IDP として Shibboleth-2 を使用した ASP.NET SAML シングル サインオン (SSO)

ASP.NET SAML シングル サインオン (SSO) このモジュールは、ASP.NET アプリケーションの SAML シングル サインオンを有効にする機能を提供します。 シングル サインオンを使用すると、ASP.NET アプリケーションとサービスにアクセスするために必要なパスワードは XNUMX つだけです。 当社のモジュールはすべての SAML 準拠と互換性があります IDプロバイダー。 ここでは、Shibboleth-2 を IdP として考慮して、ASP.NET と Shibboleth-2 の間でシングル サインオン (SSO) を構成するためのステップバイステップ ガイドを説明します。 当社が提供するその他の機能について詳しくは、ここをクリックしてください。 こちら .

前提条件: ダウンロードとインストール

• 統合後、ブラウザを開いて、以下の URL でコネクタ ダッシュボードを参照します。
  https://<your-application-base-url>/?ssoaction=config
• 登録ページまたはログイン ページが表示されたら、miniOrange SAML SSO コネクタがアプリケーションに正常に追加されています。

• をクリックしてアカウントに登録またはログインします。 登録する ボタンを押してモジュールを設定します。

Shibboleth-2 を IDP として使用して ASP.NET シングル サインオン (SSO) を構成する手順

1. Shibboleth-2 をアイデンティティ プロバイダーとして構成する

• SP メタデータを ID プロバイダーに送信する必要があります。 SP メタデータの場合は、SP メタデータ URL を使用するか、SP メタデータを .xml ファイルとしてダウンロードして IdP 側にアップロードします。 これらのオプションは両方とも、 サービスプロバイダーの設定 タブには何も表示されないことに注意してください。

• または、SP エンティティ ID と ACS URL を手動で追加することもできます。 サービスプロバイダーの設定 プラグイン内のタブを IdP 構成に追加します。

• conf/relying-party.xml で、サービス プロバイダーを次のように構成します

      <MetadataProviderxsi:type="InlineMetadataProvider"
                          xmlns="urn
:mace:shibboleth:2.0:metadata" id="MyInlineMetadata"> 

                            <EntitiesDescriptorxmlns="urn:oasis:names:tc:SAML:2.0:metadata"> 

                              <md:EntityDescriptorxmlns:md="urn:oasis:names:tc:SAML:2
.0:metadata"
                          entityID="<ENTITY_ID_FROM_PLUGIN>"> 

                                <md:SPSSODescriptorAuthnRequestsSigned="false"

                          WantAssertionsSigned="true" protocolSupportEnumeration= 

                                    "urn:oasis:names:tc:SAML:2.0:protocol">
                          

                                  <md:nameidformat>
                              urn:oasis:names:tc:SAML:1
.1:nameidformat:emailAddress</md:NameIDFormat> 

                                      <md:AssertionConsumerService
                              Binding="urn
:oasis:names:tc:SAML:2.0:bindings:https-POST" 

                                        Location="<ACS_URL_FROM_PLUGIN>"
                              index="1"/> 

                                    </md:SPSSODescriptor> 

                                  </md:EntityDescriptor> 

                                </EntitiesDescriptor> 

                              </MetadataProvider>
</md:nameidformat>

• Shibboleth サーバーが送信していることを確認してください Eメールアドレス のユーザーの 名前ID。 attribute-resolver.xml で、電子メール属性を名前 ID として取得します。

     <resolver:AttributeDefinitionxsi:type="ad:Si
mple" id="email"
                              sourceAttributeID="mail"> 

                                 <resolver:Dependency ref="ldapConnector" /> 

                                 <resolver:AttributeEncoderxsi:type="enc:SAML2
StringNameID"
                              nameFormat="urn:oasis:names:tc:SAML:1.1: 

                                  nameid-format:emailAddress"/> 

                              </resolver:AttributeDefinition> 

      

• attribute-filter.xml で、電子メール属性を解放します。

       <afp:AttributeFilterPolicy id="releaseTransientIdToAnyone"> 

                          <afp:PolicyRequirementRulexsi:type="basic:ANY"/> 

                            <afp:AttributeRuleattributeID="email"> 

                              <afp:PermitValueRulexsi:type="basic:ANY"/> 

                            </afp:AttributeRule> 

                          </afp:AttributeFilterPolicy> 

      

• Shibboleth サーバーを再起動します。
• これらのエンドポイントをサービス プロバイダーで構成する必要があります。

IDP エンティティ ID	https://<your_domain>/idp/shibboleth
単一のログイン URL	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
X.509証明書	Shibboleth サーバーの公開鍵証明書

2. ASP.NET アプリケーションをサービス プロバイダー (SSO モジュール) として構成します。

注： プラグインのインストール後、ASP.NET アプリケーションと Shibboleth-2 の間の信頼をセットアップする必要があります。 SAML メタデータは Shibboleth-2 と共有されるため、シングル サインオンをサポートするように組み込み構成を更新できます。

