DNN SAML Inicio de sesión único (SSO) con Shibboleth como IDP

DNN SAML Inicio de sesión único (SSO) El módulo ofrece la posibilidad de habilitar el inicio de sesión único SAML para sus aplicaciones DotNetNuke. Al utilizar el inicio de sesión único, puede utilizar solo una contraseña para acceder a su aplicación y servicios DotNetNuke. Nuestro módulo es compatible con todos los compatibles con SAML. proveedores de identidad. Aquí repasaremos una guía paso a paso para configurar el inicio de sesión único (SSO) entre DotNetNuke y Shibboleth considerando a Shibboleth como IdP.

Requisitos previos: descarga e instalación

• Descargar el paquete para el módulo DNN SAML Single Sign-On (SSO).
• Cargue el paquete de instalación dnn-saml-single-sign-on_xxx_Install al entrar Configuración > Extensión > Instalar extensión.

Pasos para configurar DNN Single Sign-On (SSO) usando Shibboleth como IDP

1. Agregar módulo en la página DNN

• Abra cualquiera de las páginas de su sitio DNN (modo de edición) y haga clic en Agregar módulo.

• Busque DNNSAMLSSO y haga clic en DNSSAMLSSO. Arrastre y suelte el módulo en la página donde desee.

• Ha terminado con la instalación del módulo en su sitio DNN.

2. Configurar Shibboleth como proveedor de identidad

• Seleccione su proveedor de identidad Santo y seña de la lista que se muestra a continuación.

• Hay dos formas que se detallan a continuación con las que puede obtener los metadatos de SAML SP para configurarlos en el extremo de su proveedor de identidad.

A] Usando la URL de metadatos SAML o el archivo de metadatos:

• under Configuración del proveedor de servicios, puede encontrar la URL de los metadatos, así como la opción para descargar los metadatos SAML.
• Copie la URL de metadatos o descargue el archivo de metadatos para configurarlo en el extremo de su proveedor de identidad.
• Puede consultar la captura de pantalla a continuación:


B] Cargar metadatos manualmente:

• Bajo la Configuración del proveedor de servicios sección, puede copiar manualmente los metadatos del proveedor de servicios como URL base, ID de entidad SP, URL ACS y compártalo con su proveedor de identidad para su configuración.
• Puede consultar la captura de pantalla a continuación:

• En conf/idp.properties, descomente y establezca 'idp.encryption.optional' en verdadero.
     p.ej. idp.encryption.opcional = verdadero
• In conf/proveedores de metadatos.xml, configure el proveedor de servicios de esta manera

    <MetadataProvider xmlns:samlmd="urn:oasis:
names:tc:SAML:2.0:metadata" 

        id="miniOrangeInLineEntity" xsi:type="InlineMetadata
Provider"
      sortKey="1"> 

        <samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID / 
Issuer
      from Service Provider Info tab in plugin.>" 

          validUntil="2020-09-06T04:13:32Z"> 

          <samlmd:SPSSODescriptor AuthnRequests
Signed="false"
      WantAssertionsSigned="true" 

          protocolSupportEnumeration="urn:oasis:names:
tc:SAML:2.0:protocol">
      

            <samlmd:NameIDFormat> 

              urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
      

            </samlmd:NameIDFormat> 

          <samlmd:AssertionConsumerService
      Binding="urn:oasis:names:tc:
SAML:2.0:bindings:HTTP-POST" 

          Location="<ACS (AssertionConsumerService) URL from 
Step1 of
      the plugin under Identity Provider Tab.>" 

            index="1" /> 

          </samlmd:SPSSODescriptor> 

          </samlmd:EntityDescriptor> 

      </MetadataProvider>
  

• In conf/saml-nameid.properties, descomentar y establecer como predeterminado ID de nombre as Correo electrónico como este

    idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
      

• In conf/saml-nombreid-xml, busque shibboleth.SAML2NameIDGenerators. Descomente el bean shibboleth.SAML2AttributeSourcedGenerator y comente todos los demás beans de referencia.

    <!-- SAML 2 NameID Generation --> 

      <util:list id="shibboleth.SAML2NameIDGenerators"> 

        <!--<ref bean="shibboleth.SAML2TransientGenerator" /> --> 

        <!-->ref bean="shibboleth.SAML2PersistentGenerator" /> --> 

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" 

        p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" 

        p:attributeSourceIds="#{ {'email'} }" /> 

      </util:list>
          

• Asegúrese de haber definido AttributeDefinition en conf/atributo-resolver.xml.

    <!-- Note: AttributeDefinitionid must be same as what
 you provided in
      attributeSourceIds in conf/saml-nameid.xml --> 

      <resolver:AttributeDefinitionxsi:type="ad:Simple"
 id="email"
      sourceAttributeID="mail"> 

        <resolver:Dependency ref="ldapConnector" /> 

        <resolver:AttributeEncoderxsi:type="enc:SAML2String" 
name="email"
      friendlyName="email" /> 

      </resolver:AttributeDefinition > 


  
      <resolver:DataConnector id="ldapConnector"
 xsi:type="dc:LDAPDirectory"
      ldapURL="%{idp.authn.LDAP.ldapURL}" 

        baseDN="%{idp.authn.LDAP.baseDN}"
 principal="%{idp.authn.LDAP.bindDN}" 

        principalCredential="%{idp.authn.LDAP.bindDNCredential}"> 

  
        <dc:FilterTemplate> 

          <!-- Define you User Search Filter here --> 

          <![CDATA[
      (&(objectclass=*)
(cn=$requestContext.principalName)) ]]> 

        </dc:FilterTemplate> 
 

  
        <dc:ReturnAttributes>*</dc:ReturnAttributes> 

      </resolver:DataConnector>
  

• Asegúrese de tener AttributeFilterPolicy definido en conf/filtro-atributo.xml.

