Duo を IDP として使用して ASP.NET Framework SAML SSO を構成するためのガイド
概要
ASP.NET SAML シングル サインオン (SSO) モジュール を有効にする能力を与えます SAML シングル サインオン ASP.NETアプリケーション用。 シングル・サインオン アクセスするには1つのパスワードのみ使用できます ASP.NETアプリケーション およびサービス。当社のモジュールは、すべての SAML準拠のIDプロバイダーここでは、設定するためのステップバイステップのガイドを紹介します。 シングルサインオン(SSO) ASP.NETと デュオ 考えると デュオ IdP として。
プラットフォームのサポート: ASP.NET SAML SSO モジュールは、ASP.NET 3.5 以降のフレームワークをサポートします。
前提条件: ダウンロードとインストール
- インストールするには miniOrange SAML SSO NuGet パッケージ .NET アプリケーションでは、アプリケーションの上に miniOrange NuGet パッケージをインストールするだけです。
NuGetパッケージ
.NET CLI
PM> NuGet\Install-Package miniOrange.SAML.SSO
- インストール後、ブラウザを開き、以下の URL でモジュール ダッシュボードを参照します。
http(s)<your-dotnet-application-base-url>?ssoaction=config
- 登録ページまたはログイン ページがポップアップ表示されたら、アプリケーションに miniOrange SAML SSO モジュールが正常に追加されています。
- をクリックしてアカウントに登録またはログインします。 会員登録する ボタンを押してモジュールを設定します。
- 登録が完了すると、登録したメールアドレスに試用ライセンス キーが送信されます。
- モジュールをアクティブ化するには、次のいずれかを実行します。
- 入力する ライセンスキー 指定された入力フィールドに電子メールで受信されます。
- ダウンロードしたライセンスファイルをアップロードするには、 詳細
OR
- 次に、「上記の条件を読み、モジュールを有効化します」のボックスにチェックを入れ、 ライセンス認証
構成手順
1. Duo Identity Providerに.NETアプリケーションメタデータを提供する
以下に、SAML SP メタデータを取得して ID プロバイダー側で構成する方法が 2 つあります。
A] SAMLメタデータURLまたはメタデータファイルを使用する
- プラグイン設定メニュー、 探す サービスプロバイダーの設定。 その下に、メタデータ URL と SAML メタデータをダウンロードするオプションがあります。
- メタデータ URL をコピーするか、メタデータ ファイルをダウンロードして、ID プロバイダー側で同じものを構成します。
- 以下のスクリーンショットを参照してください。
B] メタデータを手動でアップロードする
- ノーザンダイバー社の サービスプロバイダーの設定 セクションでは、サービスプロバイダのメタデータを手動でコピーすることができます。 SP エンティティ ID、ACS URL、シングル ログアウト URL そして、それを構成のためにアイデンティティプロバイダーと共有します。
- 以下のスクリーンショットを参照してください。
- あなたにログインする Duo 管理コンソール.
[A] Duo を ID ソースとしてセットアップします。
- この手順では、このシングルサインオン統合におけるDuoプライマリ認証用のアイデンティティソースを設定します。Active DirectoryまたはSAMLアイデンティティプロバイダーのいずれかを追加できます。このガイドでは、アイデンティティソースとしてSAMLアイデンティティプロバイダーを設定します。既にアイデンティティソースを設定している場合は、手順Bに進んでください。
- まず シングル・サインオン 左側のメニューペインからタブをクリックし、 ソースの追加 ボタン。 ここでは、Duo シングル サインオンのプライマリ認証ソースを追加します。
- 選択する 認証元 as SAML ID プロバイダー をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SAML ID プロバイダーの追加
- MFAデバイスに移動する Duo シングル サインオンを構成する セクションに移動し、アイデンティティ ソースから次の値を指定します。
| 表示名 | ID プロバイダーの名前を入力します |
| エンティティID | 入力する エンティティID あなたのアイデンティティソースの。 |
| シングルサインオンURL | 入力します シングル・サインオン ID ソースからの URL |
| 既存の証明書 | アップロード 認証 ID ソースによって提供される |
- ソフトウェアの制限をクリック Save をクリックして構成を保存します。
- 今すぐに移動する SAML ID プロバイダーの構成 ダウンロードするセクション XMLメタデータ ファイルを作成し、そのメタデータ ファイルを ID ソースに提供します。
- 設定を保存した後、 シングルサインオンに戻る.
- まず ブリッジ属性タブここでは、アイデンティティ ソースから受信したユーザー属性をマッピングします。この属性は、Duo を SAML アイデンティティ プロバイダーとして構成するためにさらに使用されます。
- 必須のブリッジ属性がいくつかありますが、これらは事前定義されており、カスタム ブリッジ属性を変更したり構成したりすることはできません。
- ブリッジ属性を設定するには、2 つのパラメータを設定する必要があります。
- ブリッジ属性名: これは、SAML アイデンティティプロバイダーとして Duo によって今後使用されるエイリアスになります。
- SAML IDプロバイダー属性: これは、アイデンティティソースから受け取る属性名です。フィールド名はアプリケーションによって異なる場合があります。
- すべてのブリッジ属性を設定したら、設定を保存します。
[B] Duo を IDP としてセットアップする
- ASP.NET SAMLシングルサインオン(SSO)モジュールの「サービスプロバイダー」タブで、以下の情報を設定します。詳細については、以下の画像をご覧ください。
| エンティティID | 入力する SPエンティティID モジュールのサービス プロバイダー メタデータ セクションから。 |
| アサーション コンシューマ サービス (ACS) URL | 入力する ACSのURL モジュールのサービス プロバイダー メタデータ セクションから。 |
- まず アプリケーション 左側のメニューペインからタブをクリックし、 アプリケーションを保護する.
