SAML Single Sign-On in Joomla mit Duo

Es gibt mehrere Gründe, warum dies passieren kann:

1. Caching ist auf der Website aktiviert.
Wenn die automatische Weiterleitung aktiviert ist, wird der Benutzer zur IDP-Anmeldeseite und nach der Anmeldung zurück zur Hauptseite weitergeleitet. Da das Caching jedoch aktiviert ist, erfolgt eine Weiterleitung zur IDP-Anmeldeseite, wodurch eine Schleife entsteht.

2. HTTP/HTTPS-Diskrepanz:
Dies geschieht, wenn HTTPS auf der Site nicht erzwungen wird, aber auf der IDP-Seite mit einer HTTPS-URL konfiguriert ist. Dies kann gelöst werden, indem HTTPS auf der Site erzwungen wird, indem eine Umleitungsregel in der .htaccess-Datei oder auf Apache-Ebene definiert wird.

3. Cookie-Verfälschung:
Das vom Plugin nach der Anmeldung des Benutzers erstellte Cookie wird von einem anderen Plugin geändert, was dazu führt, dass sich der Benutzer nicht bei der Joomla-Site anmeldet, die Sitzung jedoch auf IDP erstellt wird.

Wenn im Joomla SAML-Plugin eine Erweiterung nach der Installation des Plugins nicht aktiviert ist, werden Sie nach dem Klicken auf „Konfiguration testen“ zu Ihrer eigenen Site weitergeleitet, anstatt zu IDP. Um dieses Problem zu beheben, müssen Sie nach der Installation alle Erweiterungen des Plugins aktivieren.

Befolgen Sie zur Lösung dieses Problems die folgenden Schritte:

1. Gehen Sie in der Joomla-Administratoroberfläche zu Erweiterungen -> Verwalten -> Verwalten.
2. Suchen Sie nach „Miniorange“.
3. Aktivieren Sie alle Erweiterungen der Plugins.

Hier sind einige häufige Fehler, die auftreten können:

INVALID_ISSUER: Dies bedeutet, dass Sie NICHT den korrekten Issuer- oder Entity-ID-Wert eingegeben haben, den Sie von Ihrem Identity Provider erhalten haben. In der Fehlermeldung sehen Sie, welcher Wert (den Sie konfiguriert haben) erwartet wurde und was tatsächlich in der SAML-Antwort gefunden wurde.
INVALID_AUDIENCE: Dies bedeutet, dass Sie die Audience-URL in Ihrem Identitätsanbieter NICHT richtig konfiguriert haben. Sie muss in Ihrem Identitätsanbieter auf https://base-url-of-your-joomla-site/plugins/authentication/miniorangesaml/ eingestellt sein.
INVALID_DESTINATION: Dies bedeutet, dass Sie die Ziel-URL in Ihrem Identitätsanbieter NICHT richtig konfiguriert haben. Sie muss in Ihrem Identitätsanbieter auf https://base-url-of-your-joomla-site/plugins/authentication/miniorangesaml/saml2/acs.php eingestellt sein.
INVALID_SIGNATURE: Dies bedeutet, dass das von Ihnen bereitgestellte Zertifikat nicht mit dem in der SAML-Antwort gefundenen Zertifikat übereinstimmt. Stellen Sie sicher, dass Sie dasselbe Zertifikat bereitstellen, das Sie von Ihrem IdP heruntergeladen haben. Wenn Sie die Metadaten-XML-Datei Ihres IdP haben, stellen Sie sicher, dass Sie das Zertifikat in einem X509-Zertifikat-Tag bereitstellen, das ein Attribut use=' signing' hat.
INVALID_CERTIFICATE: Dies bedeutet, dass das von Ihnen bereitgestellte Zertifikat nicht das richtige Format hat. Stellen Sie sicher, dass Sie das gesamte von Ihrem IdP bereitgestellte Zertifikat kopiert haben. Wenn Sie es aus der Metadaten-XML-Datei des IdP kopiert haben, stellen Sie sicher, dass Sie den gesamten Wert kopiert haben.

Dies ist nur möglich, wenn ein in der SAML-Antwort enthaltenes Zertifikat nicht mit dem im Plug-In konfigurierten Zertifikat übereinstimmt. Kopieren Sie den im Fenster „Testkonfiguration“ angezeigten Zertifikatswert und fügen Sie ihn im Plug-In auf der Registerkarte „Dienstanbieter“ in das Feld „X.509-Zertifikat“ ein.

Bitte folgen Sie den Schritten zur Exportkonfiguration:
1) Gehen Sie zum Plugin miniOrange SAML SP und navigieren Sie zur Registerkarte „Service Provider Setup“.
2) Klicken Sie dann unten auf der Seite auf die Schaltfläche „Importieren/Exportieren“ und anschließend auf die Schaltfläche „Konfiguration exportieren“.
3) Navigieren Sie zu System >> Verwalten und suchen Sie in der Suchleiste nach miniOrange. Deinstallieren Sie dann alle miniOrange-Erweiterungen.

