DNN SAML Single Sign-On (SSO) mit ADFS als IDP

• Nach erfolgreicher Lizenzaktivierung öffnet sich das Plugin-Dashboard wie unten dargestellt.

• Klicken Sie im Plugin-Dashboard auf die Metadaten des Dienstanbieters Klicken Sie auf die Schaltfläche im oberen Menü. Dadurch wird die Seite „Metadaten des Dienstanbieters“ geöffnet.
• Wählen Sie das Gewünschte aus NameID-Format Wählen Sie im Dropdown-Menü (z. B. E-Mail-Adresse oder Nicht angegeben) die Option entsprechend Ihrer Identitätsanbieterkonfiguration aus und klicken Sie auf die Schaltfläche Gespeichert Schaltfläche zum Aktualisieren der Einstellungen.
• Das NameID-Format definiert, welche Benutzerkennung (z. B. E-Mail-Adresse oder Benutzername) während des SAML-Anmeldevorgangs gesendet wird.

• Scrollen Sie nach unten zum SAML-Metadaten teilen .

Sie können die SAML SP-Metadaten mithilfe einer der beiden unten beschriebenen Methoden abrufen, um sie auf der Seite Ihres Identitätsanbieters zu konfigurieren.

A] Verwenden der SAML-Metadaten-URL oder Metadatendatei

• Auf dieser Seite finden Sie die Metadaten-URL sowie die Option zum Herunterladen der SAML-Metadaten-XML-Datei.
• Kopieren Sie die Metadaten-URL oder laden Sie die Metadatendatei herunter, um diese auf der Seite Ihres Identitätsanbieters zu konfigurieren.
• Sie können sich auf den Screenshot unten beziehen:

B] Metadaten manuell hochladen

• Auf dieser Seite können Sie die Metadaten des Dienstanbieters manuell kopieren, z. B. SP-Entitäts-ID, ACS-URL, SP-Abmelde-URL und teilen Sie es Ihrem Identitätsanbieter zur Konfiguration mit.
• Sie können sich auf den Screenshot unten beziehen:

Schritte zum Konfigurieren des ADFS-Identitätsanbieters

• Suchen Sie zuerst nach ADFS-Verwaltung Anwendung auf Ihrem ADFS-Server.

• Wählen Sie in der ADFS-Verwaltung aus Vertrauen der vertrauenden Partei und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen.

• Auswählen Ansprüche bewusst aus dem Relying Party Trust Wizard und klicken Sie auf Start .

Wählen Sie Datenquelle

• Wählen Sie unter Datenquelle auswählen die Datenquelle zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite aus.

• Metadaten-URL
• Metadaten-XML-Datei
• Manuelle Konfiguration

• Navigieren Metadaten des Dienstanbieters Abschnitt des DNN-Plugins und kopieren Sie den Metadaten-URL, die Sie erhalten von Schritt 2A.
• Auswählen Importieren Sie online oder im lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei Option und fügen Sie die Metadaten-URL zur Federation-Metadatenadresse hinzu.
• Klicken Sie auf Weiter.

• Navigieren Metadaten des Dienstanbieters Abschnitt des DNN-Plugins und klicken Sie auf die Herunterladen Schaltfläche zum Herunterladen der Plugin-Metadatendatei, die Sie von Schritt 2A.
• Auswählen Importieren Sie Daten über die vertrauende Seite aus einer Datei Option und laden Sie die heruntergeladene Metadatendatei hoch.
• Klicken Sie auf Weiter.

• Navigieren Metadaten des Dienstanbieters Abschnitt des DNN-Plugins, um die Endpunkte für die manuelle Konfiguration des Dienstanbieters zu erhalten, die Sie von Schritt 2B.
• In Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite wähle eine Option Geben Sie die Daten zur vertrauenden Seite manuell ein und klicken Sie auf Weiter.

Geben Sie den Anzeigenamen an

• Enter Display Name und Klicken Sie auf Weiter.

Zertifikat konfigurieren (Premium-Funktion)

• Laden Sie das Zertifikat herunter von Registerkarte „Metadaten des Dienstanbieters“., die Sie erhalten von Schritt 2A.
• Laden Sie das Zertifikat hoch und klicken Sie auf Weiter.

URL konfigurieren

• Auswählen Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll Option und geben Sie ein ACS-URL von den Plugins Metadaten des Dienstanbieters Tab, den Sie erhalten von Schritt 2B.
• Klicken Sie auf Weiter.

