SAML Single Sign-On (SSO) für WordPress mit ADFS als Identitätsanbieter | ADFS SSO-Anmeldung
Übersicht
ADFS Single Sign-On (SSO) [SAML]-Anmeldung für WordPress kann durch den Einsatz unserer erreicht werden SSO Plugin für WordPress. Unser Plugin ist mit allen SAML-kompatiblen Identitätsanbietern kompatibel. Hier werden wir eine Schritt-für-Schritt-Anleitung zur Konfiguration des SAML SSO-Logins zwischen WordPress-Site und ADFS durchgehen, wobei wir Folgendes berücksichtigen: ADFS als IDP (Identitätsanbieter) und WordPress als SP (Dienstleister).
Voraussetzungen: Download und Installation
Um ADFS als SAML-Identitätsanbieter mit WordPress zu konfigurieren, müssen Sie Folgendes installieren: miniOrange SAML SP SSO plugin.
Konfigurationsschritte
Schritt 1: ADFS als Identitätsanbieter (IDP) einrichten
Führen Sie die folgenden Schritte aus, um ADFS als Identitätsanbieter (IDP) zu konfigurieren:
- Navigieren Sie im miniOrange SAML SP SSO-Plugin zu Metadaten des Dienstanbieters Tab. Hier finden Sie die SP-Metadaten wie die SP-Entitäts-ID und die ACS-URL (AssertionConsumerService), die zur Konfiguration des Identitätsanbieters erforderlich sind.
- Suchen Sie in ADFS nach ADFS-Verwaltung Anwendung.
- Wählen Sie in der ADFS-Verwaltung aus Vertrauen der vertrauenden Partei und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen.
- Auswählen Ansprüche bewusst aus dem Relying Party Trust Wizard und klicken Sie auf Start .
Wählen Sie Datenquelle
- Wählen Sie unter Datenquelle auswählen die Datenquelle zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite aus.
Metadaten-URL
Metadaten-XML-Datei
Manuelle Konfiguration
- Navigieren Metadaten des Dienstanbieters Registerkarte des Plugins, um die Endpunkte dazu zu bringen, den Dienstanbieter manuell zu konfigurieren.
- In Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite wähle eine Option Geben Sie die Daten zur vertrauenden Seite manuell ein und klicken Sie auf Weiter.
Geben Sie den Anzeigenamen an
- Enter Display Name und Klicken Sie auf Weiter.
Zertifikat konfigurieren (Premium-Funktion)
- Laden Sie das Zertifikat herunter von Registerkarte „Metadaten des Dienstanbieters“..
- Laden Sie das Zertifikat hoch und klicken Sie auf Weiter.
URL konfigurieren
- Auswählen Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll Option und geben Sie ein ACS-URLvon den Plugins Metadaten des Dienstanbieters Tab.
- Klicken Sie auf auf Weiter.
Bezeichner konfigurieren
- Im Vertrauenskennung der vertrauenden Seite, Ergänzen Sie die SP-EntityID / Aussteller von den Plugins Metadaten des Dienstanbieters Tab.
Wählen Sie Zugriffskontrollrichtlinie
- Auswählen Erlaube allen als Zugriffskontrollrichtlinie und klicken Sie auf Weiter.
Bereit, Vertrauen hinzuzufügen
- In Bereit, Vertrauen hinzuzufügen Klicken Sie auf Weiter und dann Menu.
Anspruchsausstellungsrichtlinie bearbeiten
- In der Liste von Vertrauen der vertrauenden Partei, wählen Sie die von Ihnen erstellte Anwendung aus und klicken Sie auf Anspruchsausstellungsrichtlinie bearbeiten.
- Klicken Sie auf der Registerkarte „Issuance Transform Rule“ auf Regel hinzufügen .
Wählen Sie Regeltyp
- Auswählen Senden Sie LDAP-Attribute als Ansprüche und klicken Sie auf Weiter.
Anspruchsregel konfigurieren
- Hinzufügen Name der Anspruchsregel und wählen Sie die Attributspeicher nach Bedarf aus der Dropdown-Liste.