2.1: SAML メタデータを Shibboleth-2 と共有する

• ソフトウェアの制限をクリック 新しい IDP を追加 Shibboleth-2 を使用して ASP.NET シングル サインオン (SSO) を構成します。

• サービスプロバイダーの設定 タブでは、コピーして貼り付けることができます。 メタデータ URL IDP 側または SPメタデータをダウンロードする XML ファイルとして。 さらに、手動でコピーして貼り付けることもできます。 ベースURL, SPエンティティID, ACSのURL.
• SAML メタデータを ID プロバイダーと共有します。

2.2: Shibboleth-2 SAML メタデータのインポート

• 選択 シボレス-2 以下に示す ID プロバイダーのリストから。

モジュール内で SAML ID プロバイダーのメタデータを構成できる XNUMX つの方法については、以下で詳しく説明します。

A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。

• ID プロバイダーからメタデータ URL またはメタデータ ファイル (.xml 形式のみ) が提供されている場合は、 IDPメタデータのアップロード オプションを選択します。
• 以下のスクリーンショットを参照してください。

• 使用可能なメタデータ形式に応じて、オプションのいずれかを選択できます。

B] ID プロバイダーのメタデータを手動で構成します。

• ID プロバイダーを構成すると、次のものが提供されます。 IDPエンティティID、IDPシングルサインオンURL & SAML X509証明書 それぞれフィールド。
• クリック Save IDP の詳細を保存します。

ASP.NET アプリケーションをサービス プロバイダーとして正常に構成しました。

3. SAML SSO のテスト

• テストする前に、次のことを確認してください。
• ASP.NET (SP) SAML メタデータが Shibboleth-2 (IDP) にエクスポートされました。
• Shibboleth-2 (IDP) SAML メタデータを ASP.NET (SP) にインポートします。
• 行った SAML 設定が正しいかどうかをテストするには、 アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します テスト構成.

• 注： プラグインの試用版では、XNUMX つの ID プロバイダー (IDP) のみを構成およびテストできます。
• 以下のスクリーンショットは、成功した結果を示しています。 クリック クリックします SSO 統合をさらに続行します。

• モジュール側でエラーが発生した場合は、以下のようなウィンドウが表示されます。

• エラーのトラブルシューティングを行うには、次の手順に従います。
• トラブルシューティング タブで、プラグイン ログを受信するためのトグルを有効にします。


• 有効にすると、次の場所に移動してプラグイン ログを取得できるようになります。 ID プロバイダーの設定 タブをクリックしてクリックします テスト構成.
• ダウンロード ログファイル 解決します タブをクリックして、何が問題だったかを確認してください。
• あなたは共有することができます ログファイル 私たちと一緒に aspnetsupport@xecurify.com 私たちのチームが問題を解決するためにご連絡いたします。

4. 統合コード

• この手順では、アプリケーションのユーザー属性にアクセスするために使用されるセッションまたはクレーム パラメーターの sso プレフィックスを指定できます。
• 統合手順がどのように機能するかまだ混乱している場合は、以下を参照してください。 セットアップツアー.

• SSO 属性を保存するためのモードを選択すると、 統合コード 選択した認証方法とアプリケーションが使用する言語に基づきます。
• ユーザー属性にアクセスしたい場所にそのコード スニペットをコピーして貼り付けるだけです。

• 注： この試用モジュールはセッションベースの認証のみをサポートしており、 ユーザーのクレーム プレミアムプラグインで利用可能です。
• 注： マッピングされたすべての属性はセッションに保存されるため、アプリケーションでアクセスできるようになります。
• 統合コードに関してサポートが必要な場合は、次のアドレスまでご連絡ください。 aspnetsupport@xecurify.com

5. ログイン設定

• ホバーオン アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SSO リンクをコピーする.

• SSO を実行するアプリケーション内のコピーしたリンクを使用します。
  https://base-url/?ssoaction=login
• たとえば、次のように使用できます。
  <a href=”https://base-url/?ssoaction=login”>Log in</a>

6. ログアウト設定

• SLO を実行するアプリケーション内のリンクとして次の URL を使用します。 https://<your-application-base-url>/?ssoaction=logout
• たとえば、次のように使用できます。 <a href="https://<your-application-base-url>/?ssoaction=logout">Logout</a>

設定することもできます DNN SAML シングル サインオン (SSO) などの任意の ID プロバイダーを備えたモジュール ADFS、Azure AD、Bitium、Centrify、G Suite、JBoss Keycloak、Okta、OneLogin、Salesforce、AWS Cognito、OpenAM、Oracle、PingFederate、PingOne、RSA SecureID、Shibboleth-2、Shibboleth-3、SimpleSAML、WSO2 またはあなた自身のものでも カスタム ID プロバイダー。 他の ID プロバイダーを確認するには、をクリックします。 こちら.

その他のリソース

• ASP.NET OAuth シングル サインオン (SSO)
• ASP.NET アプリケーションの Web3 ログイン
• DNN SAML シングル サインオン (SSO)
• DNN REST API 認証
• nopCommerce SAML シングル サインオン (SSO)
• nopCommerce OAuth シングル サインオン (SSO)
• Umbraco SAML シングル サインオン (SSO)