Inicio de sesión único (SSO) de ASP.NET Core SAML
El middleware ofrece la posibilidad de habilitar el inicio de sesión único SAML para sus aplicaciones principales ASP.NET. Al utilizar el inicio de sesión único, puede utilizar solo una contraseña para acceder a sus aplicaciones y servicios principales de ASP.NET. Nuestro middleware es compatible con todos los proveedores de identidad compatibles con SAML. Aquí repasaremos una guía paso a paso para configurar el inicio de sesión único (SSO) entre ASP.NET Core y ADFS considerando ADFS como IdP. Para saber más sobre las funciones que ofrecemos para ASP.NET Core SSO, haga clic en
esta página.
Soporte de plataforma: El middleware ASP.NET Core SAML es compatible con ASP.NET Core 2.0 y versiones posteriores. Es compatible con todas las plataformas ASP.NET Core, incluidas Windows, Linux y macOS.
Requisitos previos: descarga e instalación
using miniorange.saml
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();
services.AddControllersWithViews();
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
app.UseHttpsRedirection();
app.UseRouting();
app.UseAuthorization();
app.MapRazorPages();
app.UseCookiePolicy();
app.UseAuthentication();
app.UseStaticFiles();
app.UseminiOrangeSAMLSSOMiddleware();
app.Run();
}
}
using Microsoft.AspNetCore.Authentication.Cookies;
using miniOrange.saml;
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddRazorPages();
builder.Services.AddControllersWithViews();
builder.Services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = "SSO_OR_Admin";
options.DefaultScheme = "SSO_OR_Admin";
options.DefaultChallengeScheme = "SSO_OR_Admin";
})
.AddCookie("moAdmin", options =>
{
})
.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
{
})
.AddPolicyScheme("SSO_OR_Admin", "SSO_OR_Admin", options =>
{
options.ForwardDefaultSelector = context =>
{
foreach (var cookie in context.Request.Cookies)
{
if (cookie.Key.Contains(".AspNetCore.Cookies"))
{
return CookieAuthenticationDefaults.AuthenticationScheme;
}
}
return "moAdmin";
};
});
var app = builder.Build();
if (!app.Environment.IsDevelopment())
{
app.UseExceptionHandler("/Error");
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseRouting();
app.UseAuthorization();
app.MapRazorPages();
app.UseCookiePolicy();
app.UseAuthentication();
app.UseStaticFiles();
app.UseminiOrangeSAMLSSOMiddleware();
app.Run();
Pasos para configurar el inicio de sesión único (SSO) de ASP.NET Core usando ADFS como IDP
1. Agregar middleware en la aplicación ASP.NET Core
-
Después de la integración, abra su navegador y explore el panel de middleware con la siguiente URL:
https://<asp-net-middleware-base-url>/?ssoaction=config
-
Si aparece la página de registro o la página de inicio de sesión, ha agregado exitosamente el middleware miniOrange ASP.NET SAML SSO a su aplicación.
-
Regístrese o inicie sesión con su cuenta haciendo clic en Registro para configurar el middleware.
2. Configurar ADFS como proveedor de identidad
-
Bajo la Ajustes Plugin seleccione ADFS como su proveedor de identidad de la lista que se muestra.
Hay dos formas que se detallan a continuación con las que puede obtener los metadatos de SAML SP para configurarlos en el extremo de su proveedor de identidad.
A] Usando la URL de metadatos SAML o el archivo de metadatos:
-
En Menú de configuración del complemento, buscar
Configuración del proveedor de servicios. Debajo, puede encontrar la URL de los metadatos, así como la opción para descargar los metadatos SAML.
-
Copie la URL de metadatos o descargue el archivo de metadatos para configurarlo en el extremo de su proveedor de identidad.
- Puede consultar la captura de pantalla a continuación:
B] Cargar metadatos manualmente:
-
Desde el Configuración del proveedor de servicios sección, puede copiar manualmente los metadatos del proveedor de servicios como
ID de entidad de SP, URL de ACS, URL de cierre de sesión único
y compártalo con su proveedor de identidad para su configuración.
- Puede consultar la captura de pantalla a continuación:
-
Primero, busca Administración de ADFS aplicación en su servidor ADFS.
-
En Administración de AD FS, seleccione Confianza del partido que confía y haga clic en
Agregar confianza de parte dependiente.
-
Seleccione Reclamos conscientes desde el Asistente de confianza para la parte que confía y haga clic en Inicio del botón.
-
En Seleccionar fuente de datos, seleccione la fuente de datos para agregar una confianza de parte de confianza.
