Wie richte ich SAML Single Sign-On für die WordPress-Anmeldung ein, mit Shibboleth-3 als SAML-Identitätsanbieter und WordPress als Service Provider?
Übersicht
Mit Shibboleth Single Sign-On für WordPress können sich Benutzer mit ihren bestehenden Shibboleth-Zugangsdaten auf Ihrer WordPress-Website anmelden. Diese Anleitung erklärt, wie Sie Shibboleth-3 mithilfe des miniOrange SAML Single Sign-On (SSO)-Plugins für WordPress mit WordPress verbinden. Das Plugin unterstützt SAML-konforme Identitätsanbieter und bietet praktische Administrationsfunktionen.
Sie konfigurieren Shibboleth-3 als SAML-Identitätsanbieter (IDP) und WordPress als Service Provider (SP). Nach der Einrichtung melden sich Benutzer über den Authentifizierungsprozess Ihrer Organisation mit Shibboleth für WordPress an, während Sie den Zugriff über die SAML-Shibboleth-Konfiguration für WordPress und die Plugin-Einstellungen verwalten.
Sie können unsere besuchen SSO für WordPress Plugin, um mehr über die anderen von uns angebotenen Funktionen zu erfahren.
Voraussetzungen: Download und Installation
Um Shibboleth-3 als SAML-Identitätsanbieter mit WordPress zu konfigurieren und die WordPress-Anmeldung zu aktivieren, installieren Sie die miniOrange SAML SP SSO Plugin für WordPress.
Konfigurationsschritte für Shibboleth SSO für WordPress
1. Shibboleth-3 als IDP (Identitätsanbieter) einrichten
Führen Sie die folgenden Schritte aus, um Shibboleth-3 als IDP zu konfigurieren:
Shibboleth-3 als IDP konfigurieren
- Navigieren Sie im miniOrange SAML SP SSO-Plugin zu Metadaten des Dienstanbieters Tab. Hier finden Sie die SP-Metadaten wie die SP-Entitäts-ID und die ACS-URL (AssertionConsumerService), die zur Konfiguration des Identitätsanbieters erforderlich sind.
- Entfernen Sie in conf/idp.properties das Kommentarzeichen und setzen Sie „idp.encryption.optional“ auf „true“.
z.B. idp.encryption.optional = true
- In conf/metadata-providers.xml, konfigurieren Sie den Dienstanbieter wie folgt
<MetadataProvider xmlns:samlmd="urn:oasis:
names:tc:SAML:2.0:metadata"
id="miniOrangeInLineEntity" xsi:type="InlineMetadata
Provider"
sortKey="1">
<samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID /
Issuer
from Service Provider Info tab in plugin.>"
validUntil="2020-09-06T04:13:32Z">
<samlmd:SPSSODescriptor AuthnRequests
Signed="false"
WantAssertionsSigned="true"
protocolSupportEnumeration="urn:oasis:names:
tc:SAML:2.0:protocol">
<samlmd:NameIDFormat>
urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
</samlmd:NameIDFormat>
<samlmd:AssertionConsumerService
Binding="urn:oasis:names:tc:
SAML:2.0:bindings:HTTP-POST"
Location="<ACS (AssertionConsumerService) URL from
Step1 of
the plugin under Identity Provider Tab.>"
index="1" />
</samlmd:SPSSODescriptor>
</samlmd:EntityDescriptor>
</MetadataProvider>
- In conf/saml-nameid.properties, Kommentar entfernen und Standard festlegen NameID as E-Mail Adresse so
idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- In conf/saml-nameid-xml, suchen Sie nach shibboleth.SAML2NameIDGenerators. Kommentieren Sie die Bean shibboleth.SAML2AttributeSourcedGenerator aus und kommentieren Sie alle anderen Ref-Beans
<!-- SAML 2 NameID Generation -->
<util:list id="shibboleth.SAML2NameIDGenerators">
<!--<ref bean="shibboleth.SAML2TransientGenerator" /> -->
<!-->ref bean="shibboleth.SAML2PersistentGenerator" /> -->
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
p:attributeSourceIds="#{ {'email'} }" />
</util:list>
- Stellen Sie sicher, dass Sie AttributeDefinition in definiert haben conf/attribute-resolver.xml.
