DNN SAML Single Sign-On (SSO) mit Shibboleth als IDP

DNN SAML Single Sign-On (SSO) Das Modul bietet die Möglichkeit, SAML Single Sign-On für Ihre DotNetNuke-Anwendungen zu aktivieren. Mit Single Sign-On können Sie nur ein Passwort verwenden, um auf Ihre DotNetNuke-Anwendung und -Dienste zuzugreifen. Unser Modul ist mit allen SAML-kompatiblen kompatibel Identitätsanbieter. Hier gehen wir eine Schritt-für-Schritt-Anleitung durch, um Single Sign-On (SSO) zwischen DotNetNuke und Shibboleth unter Berücksichtigung von Shibboleth als IdP zu konfigurieren.

Voraussetzungen: Download und Installation

• Herunterladen das Paket für das DNN SAML Single Sign-On (SSO)-Modul.
• Laden Sie das Installationspaket hoch dnn-saml-single-sign-on_xxx_Install indem man hineingeht Einstellungen > Erweiterung > Erweiterung installieren.

Schritte zum Konfigurieren von DNN Single Sign-On (SSO) mit Shibboleth als IDP

1. Modul auf der DNN-Seite hinzufügen

• Öffnen Sie eine beliebige Seite Ihrer DNN-Site (Bearbeitungsmodus) und klicken Sie auf Modul hinzufügen.

• Suchen Sie nach HEIF-Bilderweiterungen. DNNSAMLSSO und klicken Sie auf DNNSAMLSSO. Ziehen Sie das Modul per Drag-and-Drop auf die gewünschte Seite.

• Sie haben die Installation des Moduls auf Ihrer DNN-Site abgeschlossen.

2. Richten Sie Shibboleth als Identitätsanbieter ein

• Wählen Sie Ihren Identitätsanbieter aus Shibboleth aus der unten gezeigten Liste.

• Im Folgenden werden zwei Möglichkeiten beschrieben, mit denen Sie die SAML-SP-Metadaten zur Konfiguration auf der Seite Ihres Identitätsanbieters abrufen können.

A] Verwendung der SAML-Metadaten-URL oder Metadatendatei:

• Der Dienstanbietereinstellungenfinden Sie die Metadaten-URL sowie die Möglichkeit, die SAML-Metadaten herunterzuladen.
• Kopieren Sie die Metadaten-URL oder laden Sie die Metadatendatei herunter, um sie bei Ihrem Identitätsanbieter zu konfigurieren.
• Sie können sich auf den Screenshot unten beziehen:


B] Metadaten manuell hochladen:

• Unter dem Dienstanbietereinstellungen Im Abschnitt können Sie die Metadaten des Dienstanbieters manuell kopieren Basis-URL, SP-Entitäts-ID, ACS-URL und geben Sie es zur Konfiguration an Ihren Identitätsanbieter weiter.
• Sie können sich auf den Screenshot unten beziehen:

• Entfernen Sie in conf/idp.properties das Kommentarzeichen und setzen Sie „idp.encryption.optional“ auf „true“.
     z.B. idp.encryption.optional = true
• In conf/metadata-providers.xml, konfigurieren Sie den Dienstanbieter wie folgt

    <MetadataProvider xmlns:samlmd="urn:oasis:
names:tc:SAML:2.0:metadata" 

        id="miniOrangeInLineEntity" xsi:type="InlineMetadata
Provider"
      sortKey="1"> 

        <samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID / 
Issuer
      from Service Provider Info tab in plugin.>" 

          validUntil="2020-09-06T04:13:32Z"> 

          <samlmd:SPSSODescriptor AuthnRequests
Signed="false"
      WantAssertionsSigned="true" 

          protocolSupportEnumeration="urn:oasis:names:
tc:SAML:2.0:protocol">
      

            <samlmd:NameIDFormat> 

              urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
      

            </samlmd:NameIDFormat> 

          <samlmd:AssertionConsumerService
      Binding="urn:oasis:names:tc:
SAML:2.0:bindings:HTTP-POST" 