- Der Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen, Wählen Sie LDAP-Attribut als E-mailadressen und Ausgehender Anspruchstyp als Name ID.
- Nachdem Sie die Attribute konfiguriert haben, klicken Sie auf Farbe.
- Nachdem Sie ADFS als IDP konfiguriert haben, benötigen Sie das Föderationsmetadaten um Ihren Dienstanbieter zu konfigurieren.
- Um die ADFS-Verbundmetadaten abzurufen, können Sie diese URL verwenden
https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
Sie haben ADFS erfolgreich als SAML IDP (Identity Provider) konfiguriert, um die ADFS-SSO-Anmeldung bei Ihrer WordPress (WP)-Website zu ermöglichen.
Windows-SSO (optional)
Führen Sie die folgenden Schritte aus, um Windows SSO zu konfigurieren
Schritte zum Konfigurieren von ADFS für die Windows-Authentifizierung
- Öffnen Sie die Eingabeaufforderung mit erhöhten Rechten auf dem ADFS-Server und führen Sie den folgenden Befehl darauf aus:
-
setspn -a HTTP/##ADFS-Server-FQDN## ##Domänendienstkonto##
-
FQDN ist ein vollständig qualifizierter Domänenname (Beispiel: adfs4.example.com)
-
Das Domänendienstkonto ist der Benutzername des Kontos in AD.
-
Beispiel: setspn -a HTTP/adfs.example.com Benutzername/Domäne
- Öffnen Sie die AD FS-Verwaltungskonsole und klicken Sie auf Leistungen und geh zum Authentifizierungsmethoden Abschnitt. Klicken Sie rechts auf Bearbeiten Sie primäre Authentifizierungsmethoden. Überprüfen Sie die Windows-Authentifizierung in der Intranetzone.
- Öffnen Sie den Internet Explorer. Navigieren Sie in den Internetoptionen zur Registerkarte „Sicherheit“.
- Fügen Sie den FQDN von AD FS zur Liste der Websites im lokalen Intranet hinzu und starten Sie den Browser neu.
- Wählen Sie „Benutzerdefinierte Stufe“ für die Sicherheitszone. Wählen Sie in der Liste der Optionen die Option Automatische Anmeldung nur in der Intranetzone aus.
- Öffnen Sie die Powershell und führen Sie die folgenden zwei Befehle aus, um die Windows-Authentifizierung im Chrome-Browser zu aktivieren.
Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;
- Sie haben ADFS erfolgreich für die Windows-Authentifizierung konfiguriert.
Schritt 2: WordPress als SP (Dienstanbieter) konfigurieren
Im SAML-SSO-Plugin für WordPress gehen Sie zum Tab „IDP-Konfiguration“ des Plugins. Es gibt zwei Möglichkeiten, das SSO-Plugin für WordPress zu konfigurieren:
A. Durch Hochladen von IDP-Metadaten:
- Klicken Sie auf Laden Sie IDP-Metadaten hoch .
- Geben Sie die Identitätsanbieter Name
- Du kannst entweder Laden Sie eine Metadatendatei hoch und klicken Sie auf Hochladen Taste oder verwenden Sie a
Metadaten-URL und klicken Sie auf Metadaten abrufen.
B. Manuelle Konfiguration:
- Geben Sie die erforderlichen Einstellungen (z. B. Name des Identitätsanbieters, IDP-Entitäts-ID oder Aussteller, SAML-Anmelde-URL, X.509-Zertifikat) ein, die Ihnen von Ihrem Identitätsanbieter bereitgestellt wurden, und klicken Sie auf das Gespeichert
.
- Klicken Sie auf Testkonfiguration um die vom IDP gesendeten Attribute und Werte zu überprüfen.
Schritt 3: Attributzuordnung
Hinweis: Um die Attributzuordnung für mehrere Identitätsanbieter zu konfigurieren, folgen Sie der Einrichtungsanleitung.
werden auf dieser Seite erläutertDiese Funktion ist im Enterprise-Plan verfügbar.
- Nur im kostenlosen Plugin NameID wird für die E-Mail- und Benutzernamenattribute des WordPress-Benutzers unterstützt.