Bezeichner konfigurieren

• Im Vertrauenskennung der vertrauenden Seite, Ergänzen Sie die SP-EntityID / Aussteller von den Plugins Metadaten des Dienstanbieters Registerkarte, die Sie erhalten von Schritt 2B.

Wählen Sie Zugriffskontrollrichtlinie

• Auswählen Erlaube allen als Zugriffskontrollrichtlinie und klicken Sie auf Weiter.

Bereit, Vertrauen hinzuzufügen

• In Bereit, Vertrauen hinzuzufügen Klicken Sie auf Weiter und dann Menu.

Anspruchsausstellungsrichtlinie bearbeiten

• In der Liste von Vertrauen der vertrauenden Partei, wählen Sie die von Ihnen erstellte Anwendung aus und klicken Sie auf Anspruchsausstellungsrichtlinie bearbeiten.

• Klicken Sie auf der Registerkarte „Issuance Transform Rule“ auf Regel hinzufügen .

Wählen Sie Regeltyp

• Auswählen Senden Sie LDAP-Attribute als Ansprüche und klicken Sie auf Weiter.

Anspruchsregel konfigurieren

• Hinzufügen Name der Anspruchsregel und wählen Sie die Attributspeicher nach Bedarf aus der Dropdown-Liste.
• Der Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen, Wählen Sie LDAP-Attribut als E-mailadressen und Ausgehender Anspruchstyp als Name ID.

• Nachdem Sie die Attribute konfiguriert haben, klicken Sie auf Farbe.
• Nachdem Sie ADFS als IDP konfiguriert haben, benötigen Sie das Föderationsmetadaten um Ihren Dienstanbieter zu konfigurieren.
• Um die ADFS-Verbundmetadaten abzurufen, können Sie diese URL verwenden
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• Sie haben ADFS erfolgreich als SAML-IdP (Identitätsanbieter) für die ADFS Single Sign-On (SSO)-Anmeldung konfiguriert

Windows-SSO (optional)

Führen Sie die folgenden Schritte aus, um Windows SSO zu konfigurieren

• Schritte zum Konfigurieren von ADFS für die Windows-Authentifizierung
  • Öffnen Sie die Eingabeaufforderung mit erhöhten Rechten auf dem ADFS-Server und führen Sie den folgenden Befehl darauf aus:
    setspn -a HTTP/##ADFS-Server-FQDN## ##Domänendienstkonto##
  • FQDN ist ein vollständig qualifizierter Domänenname (Beispiel: adfs4.example.com)
  • Das Domänendienstkonto ist der Benutzername des Kontos in AD.
  • Beispiel: setspn -a HTTP/adfs.example.com Benutzername/Domäne.

• Öffnen Sie die AD FS-Verwaltungskonsole und klicken Sie auf Services und geh zum Authentifizierungsmethoden Abschnitt. Klicken Sie rechts auf Bearbeiten Sie primäre Authentifizierungsmethoden. Überprüfen Sie die Windows-Authentifizierung in der Intranetzone.

• Öffnen Sie den Internet Explorer. Navigieren Sie in den Internetoptionen zur Registerkarte „Sicherheit“.
• Fügen Sie den FQDN von AD FS zur Liste der Websites im lokalen Intranet hinzu und starten Sie den Browser neu.
• Wählen Sie „Benutzerdefinierte Stufe“ für die Sicherheitszone. Wählen Sie in der Liste der Optionen die Option Automatische Anmeldung nur in der Intranetzone aus.

• Öffnen Sie die Powershell und führen Sie die folgenden zwei Befehle aus, um die Windows-Authentifizierung im Chrome-Browser zu aktivieren.

 Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty  WIASupportedUserAgents) + "Chrome")
 Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;


• Sie haben ADFS erfolgreich für die Windows-Authentifizierung konfiguriert.

• Klicken Sie auf Neuen IDP hinzufügen Schaltfläche, um einen neuen Identitätsanbieter zu konfigurieren.

• Wählen Sie unter dem Reiter „Plugin-Einstellungen“ Folgendes aus: ADFS als Ihren Identitätsanbieter aus der angezeigten Liste.