<!-- Note: AttributeDefinitionid must be same as what
you provided in
attributeSourceIds in conf/saml-nameid.xml -->
<resolver:AttributeDefinitionxsi:type="ad:Simple"
id="email"
sourceAttributeID="mail">
<resolver:Dependency ref="ldapConnector" />
<resolver:AttributeEncoderxsi:type="enc:SAML2String"
name="email"
friendlyName="email" />
</resolver:AttributeDefinition >
<resolver:DataConnector id="ldapConnector"
xsi:type="dc:LDAPDirectory"
ldapURL="%{idp.authn.LDAP.ldapURL}"
baseDN="%{idp.authn.LDAP.baseDN}"
principal="%{idp.authn.LDAP.bindDN}"
principalCredential="%{idp.authn.LDAP.bindDNCredential}">
<dc:FilterTemplate>
<!-- Define you User Search Filter here -->
<![CDATA[
(&(objectclass=*)
(cn=$requestContext.principalName)) ]]>
</dc:FilterTemplate>
<dc:ReturnAttributes>*</dc:ReturnAttributes>
</resolver:DataConnector>
- Stellen Sie sicher, dass AttributeFilterPolicy in definiert ist conf/attribute-filter.xml.
<afp:AttributeFilterPolicy id="ldapAttributes">
<afp:PolicyRequirementRulexsi:type="basic:ANY"/>
<afp:AttributeRuleattributeID="email">
<afp:PermitValueRulexsi:type="basic:ANY"/>
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
- Starten Sie den Shibboleth-Server neu.
- Sie müssen diese Endpunkte im miniOrange SAML-Plugin konfigurieren.
| IDP-Entitäts-ID |
https://<your_domain>/idp/shibboleth |
| Einzelne Login-URL |
https://<your_domain>/idp/profile/SAML2/Redirect/SSO |
| Einzelne Abmelde-URL |
https://<your_domain>/idp/shibboleth |
| X.509-Zertifikat |
Das öffentliche Schlüsselzertifikat Ihres Shibboleth-3-Servers |
Sie haben Shibboleth-3 erfolgreich als SAML-IdP (Identitätsanbieter) konfiguriert, um die Shibboleth-3-SSO-Anmeldung bei Ihrer WordPress (WP)-Site zu erreichen.
Schritt 2: WordPress als SP (Service Provider) konfigurieren
Im SAML-SSO-Plugin für WordPress gehen Sie zum Tab „IDP-Konfiguration“ des Plugins. Es gibt zwei Möglichkeiten, das SSO-Plugin für WordPress zu konfigurieren:
A. Durch Hochladen von IDP-Metadaten:
- Klicken Sie auf Laden Sie IDP-Metadaten hoch .
- Geben Sie die Identitätsanbieter Name
- Du kannst entweder Laden Sie eine Metadatendatei hoch und klicken Sie auf Hochladen Taste oder verwenden Sie a
Metadaten-URL und klicken Sie auf Metadaten abrufen.
B. Manuelle Konfiguration:
- Geben Sie die erforderlichen Einstellungen (z. B. Name des Identitätsanbieters, IDP-Entitäts-ID oder Aussteller, SAML-Anmelde-URL, X.509-Zertifikat) gemäß den Angaben Ihres Identitätsanbieters ein und klicken Sie auf Gespeichert
.
- Klicken Sie auf Testkonfiguration um die vom IDP gesendeten Attribute und Werte zu überprüfen.
Schritt 3: Attributzuordnung
- Nur im kostenlosen Plugin NameID wird für die Attribute E-Mail und Benutzername des WordPress-Benutzers unterstützt.