- Wenn ein Benutzer SSO durchführt, wird der vom IDP gesendete NameID-Wert der E-Mail und dem Benutzernamen des WordPress-Benutzers zugeordnet.
Im SAML-SSO-Plugin für WordPress gehen Sie zum Tab „Dienstanbieter-Einrichtung“ des Plugins. Es gibt zwei Möglichkeiten, das SSO-Plugin für WordPress zu konfigurieren:
A. Durch Hochladen von IDP-Metadaten:
- Klicken Sie auf Laden Sie IDP-Metadaten hoch .
- Geben Sie die Identitätsanbieter Name
- Du kannst entweder Laden Sie eine Metadatendatei hoch und klicken Sie auf Hochladen Taste oder verwenden Sie a
Metadaten-URL und klicken Sie auf Metadaten abrufen.
B. Manuelle Konfiguration:
- Geben Sie die erforderlichen Einstellungen (z. B. Name des Identitätsanbieters, IDP-Entitäts-ID oder Aussteller, SAML-Anmelde-URL, X.509-Zertifikat) ein, die Ihnen von Ihrem Identitätsanbieter bereitgestellt wurden, und klicken Sie auf das Gespeichert
.
- Klicken Sie auf Testkonfiguration um die vom IDP gesendeten Attribute und Werte zu überprüfen.
Schritt 3: Attributzuordnung
Hinweis: Um die Attributzuordnung für mehrere Identitätsanbieter zu konfigurieren, folgen Sie der Einrichtungsanleitung.
werden auf dieser Seite erläutertDiese Funktion ist im Enterprise-Plan verfügbar.
- Attributzuordnung Mit dieser Funktion können Sie die Karte zuordnen Benutzerattribute vom IDP während des SSO an die Benutzerattribute bei WordPress gesendet.
- Im SAML-Plugin für WordPress gehen Sie zu Attribut-/Rollenzuordnung und füllen Sie die folgenden Felder aus Attributzuordnung .
Anmerkungen: Wenn Sie auf der Registerkarte „Dienstanbieter-Setup“ auf die Schaltfläche „Konfiguration testen“ klicken und sich bei Ihrem IDP authentifizieren, können Sie auf der Registerkarte „Attribut-/Rollenzuordnung“ eine Liste der vom IDP gesendeten Attribute sehen. Diese Informationen können verwendet werden, um die obige Zuordnung bereitzustellen.
Im SAML-SSO-Plugin für WordPress gehen Sie zum Tab „Dienstanbieter-Einrichtung“ des Plugins. Es gibt zwei Möglichkeiten, das SSO-Plugin für WordPress zu konfigurieren:
A. Durch Hochladen von IDP-Metadaten:
- Klicken Sie auf Laden Sie IDP-Metadaten hoch .
- Geben Sie die Name des Identitätsanbieters
- Du kannst entweder Laden Sie eine Metadatendatei hoch und klicken Sie auf Hochladen Taste oder verwenden Sie a
Metadaten-URL und klicken Sie auf Metadaten abrufen.
- Im Premium-Plugin, es können Aktivieren Sie die automatische Synchronisierung für die Metadaten-URL Dadurch wird die Plugin-Konfiguration nach einem festgelegten Zeitintervall automatisch gemäß den IDP-Metadaten aktualisiert
B. Manuelle Konfiguration:
- Geben Sie die erforderlichen Einstellungen an (z. B. Name des Identitätsanbieters, IDP-Entitäts-ID oder Aussteller, SAML-Anmelde-URL, X.509-Zertifikat), wie von Ihrem Identitätsanbieter und klicken Sie auf
Gespeichert .
- Klicken Sie auf Testkonfiguration um die vom IDP gesendeten Attribute und Werte zu überprüfen.
-
Im Premium-Plugin können Sie die SAML-Abmelde-URL angeben, um eine einmalige Abmeldung auf Ihrer WordPress-Site zu erreichen.
Schritt 3: Attributzuordnung
Hinweis: Um die Attributzuordnung für mehrere Identitätsanbieter zu konfigurieren, folgen Sie der Einrichtungsanleitung.
werden auf dieser Seite erläutertDiese Funktion ist im Enterprise-Plan verfügbar.
