Contents

IDP として ADFS を使用した Blazor SAML SSO

Blazor SAML シングルサインオン (SSO) このアプリケーションは、Blazor アプリケーションの SAML シングルサインオンを有効にする機能を提供します。シングルサインオンを使用すると、Blazor アプリケーションとサービスにアクセスするために 1 つのパスワードだけを使用できます。私たちのアプリケーションは、SAML 準拠のすべての ID プロバイダーと互換性があります。ここでは、Azure AD を IdP として考慮して、Blazor と Microsoft Entra ID (旧称 Azure AD) の間でシングルサインオン (SSO) を構成するためのステップバイステップガイドを説明します。 Blazor SSO に提供される機能の詳細については、ここをクリックしてください。こちら.

プラットフォームのサポート： Blazor SAML アプリケーションは、ASP.NET Core 2.0 以降をサポートします。 Windows、Linux、macOS を含むすべての Blazor プラットフォームをサポートします。

ADFS を IDP として使用して Blazor シングルサインオン (SSO) を構成する手順

ステップ 1: 前提条件: ダウンロードとインストール

nuget パッケージを使用して、アプリケーションパッケージに Blazor SAML SSO ミドルウェアをインストールします。

NuGetパッケージ
.NET CLI

PM> NuGet\Install-Package miniOrange.SAML.SSO

      
          
          
    
    using miniorange.saml
    public class Startup
    {
      public void ConfigureServices(IServiceCollection services)
      {
   
       services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();
       services.AddControllersWithViews();
      }
      public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
      {
        app.UseHttpsRedirection();
        app.UseRouting();
        app.UseAuthorization();
        app.MapRazorPages();
    
        app.UseCookiePolicy();
        app.UseAuthentication();
        app.UseStaticFiles();
        app.UseminiOrangeSAMLSSOMiddleware();
        app.Run();
      }
    }

      
          
    
    using Microsoft.AspNetCore.Authentication.Cookies;
    using miniOrange.saml;
    
    var builder = WebApplication.CreateBuilder(args);
    
    builder.Services.AddRazorPages();
    // Add authentication services
    builder.Services.AddminiOrangeServices(Assembly.GetExecutingAssembly());
    
    var app = builder.Build();
    
    if (!app.Environment.IsDevelopment())
     {
        app.UseExceptionHandler("/Error");
    
        app.UseHsts();
     }
    
    app.UseHttpsRedirection();
    app.UseRouting();
    app.UseAuthorization();
    app.MapRazorPages();
    
    app.UseCookiePolicy();
    app.UseAuthentication();
    app.UseStaticFiles();
    app.UseminiOrangeSAMLSSOMiddleware();
    app.Run();
    app.useantiforgery()

統合後、ブラウザを開いて、以下の URL でコネクタダッシュボードを参照します。
https://<blazor-application-base-url>/?ssoaction=config
登録ページまたはログインページが表示されたら、miniOrange ASP.NET SAML SSO コネクタがアプリケーションに正常に追加されています。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - saml dll レジスタ

をクリックしてアカウントに登録またはログインします。 会員登録する ボタンをクリックしてアプリケーションを設定します。

2. ADFS を ID プロバイダーとして構成する

下 プラグインの設定 タブ、選択 ADFS 表示されたリストから ID プロバイダーとして選択します。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - ID プロバイダーとして ADFS を選択します

SAML SP メタデータを取得して ID プロバイダー側で構成するには、以下に詳しく説明する 2 つの方法があります。

A] SAML メタデータ URL またはメタデータファイルを使用する:

プラグイン設定メニュー、探す サービスプロバイダーの設定。その下に、メタデータ URL と SAML メタデータをダウンロードするオプションがあります。
メタデータ URL をコピーするか、メタデータファイルをダウンロードして、アイデンティティプロバイダー側で同じ設定を行います。
以下のスクリーンショットを参照してください。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - ダウンロードされたメタデータのコピー

B] メタデータを手動でアップロードする:

ノーザンダイバー社の サービスプロバイダーの設定 セクションでは、次のようなサービスプロバイダーのメタデータを手動でコピーできます。 SP エンティティ ID、ACS URL、シングルログアウト URL そして、それを構成のためにアイデンティティプロバイダーと共有します。
以下のスクリーンショットを参照してください。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - 手動メタデータ

まず、 ADFS 管理 ADFS サーバー上のアプリケーション。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - adfs サーバー

[AD FS 管理] で、[AD FS 管理] を選択します。 依拠当事者の信頼 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 依拠当事者の信頼を追加する.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - 証明書利用者信頼の追加

