Shibboleth-2 を IDP として使用して ASP.NET Framework SAML SSO を構成するためのガイド
概要
ASP.NET SAML シングル サインオン (SSO) モジュール を有効にする能力を与えます SAML シングル サインオン ASP.NETアプリケーション用。 シングル・サインオン アクセスするには1つのパスワードのみ使用できます ASP.NETアプリケーション およびサービス。当社のモジュールは、すべての SAML準拠のIDプロバイダーここでは、設定するためのステップバイステップのガイドを紹介します。 シングルサインオン(SSO) ASP.NETと シボレス-2 考えると シボレス-2 IdP として。
プラットフォームのサポート: ASP.NET SAML SSO モジュールは、ASP.NET 3.5 以降のフレームワークをサポートします。
前提条件: ダウンロードとインストール
- インストールするには miniOrange SAML SSO NuGet パッケージ .NET アプリケーションでは、アプリケーションの上に miniOrange NuGet パッケージをインストールするだけです。
NuGetパッケージ
.NET CLI
PM> NuGet\Install-Package miniOrange.SAML.SSO
- インストール後、ブラウザを開き、以下の URL でモジュール ダッシュボードを参照します。
http(s)<your-dotnet-application-base-url>?ssoaction=config
- 登録ページまたはログイン ページがポップアップ表示されたら、アプリケーションに miniOrange SAML SSO モジュールが正常に追加されています。
- をクリックしてアカウントに登録またはログインします。 会員登録する ボタンを押してモジュールを設定します。
- 登録が完了すると、登録したメールアドレスに試用ライセンス キーが送信されます。
- モジュールをアクティブ化するには、次のいずれかを実行します。
- 入力する ライセンスキー 指定された入力フィールドに電子メールで受信されます。
- ダウンロードしたライセンスファイルをアップロードするには、 詳細
OR
- 次に、「上記の条件を読み、モジュールを有効化します」のボックスにチェックを入れ、 ライセンス認証
構成手順
1. Shibboleth-2 IDプロバイダーに.NETアプリケーションメタデータを提供する
以下に、SAML SP メタデータを取得して ID プロバイダー側で構成する方法が 2 つあります。
A] SAMLメタデータURLまたはメタデータファイルを使用する
- プラグイン設定メニュー、 探す サービスプロバイダーの設定。 その下に、メタデータ URL と SAML メタデータをダウンロードするオプションがあります。
- メタデータ URL をコピーするか、メタデータ ファイルをダウンロードして、ID プロバイダー側で同じものを構成します。
- 以下のスクリーンショットを参照してください。
B] メタデータを手動でアップロードする
- ノーザンダイバー社の サービスプロバイダーの設定 セクションでは、サービスプロバイダのメタデータを手動でコピーすることができます。 SP エンティティ ID、ACS URL、シングル ログアウト URL そして、それを構成のためにアイデンティティプロバイダーと共有します。
- 以下のスクリーンショットを参照してください。
-
conf/idp.properties で、コメントを解除し、「idp.encryption.optional」を true に設定します。
例えば。 idp.encryption.optional = true
- In conf/relying-party.xml、サービスプロバイダーを次のように設定します
<MetadataProviderxsi:type="InlineMetadataProvider"
xmlns="urn:mace:shibboleth:2.0:metadata" id="MyInlineMetadata">
<EntitiesDescriptorxmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<md:EntityDescriptorxmlns:md="urn:oasis:names:tc:SAML:2
entityID="<ENTITY_ID_FROM_PLUGIN>">
<md:SPSSODescriptorAuthnRequestsSigned="false"
WantAssertionsSigned="true" protocolSupportEnumeration = "urn:oasis:names:tc:SAML:2.0:protocol">
<md:nameidformat>urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress</md:NameIDFormat>
<md:AssertionConsumerServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:https-POST"
Location="<ACS_URL_FROM_PLUGIN>" index="1"/>
</md:SPSSODescriptor>
</md:EntityDescriptor>
</EntitiesDescriptor>
</MetadataProvider>
</md:nameidformat>
- Shibboleth サーバーが送信していることを確認してください メールアドレス のユーザーの 名前ID。 attribute-resolver.xml で、電子メール属性を名前 ID として取得します。
<resolver:AttributeDefinitionxsi:type="ad:Simple" id="email" sourceAttributeID="mail">
<resolver:Dependency ref="ldapConnector" />
<resolver:AttributeEncoderxsi:type="enc:SAML2StringNameID"
nameFormat="urn:oasis:names:tc:SAML:1.1:
nameid-format:emailAddress"/>
</resolver:AttributeDefinition>