-
Navegue hasta Metadatos del proveedor de servicios sección del middleware ASP.NET SAML para obtener los puntos finales para configurar el proveedor de servicios manualmente.
-
In Asistente para agregar confianza de usuario de confianza Seleccionar opción
Ingrese datos sobre la parte que confía manualmente y haga clic en
Siguiente.
Especificar nombre para mostrar
- Participar Nombre que se ve en la pagina y haga clic en Siguiente.
Configurar certificado (función Premium)
-
Descargue el certificado de Pestaña de metadatos del proveedor de servicios.
- Cargue el certificado y haga clic en Siguiente.
Configurar URL
-
Seleccione
Habilitar la compatibilidad con el protocolo WebSSO SAML 2.0 opción y entrar URL de ACSdel complemento
Metadatos del proveedor de servicios
- Haga Clic en En el siguiente.
Configurar identificadores
-
En Identificador de confianza del usuario de confianza, añade el
SP-EntityID / Emisor del complemento
Metadatos del proveedor de servicios .
Elija la política de control de acceso
-
Seleccione Permitir a todos como Política de Control de Acceso y haga clic en
Siguiente.
Listo para agregar confianza
-
In Listo para agregar confianza hacer clic en Siguiente y luego
Cerrar.
Editar política de emisión de reclamos
-
En la lista de Confianza del partido que confía, seleccione la aplicación que creó y haga clic en Editar política de emisión de reclamos.
- En la pestaña Regla de transformación de emisión, haga clic en Agregar regla del botón.
Elija el tipo de regla
-
Seleccione Enviar atributos LDAP como reclamos y haga clic en Siguiente.
Configurar regla de reclamo
-
Agrega una Nombre de la regla de reclamo y seleccione el Tienda de atributos según sea necesario en el menú desplegable.
-
under Asignación de atributos LDAP a tipos de reclamos salientes, Seleccione el atributo LDAP como Correos electrónicos y tipo de reclamación saliente como
ID de nombre.
- Una vez que haya configurado los atributos, haga clic en Acabado.
-
Después de configurar ADFS como IDP, necesitará el
Metadatos de federación para configurar su proveedor de servicios.
-
Para obtener los metadatos de la federación de ADFS, puede utilizar esta URL
https://< ADFS_Server_Name
>/federationmetadata/2007-06/federationmetadata.xml
-
Ha configurado ADFS correctamente como IdP (proveedor de identidad) de SAML para lograr el inicio de sesión de inicio de sesión único (SSO) de ADFS.
SSO de Windows (opcional)
Siga los pasos a continuación para configurar Windows SSO
Pasos para configurar ADFS para la autenticación de Windows
3. Configurar el middleware ASP.NET SAML como proveedor de servicios
Hay dos formas que se detallan a continuación con las que puede configurar los metadatos de su proveedor de identidad SAML en el middleware.
A] Cargue metadatos usando el botón Cargar metadatos IDP:
-
Si su proveedor de identidad le ha proporcionado la URL de metadatos o el archivo de metadatos (solo en formato .xml), simplemente puede configurar los metadatos del proveedor de identidad en el middleware utilizando el
Cargar metadatos de IDP .
- Puede consultar la captura de pantalla a continuación:
-
Puedes elegir cualquiera de las opciones según el formato de metadatos que tengas disponible.
B] Configure los metadatos del proveedor de identidad manualmente:
-
Después de configurar su Proveedor de identidad, te proporcionará ID de entidad de IDP, URL de inicio de sesión único de IDP y
Certificado SAML X509 campos respectivamente.
- Haga Clic en Guardar para guardar los datos de su IDP.
4. Prueba de SSO de SAML
-
Haga clic en el Configuración de prueba para probar si la configuración SAML que ha realizado es correcta.
-
La siguiente captura de pantalla muestra un resultado exitoso. Haga clic en
Integración SSO para continuar con la integración SSO.
-
Si experimenta algún error en el extremo del middleware, se le mostrará una ventana similar a la siguiente.
- Para solucionar el error, puede seguir los pasos a continuación:
-
under
Solucionar problemas
pestaña, habilite la opción para recibir los registros del complemento.
-
Una vez habilitado, podrá recuperar los registros del complemento navegando a
Ajustes Plugin pestaña y haciendo clic en Configuración de prueba.
-
Descargue nuestra archivo de registro del desplegable Solucionar problemas pestaña para ver qué salió mal.
-
Puedes compartir el archivo de registro con nosotros en
aspnetsupport@xecurify.com
y nuestro equipo se comunicará con usted para resolver su problema.
5. Mapeo de atributos
-
Después de probar la configuración, asigne los atributos de su aplicación a los atributos del proveedor de identidad (IdP).