    <afp:AttributeFilterPolicy id="ldapAttributes"> 

      <afp:PolicyRequirementRulexsi:type="basic:ANY"/> 

        <afp:AttributeRuleattributeID="email"> 

          <afp:PermitValueRulexsi:type="basic:ANY"/> 

        </afp:AttributeRule> 

      </afp:AttributeFilterPolicy> 

  

• Reinicie el servidor Shibboleth.
• Debe configurar estos puntos finales en el complemento SAML miniOrange.

ID de entidad de IDP	https://<your_domain>/idp/shibboleth
URL de inicio de sesión única	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
URL de cierre de sesión único	https://<your_domain>/idp/shibboleth
Certificado X.509	El certificado de clave pública de su servidor Shibboleth

Ha configurado correctamente Shibboleth como IdP (proveedor de identidad) SAML para lograr el inicio de sesión SSO de Shibboleth en su sitio DotNetNuke (DNN).

3. Configure el módulo SAML DotNetNuke como proveedor de servicios

Hay dos formas que se detallan a continuación con las que puede configurar los metadatos de su proveedor de identidad SAML en el módulo.

A] Cargue metadatos usando el botón Cargar metadatos IDP:

• Si su proveedor de identidad le ha proporcionado la URL de metadatos o el archivo de metadatos (solo formato .xml), simplemente puede configurar los metadatos del proveedor de identidad en el módulo usando el Cargar metadatos de IDP .
• Puede consultar la captura de pantalla a continuación:

• Puedes elegir cualquiera de las opciones según el formato de metadatos que tengas disponible.

B] Configure los metadatos del proveedor de identidad manualmente:

• Después de configurar su Proveedor de identidad, te proporcionará ID de entidad de IDP, URL de inicio de sesión único de IDP y Certificado SAML X509 campos respectivamente.
• Haga Clic en Actualizar para guardar los datos de su IDP.

4. Prueba de SSO de SAML

• Haga clic en el Configuración de prueba para verificar si ha configurado el complemento correctamente.
• Si la configuración es exitosa, obtendrá el nombre del atributo y los valores del atributo en la ventana Configuración de prueba.

5. Mapeo de atributos

• Los atributos son detalles del usuario que se almacenan en su proveedor de identidad.
• La asignación de atributos le ayuda a obtener atributos de usuario de su IdP y asignarlos a atributos de usuario de DotNetNuke como nombre, apellido, etc.
• Al registrar automáticamente a los usuarios en su sitio DotNetNuke, estos atributos se asignarán automáticamente a sus detalles de usuario de DotNetNuke.
• Ve a Configuración de DNSSAMLSSO >> Configuración avanzada >> Mapeo de atributos.

6. Agregar el widget de inicio de sesión/SSO en la página DNN

• Para agregar un botón en la página DNN al lado de la configuración del módulo, haga clic en el Añadir artículo (Icono de lápiz).

• Agregue el nombre del botón y haga clic en Guardar

• Puede ver el botón de inicio de sesión en la página después de guardar el elemento. (Si ya ha iniciado sesión en su sitio, verá un enlace "Cerrar sesión").
• Nota: Si desea habilitar este botón en cada página del sitio DNN, siga los pasos a continuación:
• Visite la Configuración >> Configuración del módulo >> Configuración avanzada y habilitar la opción para Mostrar módulo en todas las páginas.

• Advertencia: Perderá toda la configuración del módulo después de habilitar esta opción. Puede volver a configurar el módulo o es mejor habilitar esta opción antes de configurar el módulo.

7. Mapeo de roles (es opcional completar esto)

• DotNetNuke utiliza un concepto de Roles, diseñado para brindarle al propietario del sitio la capacidad de controlar lo que los usuarios pueden y no pueden hacer dentro del sitio.
• DotNetNuke tiene cinco roles predefinidos: administradores, suscriptores, usuarios registrados, traductor (en-US) y usuarios no verificados.
• El mapeo de roles le ayuda a asignar roles específicos a usuarios de un determinado grupo en su IdP.
• Durante el registro automático, a los usuarios se les asignan roles según el grupo al que están asignados.

Incluso puedes configurar el Inicio de sesión único (SSO) de ASP.NET SAML módulo con cualquier proveedor de identidad como ADFS, Azure AD, Bitium, centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2 o incluso con el tuyo propio proveedor de identidad personalizado. Para consultar otros proveedores de identidad, haga clic en esta página.

Recursos adicionales

• DNN SAML Inicio de sesión único (SSO)
• DNN OAuth Inicio de sesión único (SSO)
• Inicio de sesión único (SSO) de ASP.NET SAML
• Inicio de sesión único (SSO) SAML de nopCommerce
• Inicio de sesión único (SSO) de Umbraco SAML