- Wenn ein Benutzer SSO durchführt, wird der vom Identitätsanbieter gesendete NameID-Wert der E-Mail-Adresse und dem Benutzernamen des WordPress-Benutzers zugeordnet.
Im SAML-SSO-Plugin für WordPress gehen Sie zum Tab „Dienstanbieter-Einrichtung“ des Plugins. Es gibt zwei Möglichkeiten, das SSO-Plugin für WordPress zu konfigurieren:
A. Durch Hochladen von IDP-Metadaten:
- Klicken Sie auf Laden Sie IDP-Metadaten hoch .
- Geben Sie die Identitätsanbieter Name
- Du kannst entweder Laden Sie eine Metadatendatei hoch und klicken Sie auf Hochladen Taste oder verwenden Sie a
Metadaten-URL und klicken Sie auf Metadaten abrufen.
B. Manuelle Konfiguration:
- Geben Sie die erforderlichen Einstellungen (z. B. Name des Identitätsanbieters, IDP-Entitäts-ID oder Aussteller, SAML-Anmelde-URL, X.509-Zertifikat) gemäß den Angaben Ihres Identitätsanbieters ein und klicken Sie auf Gespeichert
.
- Klicken Sie auf Testkonfiguration um die vom IDP gesendeten Attribute und Werte zu überprüfen.
Schritt 3: Attributzuordnung
- Attributzuordnung Mit dieser Funktion können Sie die Karte zuordnen Benutzerattribute vom Identitätsanbieter während des SSO an die Benutzerattribute bei WordPress gesendet.
- Im SAML-Plugin für WordPress gehen Sie zu Attribut-/Rollenzuordnung Klicken Sie auf die Registerkarte und füllen Sie die folgenden Felder aus in Attributzuordnung .
Anmerkungen: Wenn Sie im Tab „Dienstanbieter-Setup“ auf die Schaltfläche „Konfiguration testen“ klicken und sich bei Ihrem Identitätsanbieter authentifizieren, wird Ihnen im Tab „Attribut-/Rollenzuordnung“ eine Liste der vom Identitätsanbieter gesendeten Attribute angezeigt. Diese Informationen können für die oben genannte Zuordnung verwendet werden.
Im SAML-SSO-Plugin für WordPress gehen Sie zum Tab „Dienstanbieter-Einrichtung“ des Plugins. Es gibt zwei Möglichkeiten, das SSO-Plugin für WordPress zu konfigurieren:
A. Durch Hochladen von IDP-Metadaten:
- Klicken Sie auf Laden Sie IDP-Metadaten hoch .
- Geben Sie die Name des Identitätsanbieters
- Du kannst entweder Laden Sie eine Metadatendatei hoch und klicken Sie auf Hochladen Taste oder verwenden Sie a
Metadaten-URL und klicken Sie auf Metadaten abrufen.
- Im Premium-Plugin, es können Aktivieren Sie die automatische Synchronisierung für die Metadaten-URL wodurch die Plugin-Konfiguration nach einem festgelegten Zeitintervall gemäß den IDP-Metadaten automatisch aktualisiert wird.
B. Manuelle Konfiguration:
- Geben Sie die erforderlichen Einstellungen (z. B. Name des Identitätsanbieters, IDP-Entitäts-ID oder Aussteller, SAML-Anmelde-URL, X.509-Zertifikat) gemäß den Vorgaben Ihres Anbieters an. Identitätsanbieter und klicken Sie auf
Gespeichert .
- Klicken Sie auf Testkonfiguration um die vom IDP gesendeten Attribute und Werte zu überprüfen.
-
Im Premium-Plugin können Sie die SAML-Logout-URL angeben, um Single Logout auf Ihrer WordPress-Website zu realisieren.
Schritt 3: Attributzuordnung
-
Attributzuordnung Mit dieser Funktion können Sie die Karte zuordnen Benutzerattribute vom Identitätsanbieter während des SSO an die Benutzerattribute bei WordPress gesendet.
