus der Liste der OAuth-/OpenID-Connect-Anbieter aus ADFS

• Kopieren Sie die Rückruf-URL zur Verwendung in der OAuth-Provider-Konfiguration. Klicken Weiter.


• Sie müssen die eingeben App-Name und Endpunkte Hierfür sehen Sie sich bitte die folgende Tabelle an und klicken Sie auf Weiter.

Hinweis: Sobald Sie das ADFS-Konto erstellt haben, finden Sie das Domain-URL und Sie müssen dasselbe in den folgenden Endpunkten hinzufügen.




Endpunkt autorisieren:	https://{Domain URL}/adfs/oauth2/authorize
Zugriffstoken-Endpunkt:	https://{Domain URL}/adfs/oauth2/token
Endpunkt zum Abrufen von Benutzerinformationen:	https://{Domain URL}/adfs/oauth2/userinfo


• Geben Sie die Anmeldeinformationen des Kunden ein Kunden-ID & Kundengeheimnis wie im Setup-Dialogfeld gezeigt, openid ist bereits gefüllt. Klicken Weiter.

• Klicken Sie auf Endziel um die Konfiguration zu speichern.

Sie haben erfolgreich konfiguriert WordPress als OAuth-Client zur Benutzerauthentifizierung mit ADFS Single Sign-On (SSO)-Anmeldung bei Ihrer WordPress-Site.

• Gehen Sie zu Konfigurieren Sie OAuth Klicken Sie auf die Registerkarte und suchen Sie nach Ihrem Anwendungsnamen, um hier eine neue Clientanwendung zu Ihrer Website hinzuzufügen ADFS.

• Fügen Sie hier Ihre ADFS-Domäne ein und konfigurieren Sie sie Kunden-ID und Kundengeheimnis erhalten Sie von der ADFS-Konfiguration und klicken Sie auf Einstellungen speichern

• Informationen zur Konfiguration finden Sie in der folgenden Tabelle Umfang und Endpunkte für ADFS im Plugin.

  Hinweis: Sobald Sie das ADFS-Konto erstellt haben, finden Sie das Domain-URL und Sie müssen dasselbe in den folgenden Endpunkten hinzufügen.

  
  

  Umfang:	openid
  Endpunkt autorisieren:	https://{yourADFSDomain}/adfs/oauth2/authorize/
  Zugriffstoken-Endpunkt:	https://{yourADFSDomain}/adfs/oauth2/token/

  
• Wählen Sie Ihre Erteilungsart aus der Liste der Optionen und klicken Sie auf Einstellungen speichern um die Konfiguration zu speichern.

Sie haben erfolgreich konfiguriert WordPress als OAuth-Client zur Benutzerauthentifizierung mit ADFS Single Sign-On (SSO)-Anmeldung bei Ihrer WordPress-Site.

3. Zuordnung von Benutzerattributen

• Die Zuordnung von Benutzerattributen ist obligatorisch, damit sich Benutzer erfolgreich bei WordPress anmelden können. Wir werden Benutzerprofilattribute für WordPress mithilfe der folgenden Einstellungen einrichten.

Benutzerattribute finden

• Gehen Sie zu Konfigurieren Sie OAuth Tab. Scrollen Sie nach unten und klicken Sie auf Testkonfiguration.

• Sie sehen alle von Ihrem OAuth-Anbieter an WordPress zurückgegebenen Werte in einer Tabelle. Wenn für „Vorname“, „Nachname“, „E-Mail“ oder „Benutzername“ kein Wert angezeigt wird, nehmen Sie die erforderlichen Einstellungen in Ihrem OAuth-Anbieter vor, um diese Informationen zurückzugeben.

• Wenn Sie alle Werte in der Testkonfiguration sehen, gehen Sie zu Attribut-/Rollenzuordnung Auf der Registerkarte „Benutzername“ erhalten Sie die Liste der Attribute in einem Dropdown-Menü „Benutzername“.

4: Rollenzuordnung [Premium]

• Klicken Sie auf „Testkonfiguration“ und Sie erhalten die Liste der Attributnamen und Attributwerte, die von Ihrem OAuth-Anbieter gesendet werden.
• Ordnen Sie im Fenster „Testkonfiguration“ die Attributnamen im Abschnitt „Attributzuordnung“ des Plugins zu. Weitere Einzelheiten finden Sie im Screenshot.

• Rollenzuordnung aktivieren: Um die Rollenzuordnung zu aktivieren, müssen Sie das Gruppennamenattribut zuordnen. Wählen Sie den Attributnamen aus der Attributliste aus, der die Rollen aus Ihrer Anbieteranwendung zurückgibt.
  Z.B: Rollen


• Weisen Sie der Provider-Rolle die WordPress-Rolle zu: Basierend auf Ihrem Provider-Antrag können Sie die WordPress-Rolle Ihren Provider-Rollen zuordnen. Abhängig von Ihrer Bewerbung kann es sich um einen Schüler, einen Lehrer, einen Administrator oder einen anderen handeln. Fügen Sie unter Gruppenattributwert die Anbieterrollen hinzu und weisen Sie davor unter WordPress-Rolle die erforderliche WordPress-Rolle zu.
  