          Location="<ACS (AssertionConsumerService) URL from 
Step1 of
      the plugin under Identity Provider Tab.>" 

            index="1" /> 

          </samlmd:SPSSODescriptor> 

          </samlmd:EntityDescriptor> 

      </MetadataProvider>
  

• In conf/saml-nameid.properties, Kommentar entfernen und Standard festlegen NameID as E-Mail-Adresse so

    idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
      

• In conf/saml-nameid-xml, suchen Sie nach shibboleth.SAML2NameIDGenerators. Kommentieren Sie die Bean shibboleth.SAML2AttributeSourcedGenerator aus und kommentieren Sie alle anderen Ref-Beans

    <!-- SAML 2 NameID Generation --> 

      <util:list id="shibboleth.SAML2NameIDGenerators"> 

        <!--<ref bean="shibboleth.SAML2TransientGenerator" /> --> 

        <!-->ref bean="shibboleth.SAML2PersistentGenerator" /> --> 

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" 

        p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" 

        p:attributeSourceIds="#{ {'email'} }" /> 

      </util:list>
          

• Stellen Sie sicher, dass Sie AttributeDefinition in definiert haben conf/attribute-resolver.xml.

    <!-- Note: AttributeDefinitionid must be same as what
 you provided in
      attributeSourceIds in conf/saml-nameid.xml --> 

      <resolver:AttributeDefinitionxsi:type="ad:Simple"
 id="email"
      sourceAttributeID="mail"> 

        <resolver:Dependency ref="ldapConnector" /> 

        <resolver:AttributeEncoderxsi:type="enc:SAML2String" 
name="email"
      friendlyName="email" /> 

      </resolver:AttributeDefinition > 


  
      <resolver:DataConnector id="ldapConnector"
 xsi:type="dc:LDAPDirectory"
      ldapURL="%{idp.authn.LDAP.ldapURL}" 

        baseDN="%{idp.authn.LDAP.baseDN}"
 principal="%{idp.authn.LDAP.bindDN}" 

        principalCredential="%{idp.authn.LDAP.bindDNCredential}"> 

  
        <dc:FilterTemplate> 

          <!-- Define you User Search Filter here --> 

          <![CDATA[
      (&(objectclass=*)
(cn=$requestContext.principalName)) ]]> 

        </dc:FilterTemplate> 
 

  
        <dc:ReturnAttributes>*</dc:ReturnAttributes> 

      </resolver:DataConnector>
  

• Stellen Sie sicher, dass AttributeFilterPolicy in definiert ist conf/attribute-filter.xml.

    <afp:AttributeFilterPolicy id="ldapAttributes"> 

      <afp:PolicyRequirementRulexsi:type="basic:ANY"/> 

        <afp:AttributeRuleattributeID="email"> 

          <afp:PermitValueRulexsi:type="basic:ANY"/> 

        </afp:AttributeRule> 

      </afp:AttributeFilterPolicy> 

  

• Starten Sie den Shibboleth-Server neu.
• Sie müssen diese Endpunkte im miniOrange SAML-Plugin konfigurieren.

IDP-Entitäts-ID	https://<your_domain>/idp/shibboleth
Einzelne Login-URL	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
Einzelne Abmelde-URL	https://<your_domain>/idp/shibboleth
X.509-Zertifikat	Das Public-Key-Zertifikat Ihres Shibboleth-Servers

Sie haben Shibboleth erfolgreich als SAML-IdP (Identitätsanbieter) konfiguriert, um die Shibboleth-SSO-Anmeldung bei Ihrer DotNetNuke (DNN)-Site zu erreichen.

3. Konfigurieren Sie das DotNetNuke SAML-Modul als Dienstanbieter

Im Folgenden werden zwei Möglichkeiten beschrieben, mit denen Sie die Metadaten Ihres SAML-Identitätsanbieters im Modul konfigurieren können.

A] Metadaten über die Schaltfläche „IDP-Metadaten hochladen“ hochladen:

• Wenn Ihr Identitätsanbieter Ihnen die Metadaten-URL oder Metadatendatei (nur .xml-Format) bereitgestellt hat, können Sie die Metadaten des Identitätsanbieters einfach im Modul mithilfe von konfigurieren Laden Sie IDP-Metadaten hoch .
• Sie können sich auf den Screenshot unten beziehen:

• Sie können eine der Optionen entsprechend dem verfügbaren Metadatenformat auswählen.