- 検索する 汎用サービスプロバイダー.
- 次に、 シングル・サインオン アプリケーションをクリックして 守ります
- コピー メタデータURL、 から セクション。 これはさらに、ASP.NET SAML シングル サインオン (SSO) モジュールを構成するために使用されます。
- 下にスクロールして サービスプロバイダー のセクションから無料でダウンロードできます。
- In 名前ID 内のフィールド SAML レスポンス セクションで、サービス プロバイダーに NameID として送信するブリッジ属性を選択します。
- 下にスクロールします マップ属性 内のフィールド SAML レスポンス セクション:
- 以下のガイドラインに従ってマッピングを構成します。
- Idp属性: これはシングルサインオン設定でマッピングしたブリッジ属性です。必要に応じて属性を選択してください。
- SAMLレスポンス属性: これは、Idp 属性で設定されたブリッジ属性値とともに SAML 応答で送信される属性の名前です。
- 設定が完了したら、「保存」をクリックします。
2. .NETアプリケーションでDuoアイデンティティプロバイダのメタデータを構成する
- 以下を行うには、 IDPを選択してください 新しい ID プロバイダーを構成するためのボタン。
- 下 プラグインの設定 タブ、選択 デュオ 表示されるリストから ID プロバイダーとして選択します。
モジュールで SAML ID プロバイダーのメタデータを構成するには、以下に説明する 2 つの方法があります。
A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。
- ID プロバイダーからメタデータ URL またはメタデータ ファイル (.xml 形式のみ) が提供されている場合は、 IDPメタデータのアップロード オプションを選択します。
- メタデータ URL をコピーするか、メタデータ ファイルをダウンロードして、ID プロバイダー側で同じものを構成します。
- 以下のスクリーンショットを参照してください。
- 使用可能なメタデータ形式に応じて、オプションのいずれかを選択できます。
B] ID プロバイダーのメタデータを手動で構成します。
- を構成した後 ID プロバイダー、それはあなたに提供します IDPエンティティID、IDPシングルサインオンURL および SAML X509証明書 それぞれフィールド。
- 詳しくはこちら Save IDP の詳細を保存します。
3. SAML SSO のテスト
- メタデータの詳細をアップロードした後、 ID プロバイダーの設定 セクション。 アクションの選択 ドロップダウンをクリックして テスト構成.
- 以下のスクリーンショットは、成功した結果を示しています。 クリック SSO統合 SSO 統合をさらに続行します。
- モジュール側でエラーが発生した場合は、以下のようなウィンドウが表示されます。
- エラーのトラブルシューティングを行うには、次の手順に従います。
- 解決します タブで、プラグイン ログを受信するためのトグルを有効にします。
- 有効にすると、次の場所に移動してプラグイン ログを取得できるようになります。 プラグインの設定 タブをクリックしてクリックします テスト構成.
- ダウンロード ログファイル 解決します タブをクリックして、何が問題だったかを確認してください。
- あなたは共有することができます ログファイル 私たちと一緒に aspnetsupport@xecurify.com 私たちのチームが問題を解決するためにご連絡いたします。
4. 属性マッピング
- 構成をテストした後、アプリケーション属性をアイデンティティ プロバイダー (IdP) 属性にマップします。
- miniOrange ASP.NET SAML SSOモジュールの左側のメニューから、 属性/役割のマッピング 画像に示すようにタブをクリックします。
- IdPから追加の属性を渡したい場合は、属性名と対応する属性値を入力します。 カスタム属性マッピング.
- 注意: マップされたすべての属性はセッションに保存されるため、アプリケーションでアクセスできるようになります。
- 属性がマッピングされたら、 属性マッピングの保存 変更を適用します。
5. 統合コード
- この手順により、アプリケーション内の SSO ユーザー情報をセッションの形式で取得できます。
- 見ることもできます セットアップツアー asp.net モジュール アプリケーションで SSO 統合がどのように機能するかを理解します。
- ユーザー属性にアクセスしたい場所に、そのコード スニペットをコピーして貼り付けるだけです。
- 注意: トライアルモジュールでは、認証されたユーザーの詳細はセッション変数に保存されます。プレミアムプラグインでは、ヘッダーベース、フォームCookieベース、JWTベースの認証を使用したユーザークレームの設定がサポートされています。
6. ログイン設定
- ホバーオン アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SSO リンクをコピーします。
- SSO を実行するアプリケーション内のリンクとして次の URL を使用します。
https://<asp.net-module-base-url>/?ssoaction=login
- たとえば、次のように使用できます。
<a href="https://<asp.net-module-base-url>/?ssoaction=login">Log
in</a>
7. ログアウト設定
- SLO を実行するアプリケーションへのリンクとして次の URL を使用します。
https://<asp.net-module-base-url>/?ssoaction=logout
- たとえば、次のように使用できます。
<a href="https://<asp.net-module-base-url>/?ssoaction=logout">Log
out</a>
関連記事
Get in Touch
までご連絡ください aspnetsupport@xecurify.com、弊社のチームがASP.NET Framework SAML SSOの設定をサポートいたします。お客様の要件に応じて最適なソリューション/プランの選定をお手伝いいたします。