-
Attributzuordnung Mit dieser Funktion können Sie die Karte zuordnen Benutzerattribute vom IDP während des SSO an die Benutzerattribute bei WordPress gesendet.
-
Im SAML-Plugin für WordPress gehen Sie zu Attribut-/Rollenzuordnung und füllen Sie die folgenden Felder aus Attributzuordnung .
-
Benutzerdefinierte Attributzuordnung: Mit dieser Funktion können Sie jedes vom IDP gesendete Attribut dem Benutzermeta Tabelle von WordPress.
Schritt 4: Rollenzuordnung
Hinweis: Um die Rollenzuordnung für mehrere Identitätsanbieter zu konfigurieren, folgen Sie der Einrichtungsanleitung. werden auf dieser Seite erläutertDiese Funktion ist im Enterprise-Plan verfügbar.
- Im kostenlosen Plugin können Sie ein auswählen Standardrolle die allen Nicht-Administrator-Benutzern zugewiesen wird, wenn sie SSO durchführen.
- Zurück Nach Attribut-/Rollenzuordnung Tab und navigieren Sie zu Rollenzuordnung .
- Wähle aus Standardrolle und klicken Sie auf Aktualisierung .
Schritt 4: Rollenzuordnung
Hinweis: Um die Rollenzuordnung für mehrere Identitätsanbieter zu konfigurieren, folgen Sie der Einrichtungsanleitung. werden auf dieser Seite erläutertDiese Funktion ist im Enterprise-Plan verfügbar.
Im Standard-Plugin können Sie eine Standardrolle auswählen, die allen Nicht-Administratorbenutzern zugewiesen wird, wenn sie SSO durchführen.
- Zurück Nach Attribut-/Rollenzuordnung Tab und navigieren Sie zu Rollenzuordnung .
- Wähle aus Standardrolle und klicken Sie auf Gespeichert .
Schritt 4: Rollenzuordnung
Diese Funktion ermöglicht es Ihnen, Benutzern bei der SSO-Anmeldung Rollen zuzuweisen und zu verwalten. Neben den Standardrollen von WordPress ist sie auch mit allen benutzerdefinierten Rollen kompatibel.
Hinweis: Um die Rollenzuordnung für mehrere Identitätsanbieter zu konfigurieren, folgen Sie der Einrichtungsanleitung. werden auf dieser Seite erläutertDiese Funktion ist im Enterprise-Plan verfügbar.
- Von dem Attributzuordnung Stellen Sie im Abschnitt des Plugins eine Zuordnung für das genannte Feld bereit
Gruppe/RolleDieses Attribut enthält die vom Identitätsanbieter (IDP) gesendeten rollenbezogenen Informationen und wird für das Rollenmapping verwendet.
- Navigieren Sie zum Abschnitt „Rollenzuordnung“ und geben Sie die Zuordnungen für die hervorgehobenen Rollen an.
-
Wenn Sie beispielsweise einen Benutzer möchten, dessen Gruppe/Rolle Der Attributwert ist wp-editor, um ihn als Editor in WordPress zuzuweisen. Geben Sie dazu einfach die Zuordnung wp-editor in der Herausgeber
Feld des Abschnitts „Rollenzuordnung“.
Schritt 5: SSO-Einstellungen
- Im kostenlosen Plugin können Sie durch Aktivieren eine Single-Sign-On-Schaltfläche hinzufügen Fügen Sie auf der WordPress-Anmeldeseite eine Schaltfläche für die einmalige Anmeldung hinzu einschalten Option 1.
- Wenn Ihr WordPress-Design das Anmelde-Widget unterstützt, können Sie ein Anmelde-Widget hinzufügen, um SP-initiiertes SSO auf Ihrer Site zu aktivieren.
- Navigieren Sie zur Registerkarte „Umleitungs- und SSO-Links“ und befolgen Sie die unten aufgeführten Schritte Option 2: Verwenden Sie ein Widget um ein Login-Widget auf Ihrer Website hinzuzufügen.
Schritt 5: SSO-Einstellungen
Im Standard-Plugin können Sie SP-initiiertes SSO mit den folgenden Optionen aktivieren.