-
Nota: Todos los atributos asignados se almacenarán en la sesión para que pueda acceder a ellos en su aplicación.
6. Código de integración
-
Estos pasos le permiten recuperar la información del usuario SSO en su aplicación en forma de reclamos de usuario.
-
También puedes mirar el recorrido de instalación para comprender cómo funcionaría la integración SSO en su aplicación de middleware asp.net.
-
Simplemente copie y pegue ese fragmento de código donde quiera acceder a los atributos del usuario.
-
Nota: Este middleware de prueba solo admite información del usuario en reclamos; la recuperación de información del usuario en la sesión y los encabezados está disponible en el complemento premium
- También puede copiar el código de integración a continuación:
string name="";
string claimtype="";
string claimvalue="";
if(User.Identity.IsAuthenticated)
{
foreach( var claim in User.Claims)
{
claimtype = claim.Type;
claimvalue = claim.Value;
}
var identity = (ClaimsIdentity)User.Identity;
IEnumerable claims = identity.Claims;
string mobileNumber = identity.FindFirst("mobileNumber")?.Value;
}
Nota: Todos los atributos asignados se almacenarán en los reclamos a los que se accederá en su aplicación.
Si desea ayuda con el código de integración, póngase en contacto con nosotros en
aspnetsupport@xecurify.com
7. Configuración de inicio de sesión
- Hover en Seleccionar acciones y haga clic en Copiar enlace SSO.
-
Utilice la siguiente URL como enlace en la aplicación desde donde desea realizar SSO:
https://asp-net-middleware-base-url/?ssoaction=login
-
Por ejemplo, puedes usarlo como:
<a href=”https://asp-net-middleware-base-url/?ssoaction=login”>Log
in</a>
8. Configuración de cierre de sesión
-
Utilice la siguiente URL como enlace a su aplicación desde donde desea realizar SLO:
https://asp-net-middleware-base-url/?ssoaction=logout
-
Por ejemplo, puedes usarlo como:
<a href=”https://asp-net-middleware-base-url/?ssoaction=logout”>Log
out</a>
Para configurar su IDP, puede encontrar los metadatos del proveedor de servicios en el archivo appsetting.json. Para los metadatos de SP, puede consultar la siguiente captura de pantalla:
Desde mininaranja sección, copie gastatyid, acsurl y proporciónelo al equipo de su proveedor de identidad.
-
Una vez que los metadatos del proveedor de servicios estén configurados en el extremo del IdP, se le proporcionará el archivo de metadatos del IdP o la URL de metadatos o URL de metadatos como el ID de entidad del IdP, la URL de SSO del IdP, etc.
-
Para configurar los metadatos de su IDP, navegue hasta
configuración de aplicaciones.json archivo. Encontrarás las siguientes configuraciones en la sección JSON del mininaranja.
-
Para configurar su IDP directamente, navegue hasta
configuración de aplicaciones.json archivo.
-
Configure los metadatos proporcionados apropiados y guarde la configuración.
| idp_cert |
Ingrese el certificado de IDP en este campo |
| agrio |
Ingrese la URL de SSO en este campo |
| idp_emisor |
Ingrese el emisor de IDP en este campo |
Asignación de atributos
-
Asigne los atributos de su aplicación a los atributos del proveedor de identidad (IDP).
-
Nota: Todos los atributos asignados se almacenarán en la sesión para que pueda acceder a ellos en su aplicación.
Código de integración
-
Simplemente copie y pegue el fragmento de código donde desee acceder a los atributos del usuario.
-
Nota: Todos los atributos asignados se almacenarán en la sesión para que pueda acceder a ellos en su aplicación.
string name="";
string claimtype="";
string claimvalue="";
if(User.Identity.IsAuthenticated) {
name= User.Identity.Name;
foreach( var claim in User.Claims) {
claimtype = claim.Type;
claimValue = claim.Value;
}
}
Puede configurar el middleware de inicio de sesión único (SSO) ASP.NET Core SAML 2.0 con cualquier proveedor de identidad, como
ADFS, Azure AD, Bitium, centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2
o incluso con el tuyo propio proveedor de identidad personalizado. Consulte la lista de proveedores de identidad
esta página.
Recursos adicionales
¿Necesitas ayuda?
¿No puedes encontrar tu proveedor de identidad? Envíenos un correo electrónico a
aspnetsupport@xecurify.com
y lo ayudaremos a configurar SSO con su IDP y para obtener orientación rápida (por correo electrónico/reunión) sobre sus requisitos y nuestro equipo lo ayudará a seleccionar la mejor solución/plan adecuado según sus requisitos.