• Nachdem Sie Ihren Identitätsanbieter aus der Liste ausgewählt haben, öffnet sich die Seite „Einstellungen des Identitätsanbieters“. Hier können Sie entweder auf die Schaltfläche klicken. IdP-Metadaten hochladen Schaltfläche zum automatischen Konfigurieren des Identitätsanbieters mithilfe von Metadaten oder manuelle Eingabe der erforderlichen Identitätsanbieterdetails unter Einstellungen des Identitätsanbieters.

Es gibt zwei im Folgenden detailliert beschriebene Möglichkeiten, mit denen Sie die Metadaten Ihres SAML-Identitätsanbieters im Plugin konfigurieren können.

A] Metadaten über die Schaltfläche „IDP-Metadaten hochladen“ hochladen:

• Klicken Sie auf Wählen Sie Datei um die Metadaten-XML-Datei mit folgendem Befehl hochzuladen: XML-Datei hochladen Option, klicken Sie dann auf HochladenAlternativ können Sie Folgendes angeben: Metadaten-URL in England, Geben Sie die Metadaten-URL ein Abschnitt und klicken Sie auf Metadaten abrufen um die Konfiguration des Identitätsanbieters automatisch abzurufen.
• Sie können sich auf den Screenshot unten beziehen:

B] Konfigurieren Sie die Metadaten des Identitätsanbieters manuell:

• Alternativ können Sie unter der Registerkarte „Einstellungen des Identitätsanbieters“ die Pflichtfelder manuell ausfüllen, wie zum Beispiel IDP-Name, IDP-Entitäts-ID und Single Sign-On-URL und klicken auf Einstellungen speichern.

• Nach dem Hochladen der Metadaten kehren Sie zum Dashboard zurück. Bewegen Sie den Mauszeiger über … Wählen Sie Aktionen aus Klicken Sie auf das Dropdown-Menü neben dem konfigurierten Identitätsanbieter. Testkonfiguration.

• Bei erfolgreicher Konfiguration werden Ihnen Attributname und Attributwert im Testkonfigurationsfenster angezeigt.

Attributzuordnung

• Nach dem Testen der Konfiguration ordnen Sie Ihre Anwendungsattribute den Attributen des Identitätsanbieters (IdP) zu.

• Von dem Wählen Sie Aktionen aus Dropdown, wählen Sie Konfiguration bearbeiten um die Attributzuordnungseinstellungen zu öffnen.
• Erstellen Sie eine Karte der erforderlichen IdP-Attribute (wie z. B. Benutzername, E-Mail-Adresse, Vorname und Nachname), die in der SAML-Antwort empfangen und ihren entsprechenden Feldern zugeordnet werden.

• Sobald die Attribute zugeordnet sind, klicken Sie auf Gespeichert Änderungen anwenden.

Standardrollenzuordnung

• Navigieren Sie zu der Standardrollenzuordnung Wählen Sie im entsprechenden Abschnitt die Rolle aus, die Sie Benutzern nach erfolgreicher SSO-Anmeldung zuweisen möchten. Standardrolle Dropdown-Liste.
• Wählen Sie die passende Rolle (z. B. Registrierte Benutzer, Abonnenten oder Administratoren) und klicken Sie auf die Schaltfläche Gespeichert Schaltfläche, um die Änderungen zu übernehmen.

Erweiterte IDP-Einstellungen

Wenn Sie weitere erweiterte Einstellungen konfigurieren möchten, scrollen Sie nach oben und klicken Sie auf die Schaltfläche Erweiterte IdP-Einstellungen Schaltfläche aus dem oberen Menü.

Benutzerdefinierte Attributzuordnung

• Wenn Sie zusätzliche Attribute von Ihrem IdP übergeben möchten, geben Sie den Attributnamen und den entsprechenden Attributwert unter Benutzerdefinierte Attributzuordnung.
• Von dem Attributwert Wählen Sie im Dropdown-Menü eines der in den Testkonfigurationsergebnissen empfangenen Attribute aus, zum Beispiel: NameID.
• Diese Attribute entsprechen den Werten, die von Ihrem Identitätsanbieter (IdP) gesendet werden.

• Im Attributname Geben Sie im Feld den Namen des DNN-Benutzerattributs ein; dieser wird beim SSO-Login dem IDP-Attributwert zugeordnet.
• Sie können mehrere Zuordnungen hinzufügen, wenn Ihre Anwendung mehrere Attribute benötigt, indem Sie auf die entsprechende Schaltfläche klicken. + .
• Nachdem Sie alle erforderlichen Zuordnungen definiert haben, klicken Sie auf Attributzuordnung speichern um die Konfiguration zu speichern.