-
Im SAML-Plugin für WordPress gehen Sie zu Attribut-/Rollenzuordnung Klicken Sie auf die Registerkarte und füllen Sie die folgenden Felder aus in Attributzuordnung .
-
Benutzerdefinierte Attributzuordnung: Diese Funktion ermöglicht es Ihnen, jedes vom Identitätsanbieter gesendete Attribut dem entsprechenden Attribut zuzuordnen. Benutzermeta Tabelle von WordPress.
Schritt 4: Rollenzuordnung
- Im kostenlosen Plugin können Sie ein auswählen Standardrolle Diese wird allen Nicht-Administratorbenutzern bei der SSO-Anmeldung zugewiesen.
- Zurück Nach Attribut-/Rollenzuordnung Tab und navigieren Sie zu Rollenzuordnung .
- Wähle aus Standardrolle und klicken Sie auf Aktualisierung .
Schritt 4: Rollenzuordnung
Im Standard-Plugin können Sie eine Standardrolle auswählen, die allen Nicht-Administratorbenutzern bei der SSO-Anmeldung zugewiesen wird.
- Zurück Nach Attribut-/Rollenzuordnung Tab und navigieren Sie zu Rollenzuordnung .
- Wähle aus Standardrolle und klicken Sie auf Gespeichert .
Schritt 4: Rollenzuordnung
Diese Funktion ermöglicht es Ihnen, Benutzern bei der SSO-Anmeldung Rollen zuzuweisen und zu verwalten. Neben den Standardrollen von WordPress ist sie auch mit allen benutzerdefinierten Rollen kompatibel.
- Von dem Attributzuordnung Stellen Sie im Abschnitt des Plugins eine Zuordnung für das genannte Feld bereit
Gruppe/RolleDieses Attribut enthält die vom Identitätsanbieter (IDP) gesendeten rollenbezogenen Informationen und wird für das Rollenmapping verwendet.
- Navigieren Sie zum Abschnitt „Rollenzuordnung“ und geben Sie die Zuordnungen für die hervorgehobenen Rollen an.
-
Wenn Sie beispielsweise einen Benutzer möchten, dessen Gruppe/Rolle Der Attributwert ist wp-editor, um ihn als Editor in WordPress zuzuweisen. Geben Sie dazu einfach die Zuordnung wp-editor in der Herausgeber
Feld des Abschnitts „Rollenzuordnung“.
Schritt 5: SSO-Einstellungen
- Im kostenlosen Plugin können Sie durch Aktivieren eine Single-Sign-On-Schaltfläche hinzufügen Fügen Sie einen Single-Sign-On-Button auf der WordPress-Anmeldeseite hinzu. einschalten Option 1.
- Wenn Ihr WordPress-Theme ein Login-Widget unterstützt, können Sie ein Login-Widget hinzufügen, um SP-initiiertes SSO auf Ihrer Website zu aktivieren.
- Navigieren Sie zur Registerkarte „Umleitungs- und SSO-Links“ und befolgen Sie die unten aufgeführten Schritte Option 2: Ein Widget verwenden um ein Login-Widget auf Ihrer Website hinzuzufügen.
Schritt 5: SSO-Einstellungen
Im Standard-Plugin können Sie SP-initiiertes SSO mit den folgenden Optionen aktivieren.
- Automatische Weiterleitung von der Website: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf Ihre Website zuzugreifen, auf die IDP-Anmeldeseite weitergeleitet und nach erfolgreicher Authentifizierung wieder auf dieselbe Seite Ihrer Website zurückgeleitet, auf die er zugreifen wollte.
Schritte:
- Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 1: Automatische Weiterleitung von der Website.
- Ermöglichen Weiterleitung zu IDP, wenn der Benutzer nicht angemeldet ist [GESAMTE SITE SCHÜTZEN].
- Automatische Umleitung vom WordPress-Login: Wenn diese Option aktiviert ist, werden nicht authentifizierte Benutzer, die versuchen, auf die Standard-Anmeldeseite von WordPress zuzugreifen, zur Authentifizierung auf die Anmeldeseite des Identitätsanbieters (IDP) weitergeleitet. Nach erfolgreicher Authentifizierung werden sie zurück zur WordPress-Website geleitet.