- Automatische Weiterleitung von der Website: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf Ihre Site zuzugreifen, auf die IDP-Anmeldeseite umgeleitet und nach erfolgreicher Authentifizierung auf dieselbe Seite Ihrer Site zurückgeleitet, auf die er zugreifen wollte.
Schritte:
- Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 1: Automatisch - Weiterleitung von der Site.
- Ermöglichen Weiterleitung zu IDP, wenn der Benutzer nicht angemeldet ist [GESAMTE SITE SCHÜTZEN].
- Automatische Umleitung vom WordPress-Login: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf die standardmäßige WordPress-Anmeldeseite zuzugreifen, zur Authentifizierung auf die IDP-Anmeldeseite umgeleitet. Nach erfolgreicher Authentifizierung wird er zurück zur WordPress-Site umgeleitet.
Schritte:
- Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 2: Automatische Weiterleitung vom WordPress-Login.
- Ermöglichen Von der WordPress-Anmeldeseite zu IDP weiterleiten .
Anmerkungen: Bitte aktivieren Sie die Backdoor-Anmeldung und notieren Sie sich die Backdoor-URL. So können Sie auf die WordPress-Anmeldeseite zugreifen, falls Sie aus dem IDP ausgesperrt werden.
-
SSO-Links: Sie können SSO-Links überall auf Ihrer Website hinzufügen, indem Sie den Shortcode und das Widget verwenden, die in Registerkarte „Umleitung und SSO-Links“ > Option 3: SSO-Links Abschnitt des Plugins
Schritt 5: SSO-Einstellungen
Im Premium-Plugin können Sie SP-initiiertes SSO mit den folgenden Optionen aktivieren.
- Automatische Weiterleitung von der Website: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf Ihre Website zuzugreifen, auf die IDP-Anmeldeseite weitergeleitet und nach erfolgreicher Authentifizierung wieder auf dieselbe Seite Ihrer Website zurückgeleitet, auf die er zugreifen wollte.
Schritte:
- Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 1: Automatische Weiterleitung von der Website.
- Ermöglichen Weiterleitung zu IDP, wenn der Benutzer nicht angemeldet ist [GESAMTE SITE SCHÜTZEN] .
-
Automatische Umleitung vom WordPress-Login: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf die standardmäßige WordPress-Anmeldeseite zuzugreifen, zur Authentifizierung auf die IDP-Anmeldeseite umgeleitet. Nach erfolgreicher Authentifizierung wird er zurück zur WordPress-Site umgeleitet.
Schritte:
-
Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 2: Automatische Weiterleitung vom WordPress-Login.
- Ermöglichen Von der WordPress-Anmeldeseite zu IDP weiterleiten .
Anmerkungen: Bitte aktivieren Sie den Hintertür-Login und notieren Sie sich die Hintertür-URL. Damit können Sie auf die WordPress-Anmeldeseite zugreifen, falls Sie vom IDP-Login ausgesperrt werden.
- Login-Button: Sie können einen benutzerdefinierten Anmeldebutton an beliebiger Stelle auf Ihrer Website oder Ihrer WordPress-Anmeldeseite hinzufügen, indem Sie zu folgendem Link navigieren: Option 3: Anmeldeschaltfläche Abschnitt der Registerkarte „Weiterleitung und SSO-Links“.
-
SSO-Links: Sie können SSO-Links überall auf Ihrer Website hinzufügen, indem Sie den Shortcode und das Widget verwenden, die in Option 4: SSO-Links Abschnitt der Registerkarte Umleitung und SSO-Links.
In diesem Handbuch haben Sie die Konfiguration erfolgreich durchgeführt ADFS SAML Single Sign-On (ADFS SSO-Anmeldung) Auswahl ADFS als IDP , WordPress als SP Verwenden des miniOrange-Plugins – SAML Single Sign On – SSO-Anmeldung. Diese Lösung stellt sicher, dass Sie bereit sind, einen sicheren Zugriff auf Ihre WordPress (WP)-Site bereitzustellen ADFS-Anmeldung Anmeldeinformationen innerhalb von Minuten.
Ähnliche Artikel
Jetzt registrieren