Bitte folgen Sie den Schritten zum Importieren der Konfiguration:
1) Installieren Sie das neueste Plugin und melden Sie sich mit Ihren miniOrange-Anmeldedaten im Plugin an.
2) Navigieren Sie zur Registerkarte „Dienstanbieter-Setup“ und klicken Sie auf die Schaltfläche „Importieren/Exportieren“.
3) Laden Sie die heruntergeladene Konfigurationsdatei hoch und klicken Sie dann auf die Schaltfläche „Konfiguration importieren“.

Wenn beim Aktualisieren des Joomla SAML-Plugins keine Tabelle oder Spalte zur Datenbank hinzugefügt wird, wird die Fehlermeldung „Fehlende Tabelle“ angezeigt. Dieses Problem tritt im Allgemeinen auf, wenn beim Aktualisieren des Plugins keine Tabelle oder Spalte zur Datenbank hinzugefügt wird.
Sie können das Plugin neu installieren, um dieses Problem zu beheben. Führen Sie dazu bitte die folgenden Schritte aus:

Deinstallieren Sie das vorhandene Plugin. (Erstellen Sie vor der Deinstallation des Plugins eine Sicherungskopie des vorhandenen Plugins.)
– Gehen Sie zu Erweiterungen -> Verwalten -> Verwalten
– Suche nach miniOrange
– Wählen Sie alle Erweiterungen aus und klicken Sie auf „Deinstallieren“.
Installieren Sie nun das Plugin erneut und konfigurieren Sie es.

Eine Joomla-Site kann entweder als Serviceprovider oder als Identity Provider verwendet werden, indem das entsprechende SP- oder IDP-Plugin verwendet wird. Dieser Fehler tritt wahrscheinlich auf, weil Sie beide Plugins auf derselben Site installiert haben.
Um dieses Problem zu beheben, befolgen Sie bitte die unten aufgeführten Schritte: Löschen Sie die folgenden Ordner aus Ihrem Joomla-Verzeichnis:

1. /libraries/miniorangejoomlaidpplugin
2. /libraries/miniorangesamlplugin
3. /plugins/system/samlredirect
Jetzt sollten Sie sich bei Ihrer Joomla-Site anmelden können.

Entfernen Sie die restlichen Erweiterungen:

1. Gehen Sie in der Administratorkonsole Ihrer Joomla-Site zu Erweiterungen -> Verwalten -> Verwalten.
2. Suche nach „miniorange“
3. Wählen Sie alle Erweiterungen aus und klicken Sie auf Deinstallieren

Das Umleitungsproblem tritt bei der Verwendung des Admin Tools-Plugins für Joomla SAML SSO auf, wobei das Admin Tools-Plugin Änderungen an der .htaccess-Datei vornimmt und bestimmte Regeln hinzufügt, die eine Umleitung von der Site verhindern.

Sie können das oben genannte Problem lösen, indem Sie die folgenden Schritte ausführen:

1. Navigieren Sie zu „Admin Tools“ >> „Systemsteuerung“ und klicken Sie dann auf die Option „.htaccess Maker“.
2. Deaktivieren Sie anschließend die Option „Schutz vor gängigen File-Injection-Angriffen“.
Löschen Sie anschließend den Cache Ihrer Site und testen Sie die einmalige Anmeldung.

SAML Tracer-Protokolle:

1. Laden Sie das SAML-Tracer-Add-on herunter: Firefox: [ Link ] | Chrom:[ Link ] 2. Öffnen Sie den SAML-Tracer in der Browser-Symbolleiste.
3. Lassen Sie das SAML-Tracer-Fenster geöffnet.
4. Führen Sie die SSO-/Testkonfiguration durch und reproduzieren Sie das Problem.
5. Gehen Sie zum SAML-Tracer-Fenster.
6. Sie haben die Möglichkeit, das SAML Tracer-Protokoll in eine Datei zu exportieren (in der oberen Menüleiste). Speichern Sie die Protokolle in einer Datei, wählen Sie bei der entsprechenden Aufforderung „Keine“ und senden Sie uns diese Datei.

Es scheint, dass Ihr Identitätsanbieter einen Fehler in der SAML-Antwort sendet. Um das Problem zu beheben, gehen Sie bitte zur Registerkarte „Dienstanbieter-Setup“ des SAML SP-Plugins. Klicken Sie auf „Konfiguration testen“ und überprüfen Sie das Fenster mit den Konfigurationsergebnissen. Stellen Sie sicher, dass die Attributzuordnung korrekt durchgeführt wurde, und überprüfen Sie, ob der X.509-Zertifikatswert korrekt ist.