PHP SAML 2.0-Connector fungiert als SAML-Dienstanbieter, der so konfiguriert werden kann, dass er die Vertrauensstellung zwischen der Anwendung und einem SAML-fähigen Identitätsanbieter aufbaut, um die Benutzer sicher in Ihrer Anwendung zu authentifizieren. Hier gehen wir eine Schritt-für-Schritt-Anleitung zur Konfiguration durch ADFS als IdP (Identitätsanbieter) und PHP SAML 2.0 Connector als SP (Dienstleister).

Voraussetzungen: Download und Installation

• Um den miniOrange PHP SAML 2.0 Connector zu erhalten Kontakt .
• Entpacken Sie den PHP-Connector in dem Verzeichnis, in dem Ihre PHP-Anwendung ausgeführt wird.
• Greifen Sie über die URL über Ihren Browser auf die SSO-Connector-Einstellungen zu https://<application-url>/sso
• Melden Sie sich mit Ihrem beim PHP-Connector an miniOrange-Anmeldeinformationen.
• Im miniOrange PHP SAML 2.0 Connector, Unter Plugin-Einstellungen Tab erhalten Sie die SP-Entitäts-ID und ACS-URL Werte, die bei der Konfiguration Ihres Identitätsanbieters verwendet werden.

Schritte zum Konfigurieren von ADFS Single Sign-On (SSO)

1. ADFS als IdP (Identitätsanbieter) einrichten

Führen Sie die folgenden Schritte aus, um ADFS als IdP zu konfigurieren

 Konfigurieren Sie ADFS als IdP

• Navigieren Sie im miniOrange SAML SP SSO-Plugin zu Metadaten des Dienstanbieters Tab. Hier finden Sie die SP-Metadaten wie die SP-Entitäts-ID und die ACS-URL (AssertionConsumerService), die zur Konfiguration des Identitätsanbieters erforderlich sind.

• Suchen Sie in ADFS nach ADFS-Verwaltung Anwendung.

• Wählen Sie in der AD FS-Verwaltung aus Vertrauen der vertrauenden Partei und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen.

• Auswählen Ansprüche bewusst aus dem Relying Party Trust Wizard und klicken Sie auf Startseite .

 Wählen Sie Datenquelle

• Wählen Sie unter Datenquelle auswählen die Datenquelle zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite aus.

 Wählen Sie Zugriffskontrollrichtlinie

• Auswählen Erlaube allen als Zugriffskontrollrichtlinie und klicken Sie auf Weiter.

 Bereit, Vertrauen hinzuzufügen

• In Bereit, Vertrauen hinzuzufügen Klicken Sie auf Weiter und dann Menu.

 Anspruchsausstellungsrichtlinie bearbeiten

• In der Liste von Vertrauen der vertrauenden Partei, wählen Sie die von Ihnen erstellte Anwendung aus und klicken Sie auf Anspruchsausstellungsrichtlinie bearbeiten.

• Klicken Sie auf der Registerkarte „Issuance Transform Rule“ auf Regel hinzufügen .

 Wählen Sie Regeltyp

• Auswählen Senden Sie LDAP-Attribute als Ansprüche und klicken Sie auf Weiter.

 Anspruchsregel konfigurieren

• Hinzufügen Name der Anspruchsregel und wählen Sie die Attributspeicher nach Bedarf aus der Dropdown-Liste.
• Der Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen, Wählen Sie LDAP-Attribut als E-mailadressen und Ausgehender Anspruchstyp als Name ID.

• Nachdem Sie die Attribute konfiguriert haben, klicken Sie auf Endziel.
• Nachdem Sie ADFS als IDP konfiguriert haben, benötigen Sie das Föderationsmetadaten um Ihren Dienstanbieter zu konfigurieren.
• Um die ADFS-Verbundmetadaten abzurufen, können Sie diese URL verwenden
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• Sie haben ADFS erfolgreich als SAML-IdP (Identitätsanbieter) für die ADFS Single Sign-On (SSO)-Anmeldung konfiguriert

Windows-SSO (optional)

Führen Sie die folgenden Schritte aus, um Windows SSO zu konfigurieren

 Schritte zum Konfigurieren von ADFS für die Windows-Authentifizierung

• Öffnen Sie die Eingabeaufforderung mit erhöhten Rechten auf dem ADFS-Server und führen Sie den folgenden Befehl darauf aus:

setspn -a HTTP/##ADFS-Server-FQDN## ##Domänendienstkonto##

FQDN ist ein vollständig qualifizierter Domänenname (Beispiel: adfs4.example.com)

Das Domänendienstkonto ist der Benutzername des Kontos in AD.