Schritte:
- Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 2: Automatische Weiterleitung vom WordPress-Login.
- Ermöglichen Von der WordPress-Anmeldeseite zu IDP weiterleiten .
Anmerkungen: Bitte aktivieren Sie den Hintertür-Login und notieren Sie sich die Hintertür-URL. Damit können Sie auf die WordPress-Anmeldeseite zugreifen, falls Sie vom Identitätsanbieter ausgesperrt werden.
-
SSO-Links: Sie können SSO-Links mithilfe des bereitgestellten Shortcodes und Widgets an beliebiger Stelle auf Ihrer Website hinzufügen. Registerkarte „Umleitung und SSO-Links“ > Option 3: SSO-Links Abschnitt des Plugins
Schritt 5: SSO-Einstellungen
Im Premium-Plugin können Sie SP-initiiertes SSO mit den folgenden Optionen aktivieren.
- Automatische Weiterleitung von der Website: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf Ihre Website zuzugreifen, auf die IDP-Anmeldeseite weitergeleitet und nach erfolgreicher Authentifizierung wieder auf dieselbe Seite Ihrer Website zurückgeleitet, auf die er zugreifen wollte.
Schritte:
- Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 1: Automatische Weiterleitung von der Website.
- Ermöglichen Weiterleitung zu IDP, wenn der Benutzer nicht angemeldet ist [GESAMTE SITE SCHÜTZEN] .
-
Automatische Umleitung vom WordPress-Login: Wenn diese Option aktiviert ist, wird jeder nicht authentifizierte Benutzer, der versucht, auf die standardmäßige WordPress-Anmeldeseite zuzugreifen, zur Authentifizierung auf die IDP-Anmeldeseite umgeleitet. Nach erfolgreicher Authentifizierung wird er zurück zur WordPress-Site umgeleitet.
Schritte:
-
Gehen Sie zur Registerkarte „Umleitung und SSO-Links“ des Plugins und navigieren Sie zu Option 2: Automatische Weiterleitung vom WordPress-Login.
- Ermöglichen Von der WordPress-Anmeldeseite zu IDP weiterleiten .
Anmerkungen: Bitte aktivieren Sie den Hintertür-Login und notieren Sie sich die Hintertür-URL. Damit können Sie auf die WordPress-Anmeldeseite zugreifen, falls Sie vom IDP-Login ausgesperrt werden.
- Login-Button: Sie können einen benutzerdefinierten Anmeldebutton an beliebiger Stelle auf Ihrer Website oder Ihrer WordPress-Anmeldeseite hinzufügen, indem Sie zu folgendem Link navigieren: Option 3: Anmeldeschaltfläche Abschnitt der Registerkarte „Weiterleitung und SSO-Links“.
-
SSO-Links: Sie können SSO-Links überall auf Ihrer Website hinzufügen, indem Sie den Shortcode und das Widget verwenden, die in Option 4: SSO-Links Abschnitt der Registerkarte Umleitung und SSO-Links.
Sie haben Shibboleth-3 erfolgreich als SAML IDP für Shibboleth SSO für WordPress konfiguriert, sodass sich Benutzer mit Shibboleth-3 SSO-Login auf Ihrer WordPress-Website anmelden können.
In diesem Handbuch haben Sie die Konfiguration erfolgreich durchgeführt Shibboleth-3 SAML Single Sign-On (Shibboleth-3 SSO-Anmeldung) Auswahl Shibboleth-3 als IDP , WordPress als SP mit automatisierten miniOrange-Plugin – SAML Single Sign On – SSO-AnmeldungDiese Lösung stellt sicher, dass Sie innerhalb weniger Minuten einen sicheren Zugriff auf Ihre WordPress-Website (WP) mithilfe von Shibboleth-3-Anmeldedaten einrichten können.
Ähnliche Artikel
Jetzt registrieren