選択する クレーム対応 証明書利用者信頼ウィザードから、をクリックします。 お気軽にご連絡ください

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - クレーム対応

データソースを選択

[データソースの選択] で、証明書利用者信頼を追加するデータソースを選択します。

メタデータURL
メタデータ XML ファイル
手動設定

MFAデバイスに移動する サービスプロバイダーのメタデータ ASP.NET Core SAML ミドルウェアのセクションをコピーし、 メタデータURL.
選択する オンラインまたはローカルネットワーク上で公開されている証明書利用者に関するデータをインポートする オプションを選択し、フェデレーションメタデータアドレスにメタデータ URL を追加します。
ソフトウェアの制限をクリック次へ.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 ウィザードメタデータのサポート

注意： 次のステップで、希望する値を入力します 表示名 をクリックし次へ.

MFAデバイスに移動する サービスプロバイダーのメタデータ ASP.NET SAML ミドルウェアのセクションを参照して、サービスプロバイダーを手動で構成するためのエンドポイントを取得します。
In 証明書利用者信頼の追加ウィザード オプションを選択 証明書利用者に関するデータを手動で入力する をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 次へ。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 ウィザード_メタデータマニュアル

表示名を指定

Enter 表示名 とクリック次へ.

証明書の構成 (プレミアム機能)

から証明書をダウンロードします。 サービスプロバイダーの「メタデータ」タブ.
証明書をアップロードして、次へ.

URLを構成する

選択する SAML 2.0 WebSSO プロトコルのサポートを有効にする オプションを選択して入力します ACSのURLプラグインから サービスプロバイダーのメタデータ タブ。
詳しくはこちら次へ.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 用 Wizard_SAML を有効にする

識別子の構成

証明書利用者信頼識別子、追加 SP-EntityID / 発行者 プラグインから サービスプロバイダーのメタデータ タブには何も表示されないことに注意してください。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 Wizard_URL

アクセス制御ポリシーの選択

選択する 全員許可 アクセス制御ポリシーとして選択し、次へ.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 ウィザード多要素用

信頼を追加する準備ができました

In 信頼を追加する準備ができましたをクリックしてください次へその後 閉じる.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 ウィザード編集要求

請求発行ポリシーの編集

のリストで 依拠当事者の信頼、作成したアプリケーションを選択し、をクリックします。 請求発行ポリシーの編集.

「発行変換ルール」タブで、をクリックします。 ルールを追加する

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 ウィザード要求ルール用

ルールタイプを選択

選択する LDAP属性をクレームとして送信する をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します次へ.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 の場合 Configure_LDAP 属性

クレームルールの構成

加える クレームルール名 選択 属性ストア 必要に応じてドロップダウンから選択します。
LDAP 属性の発信クレームタイプへのマッピング, [LDAP 属性] を選択します。 メールアドレス 発信要求タイプとして 名前ID.

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - SAML 2.0 の追加変換要求ルール用

属性を設定したら、 仕上げ.
ADFS を IDP として構成した後、次のものが必要になります。 フェデレーションメタデータ サービスプロバイダーを設定します。
ADFS フェデレーションメタデータを取得するには、次の URL を使用できます。
https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
ADFS シングルサインオン (SSO) ログインを実現するために、ADFS を SAML IdP (アイデンティティプロバイダー) として正常に構成しました。

Windows SSO (オプション)

Windows SSO を設定するには、以下の手順に従ってください。

Windows 認証用に ADFS を構成する手順

ADFS サーバーで管理者特権のコマンドプロンプトを開き、次のコマンドを実行します。

ミニオレンジ画像 setspn -a HTTP/##ADFS サーバー FQDN## ##ドメインサービスアカウント##

ミニオレンジ画像 FQDN は完全修飾ドメイン名です (例: adfs4.example.com)

ミニオレンジ画像ドメインサービスアカウントは、AD のアカウントのユーザー名です。

ミニオレンジ画像例: setspn -a HTTP/adfs.example.com ユーザー名/ドメイン

AD FS 管理コンソールを開き、次をクリックします。 Services そして、に行きます 認証方法 セクション。右側で、をクリックします プライマリ認証方法の編集。イントラネットゾーンの Windows 認証を確認します。

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - プライマリ認証

ADFS を IDP として使用する ASP.NET Core SAML シングルサインオン (SSO) - 管理アプリケーション

Internet Explorer を開きます。「インターネットオプション」の「セキュリティ」タブに移動します。
AD FS の FQDN をローカルイントラネットのサイトのリストに追加し、ブラウザーを再起動します。
セキュリティゾーンのカスタムレベルを選択します。オプションのリストで、「イントラネットゾーンのみで自動ログオンする」を選択します。