Beispiel: setspn -a HTTP/adfs.example.com Benutzername/Domäne

• Öffnen Sie die AD FS-Verwaltungskonsole und klicken Sie auf Leistungen und geh zum Authentifizierungsmethoden Abschnitt. Klicken Sie rechts auf Bearbeiten Sie primäre Authentifizierungsmethoden. Überprüfen Sie die Windows-Authentifizierung in der Intranetzone.

• Öffnen Sie den Internet Explorer. Navigieren Sie in den Internetoptionen zur Registerkarte „Sicherheit“.
• Fügen Sie den FQDN von AD FS zur Liste der Websites im lokalen Intranet hinzu und starten Sie den Browser neu.
• Wählen Sie „Benutzerdefinierte Stufe“ für die Sicherheitszone. Wählen Sie in der Liste der Optionen die Option Automatische Anmeldung nur in der Intranetzone aus.

• Öffnen Sie die Powershell und führen Sie die folgenden zwei Befehle aus, um die Windows-Authentifizierung im Chrome-Browser zu aktivieren.

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

• Sie haben ADFS erfolgreich für die Windows-Authentifizierung konfiguriert.

2. Konfigurieren Sie den PHP Connector als SP

• In Plugin-Einstellungen, verwenden Sie Ihre Identitätsanbieterdaten, um das Plugin zu konfigurieren.

• Sie können das konfigurieren SP-Basis-URL oder lassen Sie diese Option unverändert. Andere Felder sind optional.
• Klicken Sie auf Speichern Schaltfläche, um Ihre Einstellungen zu speichern.

Testen Sie die Konfiguration

• Sie können testen, ob das Plugin richtig konfiguriert ist, oder indem Sie auf klicken Testkonfiguration .

• Sie sollten eine sehen Test erfolgreich Bildschirm wie unten gezeigt zusammen mit den Attributwerten des Benutzers, die von Ihrem Identitätsanbieter gesendet wurden

3. Attributzuordnung

• Von dem Testkonfiguration Fenster kopieren Sie das Attribut, das zurückgegeben wird E-Mail und Benutzername.
• Sie können beliebige hinzufügen Benutzerdefiniertes Attribut und klicken Sie auf Speichern.

4. Aktivieren Sie SSO in Ihrer Anwendung

Sobald der SSO-Test erfolgreich war, können Sie eine Anwendungs-URL angeben, zu der die Benutzer nach der Anmeldung weitergeleitet werden.

• Klicken Sie dazu auf die Wie stellt man das ein? Menü im SSO-Connector.
• Geben Sie im Eingabefeld für die Anwendungs-URL die URL Ihrer Anwendung ein (zu der die Benutzer nach der Anmeldung weitergeleitet werden sollen).
  
• Um den Benutzer bei Ihrer Anwendung anzumelden, können Sie das vom SSO-Connector festgelegte Sitzungsattribut lesen.

 if(session_status() === PHP_SESSION_NONE)
            {
             session_start();
            }
             $email = $_SESSION['email'];
             $username = $_SESSION['username'];

• Sie können die Variablen verwenden $ email und $ username in Ihrer Anwendung, um den Benutzer in Ihrer PHP-Anwendung zu finden und die Sitzung für den Benutzer zu starten.
• Nachdem das Plugin nun konfiguriert ist, können Sie es in Ihrer Anwendung verwenden.
• Verwenden Sie die folgende URL als Link in Ihrer Anwendung, von der aus Sie SSO durchführen möchten:  „http://“ /sso/login.php"
Sie können es beispielsweise wie folgt verwenden:
/sso/login.php">Anmeldung
• Ihre Benutzer können SSO in Ihrer Anwendung durchführen, indem sie auf klicken Einloggen Link.

In diesem Handbuch haben Sie die Konfiguration erfolgreich durchgeführt ADFS SAML Single Sign-On (ADFS SSO-Anmeldung) Auswahl ADFS als IdP .Diese Lösung stellt sicher, dass Sie bereit sind, einen sicheren Zugriff auf Ihre PHP-Anwendung bereitzustellen ADFS-Anmeldung Anmeldeinformationen innerhalb von Minuten.

Weitere Informationen

• Was ist Single Sign-On (SSO)?
• Was ist ADFS?
• Konfigurieren Sie LDAP-Attribute als Ansprüche für die Attributzuordnung
• Häufig gestellte Fragen (FAQs)

Wenn Sie etwas suchen, das Sie nicht finden können, schreiben Sie uns bitte eine E-Mail an samlsupport@xecurify.com