B] Konfigurieren Sie die Metadaten des Identitätsanbieters manuell:

• Nach der Konfiguration Ihres Identitätsanbieter, wird es Ihnen zur Verfügung stellen IDP-Entitäts-ID, IDP-Single-Sign-On-URL und SAML X509-Zertifikat Felder bzw.
• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Aktualisierung um Ihre IDP-Daten zu speichern.

4. Testen von SAML SSO

• Klicken Sie auf die Testkonfiguration Klicken Sie auf die Schaltfläche, um zu überprüfen, ob Sie das Plugin richtig konfiguriert haben.
• Bei erfolgreicher Konfiguration werden Ihnen im Fenster „Testkonfiguration“ der Attributname und die Attributwerte angezeigt.

5. Attributzuordnung

• Attribute sind Benutzerdetails, die in Ihrem Identitätsanbieter gespeichert werden.
• Mithilfe der Attributzuordnung können Sie Benutzerattribute von Ihrem IdP abrufen und sie DotNetNuke-Benutzerattributen wie Vorname, Nachname usw. zuordnen.
• Bei der automatischen Registrierung der Benutzer auf Ihrer DotNetNuke-Site werden diese Attribute automatisch Ihren DotNetNuke-Benutzerdetails zugeordnet.
• Gehen Sie zu DNNSAMLSSO-Einstellungen >> Erweiterte Einstellungen >> Attributzuordnung.

6. Hinzufügen des Login/SSO-Widgets auf der DNN-Seite

• Klicken Sie zum Hinzufügen der Schaltfläche auf der DNN-Seite neben den Moduleinstellungen auf die Schaltfläche Artikel hinzufügen (Bleistiftsymbol).

• Fügen Sie den Namen der Schaltfläche hinzu und klicken Sie auf Speichern

• Nach dem Speichern des Elements wird auf der Seite die Schaltfläche „Anmelden“ angezeigt. (Wenn Sie bereits auf Ihrer Website angemeldet sind, wird ein Link zum Abmelden angezeigt.)
• Hinweis: Wenn Sie diese Schaltfläche auf jeder Seite der DNN-Site aktivieren möchten, führen Sie die folgenden Schritte aus:
• Gehen Sie zum Einstellungen >> Moduleinstellungen >> Erweiterte Einstellungen und Option aktivieren für Modul auf allen Seiten anzeigen.

• Warnung: Nach der Aktivierung dieser Option gehen Ihre gesamten Konfigurationen für das Modul verloren. Sie können das Modul neu konfigurieren oder es ist besser, diese Option vor der Konfiguration des Moduls zu aktivieren.

7. Rollenzuordnung (das Ausfüllen ist optional)

• DotNetNuke verwendet ein Rollenkonzept, das dem Websitebesitzer die Möglichkeit geben soll, zu steuern, was Benutzer auf der Website tun können und was nicht.
• DotNetNuke verfügt über fünf vordefinierte Rollen: Administratoren, Abonnenten, registrierte Benutzer, Übersetzer (en-US) und nicht verifizierte Benutzer.
• Mithilfe der Rollenzuordnung können Sie Benutzern einer bestimmten Gruppe in Ihrem IdP bestimmte Rollen zuweisen.
• Bei der automatischen Registrierung werden den Benutzern Rollen zugewiesen, die auf der Gruppe basieren, der sie zugeordnet sind.

Sie können das sogar konfigurieren ASP.NET SAML Single Sign-On (SSO) Modul mit einem beliebigen Identitätsanbieter wie z ADFS, Azure AD, Bitium, zentrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2 oder sogar mit Ihrem eigenen Benutzerdefinierter Identitätsanbieter. Um andere Identitätsanbieter zu überprüfen, klicken Sie auf hier.

Weitere Informationen

• DNN SAML Single Sign-On (SSO)
• DNN OAuth Single Sign-On (SSO)
• ASP.NET SAML Single Sign-On (SSO)
• nopCommerce SAML Single Sign-On (SSO)
• Umbraco SAML Single Sign-On (SSO)