- attribute-filter.xml で、電子メール属性を解放します。
<afp:AttributeFilterPolicy id="releaseTransientIdToAnyone">
<afp:PolicyRequirementRulexsi:type="basic:ANY"/>
<afp:AttributeRuleattributeID="email">
<afp:PermitValueRulexsi:type="basic:ANY"/>
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
- Shibboleth サーバーを再起動します。
- これらのエンドポイントを ASP.NET SAML モジュールで構成する必要があります。
| IDP エンティティ ID | https://<your_domain>/idp/shibboleth |
| 単一のログイン URL | https://<your_domain>/idp/profile/SAML2/Redirect/SSO |
| X.509証明書 | Shibboleth サーバーの公開鍵証明書 |
- ASP.NET アプリケーションへの Shibboleth SSO ログインを実現するために、Shibboleth-2 を SAML IdP (アイデンティティ プロバイダー) として正常に構成しました。
2. .NETアプリケーションでShibboleth-2 IDプロバイダーメタデータを構成する
- 以下を行うには、 IDPを選択してください 新しい ID プロバイダーを構成するためのボタン。
- 下 プラグインの設定 タブ、選択 シボレス-2 表示されるリストから ID プロバイダーとして選択します。
モジュールで SAML ID プロバイダーのメタデータを構成するには、以下に説明する 2 つの方法があります。
A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。
- ID プロバイダーからメタデータ URL またはメタデータ ファイル (.xml 形式のみ) が提供されている場合は、 IDPメタデータのアップロード オプションを選択します。
- メタデータ URL をコピーするか、メタデータ ファイルをダウンロードして、ID プロバイダー側で同じものを構成します。
- 以下のスクリーンショットを参照してください。
- 使用可能なメタデータ形式に応じて、オプションのいずれかを選択できます。
B] ID プロバイダーのメタデータを手動で構成します。
- を構成した後 ID プロバイダー、それはあなたに提供します IDPエンティティID、IDPシングルサインオンURL の三脚と SAML X509証明書 それぞれフィールド。
- 詳しくはこちら Save IDP の詳細を保存します。
3. SAML SSO のテスト
- メタデータの詳細をアップロードした後、 ID プロバイダーの設定 セクション。 アクションの選択 ドロップダウンをクリックして テスト構成.
- 以下のスクリーンショットは、成功した結果を示しています。 クリック SSO統合 SSO 統合をさらに続行します。
- モジュール側でエラーが発生した場合は、以下のようなウィンドウが表示されます。
- エラーのトラブルシューティングを行うには、次の手順に従います。
- 解決します タブで、プラグイン ログを受信するためのトグルを有効にします。
- 有効にすると、次の場所に移動してプラグイン ログを取得できるようになります。 プラグインの設定 タブをクリックしてクリックします テスト構成.
- ダウンロード ログファイル 解決します タブをクリックして、何が問題だったかを確認してください。
- あなたは共有することができます ログファイル 私たちと一緒に aspnetsupport@xecurify.com 私たちのチームが問題を解決するためにご連絡いたします。
4. 属性マッピング
- 構成をテストした後、アプリケーション属性をアイデンティティ プロバイダー (IdP) 属性にマップします。
- miniOrange ASP.NET SAML SSOモジュールの左側のメニューから、 属性/役割のマッピング 画像に示すようにタブをクリックします。
- IdPから追加の属性を渡したい場合は、属性名と対応する属性値を入力します。 カスタム属性マッピング.
- 注意: マップされたすべての属性はセッションに保存されるため、アプリケーションでアクセスできるようになります。
- 属性がマッピングされたら、 属性マッピングの保存 変更を適用します。
5. 統合コード
- この手順により、アプリケーション内の SSO ユーザー情報をセッションの形式で取得できます。
- 見ることもできます セットアップツアー asp.net モジュール アプリケーションで SSO 統合がどのように機能するかを理解します。
- ユーザー属性にアクセスしたい場所に、そのコード スニペットをコピーして貼り付けるだけです。
- 注意: トライアルモジュールでは、認証されたユーザーの詳細はセッション変数に保存されます。プレミアムプラグインでは、ヘッダーベース、フォームCookieベース、JWTベースの認証を使用したユーザークレームの設定がサポートされています。
6. ログイン設定
- ホバーオン アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SSO リンクをコピーします。
- SSO を実行するアプリケーション内のリンクとして次の URL を使用します。
https://<asp.net-module-base-url>/?ssoaction=login
- たとえば、次のように使用できます。
<a href="https://<asp.net-module-base-url>/?ssoaction=login">Log
in</a>
7. ログアウト設定
- SLO を実行するアプリケーションへのリンクとして次の URL を使用します。
https://<asp.net-module-base-url>/?ssoaction=logout
- たとえば、次のように使用できます。
<a href="https://<asp.net-module-base-url>/?ssoaction=logout">Log
out</a>
関連記事
ご返答ありがとうございます。 すぐにご連絡させていただきます。
何か問題が発生しました。 もう一度質問を送信してください