• Das Plugin übersetzt die eingehenden SAML-Attribute Ihres Identitätsanbieters (IdP) in die hier für Ihre DNN-Site konfigurierten benutzerdefinierten Attributnamen.

Erweiterte Rollenzuordnung

• Im Erweiterte Rollenzuordnung Abschnitt , geben Sie den Gruppenattributname genau so, wie es in Ihrem Identitätsanbieter konfiguriert ist, um die Benutzergruppeninformationen abzurufen.
• Geben Sie die Rollenname vom Identitätsanbieter empfangen und dem entsprechenden Eintrag zuordnen Rollenwert Im Feld „Rollenwert“ geben Sie die auf Ihrer DNN-Website definierten Rollen ein.
• Beispiel: Ordnen Sie die unter dem Attribut UserGroups empfangene IdP-Gruppe Group1 oder Group10 der entsprechenden Rolle zu, die in Ihrer DNN-Site konfiguriert ist.
• Nachdem Sie die erforderlichen Zuordnungen hinzugefügt haben, klicken Sie auf Rollenzuordnung speichern Die Konfiguration wurde erfolgreich gespeichert.

Domänenbeschränkung

• Mit dieser Funktion kann der Zugriff von Benutzern auf die Website basierend auf der Domain ihres zugeordneten „E-Mail“-Attributs eingeschränkt werden.
• Im E-Mail-Attribut Geben Sie im Feld den Attributnamen ein, der die vom Identitätsanbieter (IdP) erhaltene E-Mail-Adresse des Benutzers enthält.

• Im Domain Name Geben Sie im Feld die Domain(s) ein, die Sie zulassen oder einschränken möchten. Bei mehreren Domains trennen Sie die Domains durch Kommas.
• Aktivieren Sie die Einschränkungsschalter basierend auf Ihrer Anforderung zur Konfiguration des Zugriffs auf eine Blacklist oder eine Whitelist.
• Nach Abschluss der Konfiguration klicken Sie auf Gespeichert Die Einstellungen wurden erfolgreich gespeichert.

Umleitungen nach SSO und SLO

• Im Anmeldeumleitung Im Abschnitt „SSO“ geben Sie die Endpunkt-URL ein, zu der Benutzer nach erfolgreicher SSO-Anmeldung weitergeleitet werden sollen.
• Im Abmeldeumleitung Im Abschnitt „Abmeldung“ geben Sie die Endpunkt-URL an, zu der Benutzer nach erfolgreicher Abmeldung (SLO) weitergeleitet werden sollen, und klicken Sie auf „Anklicken“. Gespeichert um die Konfiguration zu aktualisieren.

SAML-Anfrage ändern

• Im SAML-Anfrage ändern geben Sie die erforderlichen Parametername und Parameterwert, drücke den + Klicken Sie auf die Schaltfläche zum Hinzufügen des Parameters und anschließend auf die Schaltfläche zum Hinzufügen des Parameters. Gespeichert um die Änderungen zu übernehmen.

Zusätzliche Einstellungen

• Ermöglichen Automatische Benutzerregistrierung Beim SSO-Login wird automatisch ein neues Benutzerkonto in DNN erstellt, falls der Benutzer noch nicht existiert.
• Ermöglichen E-Mail-Attribut überschreiben Die E-Mail-Adresse des Benutzers in DNN wird mit dem vom Identitätsanbieter (IdP) empfangenen E-Mail-Attribut aktualisiert.
• Ermöglichen Benutzer per E-Mail suchen um dem Plugin zu ermöglichen, bestehende Benutzer in DNN anhand ihrer E-Mail-Adresse zu identifizieren und abzugleichen.
• Ermöglichen Multiportal-SSO Wenn Sie Single Sign-On über mehrere DNN-Portale hinweg mit demselben Identitätsanbieter (IdP) ermöglichen möchten, klicken Sie hier. Gespeichert um die Einstellungen zu aktualisieren.

• Schwebe über die Wählen Sie Aktionen aus Klicken Sie auf das Dropdown-Menü neben dem konfigurierten Identitätsanbieter. SSO-Link kopieren.
• Verwenden Sie diesen SSO-Link, um Single Sign-On (SSO) für Benutzer zu aktivieren, die sich in Ihr DNN-Portal einloggen.

• Der Benutzer meldet sich auf der DNN-Website an, indem er die Anmeldeinformationen von ADFS eingibt.