Conector PHP SAML 2.0 actúa como un proveedor de servicios SAML que se puede configurar para establecer la confianza entre la aplicación y un proveedor de identidad compatible con SAML para autenticar de forma segura a los usuarios en su aplicación. Aquí repasaremos una guía paso a paso para configurar ADFS como proveedor de identidad (Proveedor de identidad) y Conector PHP SAML 2.0 como SP (Proveedor de servicio).

Requisitos previos: descarga e instalación

• Para obtener el conector miniOrange PHP SAML 2.0 Contáctenos .
• Descomprima el conector PHP en el directorio donde se ejecuta su aplicación PHP.
• Acceda a la configuración del conector SSO desde su navegador con URL https://<application-url>/sso
• Inicie sesión en el conector PHP utilizando su Credenciales miniOrange.
• En miniOrange PHP SAML 2.0 Connector, en Ajustes Plugin pestaña obtendrás el Id. de entidad del proveedor de servicios y URL de ACS valores que se utilizarán al configurar su proveedor de identidad.

Pasos para configurar el inicio de sesión único (SSO) de ADFS

1. Configure ADFS como IdP (proveedor de identidad)

Siga los pasos a continuación para configurar ADFS como IdP

 Configurar ADFS como IdP

• En el complemento miniOrange SAML SP SSO, navegue hasta Metadatos del proveedor de servicios pestaña. Aquí puede encontrar los metadatos del SP, como el ID de entidad del SP y la URL de ACS (AssertionConsumerService), que son necesarios para configurar el proveedor de identidad.

• En ADFS, busque Administración de ADFS .

• En Administración de AD FS, seleccione Confianza del partido que confía y haga clic en Agregar confianza de parte dependiente.

• Seleccione Reclamos conscientes desde el Asistente de confianza para la parte que confía y haga clic en Inicio del botón.

 Seleccionar fuente de datos

• En Seleccionar fuente de datos, seleccione la fuente de datos para agregar una confianza de parte de confianza.

 Elija la política de control de acceso

• Seleccione Permitir a todos como Política de Control de Acceso y haga clic en Siguiente.

 Listo para agregar confianza

• In Listo para agregar confianza hacer clic en Siguiente y luego Cerrar.

 Editar política de emisión de reclamos

• En la lista de Confianza del partido que confía, seleccione la aplicación que creó y haga clic en Editar política de emisión de reclamos.

• En la pestaña Regla de transformación de emisión, haga clic en Agregar regla del botón.

 Elija el tipo de regla

• Seleccione Enviar atributos LDAP como reclamos y haga clic en Siguiente.

 Configurar regla de reclamo

• Agrega una Nombre de la regla de reclamo y seleccione el Tienda de atributos según sea necesario en el menú desplegable.
• under Asignación de atributos LDAP a tipos de reclamos salientes, Seleccione el atributo LDAP como Correos electrónicos y tipo de reclamación saliente como ID de nombre.

• Una vez que haya configurado los atributos, haga clic en Acabado.
• Después de configurar ADFS como IDP, necesitará el Metadatos de federación para configurar su proveedor de servicios.
• Para obtener los metadatos de la federación de ADFS, puede utilizar esta URL
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• Ha configurado ADFS correctamente como IdP (proveedor de identidad) de SAML para lograr el inicio de sesión de inicio de sesión único (SSO) de ADFS.

SSO de Windows (opcional)

Siga los pasos a continuación para configurar Windows SSO

 Pasos para configurar ADFS para la autenticación de Windows

• Abra el símbolo del sistema elevado en el servidor ADFS y ejecute el siguiente comando en él:

setspn -a HTTP/##FQDN del servidor ADFS## ##Cuenta de servicio de dominio##

FQDN es un nombre de dominio completo (Ejemplo: adfs4.example.com)

La cuenta de servicio de dominio es el nombre de usuario de la cuenta en AD.

Ejemplo: setspn -a HTTP/adfs.example.com nombre de usuario/dominio

• Abra la Consola de administración de AD FS, haga clic en Servicios e ir a la Métodos de autenticación sección. A la derecha, haga clic en Editar métodos de autenticación principales. Verifique la autenticación de Windows en la zona de Intranet.

• Abra Internet Explorer. Navegue a la pestaña Seguridad en Opciones de Internet.
• Agregue el FQDN de AD FS a la lista de sitios en la intranet local y reinicie el navegador.
• Seleccione Nivel personalizado para la zona de seguridad. En la lista de opciones, seleccione Inicio de sesión automático solo en la Zona de Intranet.

• Abra PowerShell y ejecute los siguientes dos comandos para habilitar la autenticación de Windows en el navegador Chrome.

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

• Ha configurado ADFS correctamente para la autenticación de Windows.

2. Configurar el conector PHP como SP

• In Ajustes Plugin, utilice los datos de su proveedor de identidad para configurar el complemento.

• Puedes configurar el URL base del SP o dejar esta opción como está. Otros campos son opcional.
• Haga clic en el Guardar botón para guardar su configuración.

Probar la configuración

• Puede probar si el complemento está configurado correctamente o haciendo clic en el Configuración de prueba del botón.

• Deberías ver un Prueba exitosa pantalla como se muestra a continuación junto con los valores de atributos del usuario enviados por su proveedor de identidad

3. Mapeo de atributos

• Desde el Configuración de prueba ventana copia el atributo que está regresando email y nombre de usuario.
• Puede agregar cualquier Atributo personalizado y haga clic en Guardar.

4. Habilite SSO en su aplicación

Una vez que la prueba de SSO fue exitosa, puede proporcionar una URL de aplicación a la que se redirigirá a los usuarios después de iniciar sesión.

• Para hacerlo, haga clic en el ¿Como instalar? menú en el conector SSO.
• En el campo de entrada de URL de la aplicación, ingrese la URL de su aplicación (donde desea que los usuarios sean redirigidos después de iniciar sesión).
  
• Para iniciar sesión como usuario en su aplicación, puede leer el atributo de sesión establecido por el conector SSO.

 if(session_status() === PHP_SESSION_NONE)
            {
             session_start();
            }
             $email = $_SESSION['email'];
             $username = $_SESSION['username'];

• Puedes usar las variables. $ correo electrónico y $ nombre de usuario en su aplicación para encontrar al usuario en su aplicación php e iniciar la sesión para el usuario.
• Ahora que el complemento está configurado, está listo para usarlo en su aplicación.
• Utilice la siguiente URL como enlace en su aplicación desde donde desea realizar SSO:  "http:// /sso/login.php"
Por ejemplo, puedes usarlo como:
/sso/login.php">Acceso
• Sus usuarios podrán realizar SSO en su aplicación haciendo clic en el Iniciar sesión .

En esta guía, ha configurado correctamente Inicio de sesión único SAML de ADFS (inicio de sesión SSO de ADFS) la elección de ADFS como proveedor de identidad .Esta solución garantiza que esté listo para implementar un acceso seguro a su aplicación PHP utilizando inicio de sesión ADFS credenciales en cuestión de minutos.

Recursos adicionales

• ¿Qué es el inicio de sesión único (SSO)?
• ¿Qué es ADFS?
• Configurar atributos LDAP como reclamos para mapeo de atributos
• Preguntas Frecuentes

Si está buscando algo que no puede encontrar, envíenos un correo electrónico a samlsupport@xecurify.com