  Zum Beispiel, im Bild unten. Dem Lehrer wurde die Rolle des Administrators und dem Schüler die Rolle des Abonnenten zugewiesen.

• Sobald Sie die Zuordnung speichern, wird der Anbieterrolle nach SSO die WordPress-Administratorrolle zugewiesen.
  Beispiel: Gemäß dem angegebenen Beispiel werden Benutzer mit der Rolle „Lehrer“ als Administratoren in WordPress und „Schüler“ als Abonnenten hinzugefügt.

5. Schritte zum Abrufen von Benutzergruppen als Ansprüche

• Rufen Sie Benutzergruppen als Ansprüche ab
• Rufen Sie bestimmte Benutzergruppen als Ansprüche ab

• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. ADFS-Verwaltung Werkzeug befindet sich unter der Tools Menü oben rechts im Server-Manager.
• Wähle aus Anwendungsgruppen Ordnerelement in der linken Seitenleiste.

• Doppelklicken Sie auf die zuvor hinzugefügte Gruppe und dann auf die Web API Anwendung.

• Wählen Sie die benannte Registerkarte aus Ausgabetransformationsregeln. Drücke den Regel hinzufügen Knopf am unteren Rand.

• Auswählen Senden Sie LDAP-Attribute als Ansprüche und klicken Sie auf Weiter.

• Geben Sie der Regel beispielsweise einen Namen Rollen und wählen Sie "Aktives Verzeichnis" wie die „Attributspeicher“.

• Wählen Sie in der folgenden Tabelle aus Unqualifizierte Namen für Token-Gruppen in der ersten Spalte ein und geben Sie ein Rollen in die zweite Spalte.

• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. ADFS-Verwaltung Werkzeug befindet sich unter der Tools Menü oben rechts im Server-Manager.
• Wähle aus Anwendungsgruppen Ordnerelement in der linken Seitenleiste.

• Doppelklicken Sie auf die zuvor hinzugefügte Gruppe und dann auf die Web API Anwendung.

• Wählen Sie die benannte Registerkarte aus Ausgabetransformationsregeln. Entfernen Sie alle Regeln, die Sie möglicherweise bereits hinzugefügt haben, und klicken Sie auf Regel hinzufügen Knopf am unteren Rand.

• Auswählen Senden Sie Ansprüche mithilfe einer benutzerdefinierten Regel und klicken Sie auf Weiter.

• Geben Sie der Regel einen Namen StoreRoles und fügen Sie Folgendes in das ein Benutzerdefinierte Regel Feld:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("roles"), query = ";tokenGroups;{0}", param = c.Value);
• Klicken Sie auf „Fertig stellen“ und fügen Sie eine weitere Regel hinzu.
• Wählen Sie erneut aus Senden Sie Ansprüche mithilfe einer benutzerdefinierten Regel und klicken Sie auf Weiter.
• Geben Sie dieser Regel einen Namen Problemrollen und fügen Sie Folgendes in das ein Benutzerdefinierte Regel Feld:
c:[Type == "roles", Value =~ "^Prefix.+"] => issue(claim = c);
• Der Teil, der //"^Prefix.+"// enthält, ist ein Regex-Ausdruck, der zum Filtern der als Teil der Ansprüche gesendeten Windows-Gruppen verwendet wird. In diesem Fall akzeptieren wir nur die Windows-Gruppen, die mit „Präfix“ beginnen. Passen Sie dies an Ihre Bedürfnisse an.
• Klicken Sie auf Fertig stellen.

6. Anmeldeeinstellungen

• Die Einstellungen auf der Registerkarte „Single Sign-On (SSO)-Einstellungen“ definieren die Benutzererfahrung für Single Sign-On (SSO). Um ein Okta-Anmelde-Widget zu Ihrer WordPress-Seite hinzuzufügen, müssen Sie die folgenden Schritte ausführen.

Anmeldeeinstellungen für WordPress 5.7 und früher

• Gehen Sie zu Linkes WordPress-Panel > Erscheinungsbilder > Widgets.
• Auswählen miniOrange OAuth. Ziehen Sie es per Drag-and-Drop an Ihren Lieblingsort und speichern Sie es.


Anmeldeeinstellungen für WordPress 5.8

• Gehen Sie zu Linkes WordPress-Panel > Erscheinungsbilder > Widgets.
• Auswählen miniOrange OAuth. Ziehen Sie es per Drag-and-Drop an Ihren Lieblingsort und speichern Sie es.

• Öffnen Sie Ihre WordPress-Seite und Sie können dort die Okta SSO-Anmeldeschaltfläche sehen. Sie können das Okta Single Sign-On (SSO) jetzt testen.

Anmeldeeinstellungen für WordPress 5.9

• Stellen Sie sicher, dass die „Auf Anmeldeseite anzeigen“ Die Option ist für Ihre Anwendung aktiviert. (Siehe das Bild unten)

• Gehen Sie jetzt zu Ihrem WordPress Login (Beispiel: https://<your-wordpress-domain >/wp-login.php)
• Dort sehen Sie eine Okta SSO-Anmeldeschaltfläche. Sobald Sie auf die Schaltfläche „Anmelden“ klicken, können Sie das Okta Single Sign-On (SSO) testen.