PowerShell を開き、次の XNUMX つのコマンドを実行して、Chrome ブラウザーで Windows 認証を有効にします。


                      Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")


                      Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

Windows 認証用に ADFS が正常に構成されました。

3. Blazor SAML アプリケーションをサービスプロバイダーとして構成する

アプリケーションで SAML ID プロバイダーのメタデータを構成するには、以下に詳しく説明する 2 つの方法があります。

A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。

ID プロバイダーからメタデータ URL またはメタデータファイル (.xml 形式のみ) が提供されている場合は、 IDPメタデータのアップロード オプションを選択します。
以下のスクリーンショットを参照してください。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - メタデータのアップロード

使用可能なメタデータ形式に応じて、オプションのいずれかを選択できます。

B] ID プロバイダーのメタデータを手動で構成します。

を構成した後 ID プロバイダー、それはあなたに提供します IDPエンティティID、IDPシングルサインオンURL and SAML X509証明書 それぞれフィールド。
詳しくはこちら Save IDP の詳細を保存します。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - SAML dll 構成

4. SAML SSO のテスト

以下を行うには、 テスト構成 ボタンをクリックして、行った SAML 構成が正しいかどうかをテストします。
以下のスクリーンショットは、成功した結果を示しています。クリック SSO統合 SSO 統合をさらに続行します。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - SAML dll テスト構成

アプリケーション側でエラーが発生した場合は、以下のようなウィンドウが表示されます。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - デバッグログを有効にする

エラーのトラブルシューティングを行うには、次の手順に従います。

解決します タブで、プラグインログを受信するためのトグルを有効にします。

有効にすると、次の場所に移動してプラグインログを取得できるようになります。 プラグインの設定 タブをクリックしてクリックします テスト構成.
ダウンロード ログファイル 解決します タブをクリックして、何が問題だったかを確認してください。
あなたは共有することができます ログファイル 私たちと一緒に aspnetsupport@xecurify.com 私たちのチームが問題を解決するためにご連絡いたします。

5. 属性マッピング

構成をテストした後、アプリケーション属性をアイデンティティプロバイダー (IdP) 属性にマップします。
無料プラグインではNameIDのみ設定可能
注: マップされた属性はすべてクレームに保存されるため、アプリケーションでアクセスできるようになります。.

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - 属性マッピング

6. 統合コード

この手順により、アプリケーション内の SSO ユーザー情報をユーザークレームの形式で取得できます。
見ることもできます セットアップツアー SSO 統合が Blazor アプリケーションでどのように機能するかを理解するために。
ユーザー属性にアクセスしたい場所にそのコードスニペットをコピーして貼り付けるだけです。

ASP.NET Core SAML シングルサインオン (SSO) | ASP.NET Core 認証 | ASP.NET Core SAML SSO - 統合コード

注意：この試用版ミドルウェアはクレーム内のユーザー情報のみをサポートしており、セッションおよびヘッダー内のユーザー情報の取得はプレミアムプラグインで利用できます。
以下から統合コードをコピーすることもできます。

          
      

  string name="";
  string claimtype="";
  string claimvalue="";

   if(User.Identity.IsAuthenticated)
   {
     foreach( var claim  in User.Claims) 
     {
       claimtype = claim.Type;
       claimvalue = claim.Value;
     }
     retrive custom attributes(for eg. Retrieve Mapped 'mobileNumber' attribute of your IDP)
     var identity = (ClaimsIdentity)User.Identity;
     IEnumerable claims = identity.Claims;
     string mobileNumber = identity.FindFirst("mobileNumber")?.Value;
   }

注意： マップされたすべての属性はクレームに保存され、アプリケーションでアクセスされます。
統合コードに関してサポートが必要な場合は、次のアドレスまでご連絡ください。 aspnetsupport@xecurify.com

7. ログイン設定

ホバーオン アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SSO リンクをコピーする.

Auth0 を IDP として使用する ASP.NET SAML シングルサインオン (SSO) - 言語に基づく ASP.NET 統合コード

SSO を実行するアプリケーション内のリンクとして次の URL を使用します。
https://blazor-application-base-url/?ssoaction=login
たとえば、次のように使用できます。
<a href=”https://blazor-application-base-url/?ssoaction=login”>Log in</a>

8. ログアウト設定

SLO を実行するアプリケーションへのリンクとして、次の URL を使用します。
https://blazor-application-base-url/?ssoaction=logout
たとえば、次のように使用できます。
<a href=”https://blazor-application-base-url/?ssoaction=logout”>Log out</a>

IDP を構成するには、appsetting.json ファイルでサービスプロバイダーのメタデータを見つけることができます。 SP メタデータについては、以下のスクリーンショットを参照してください。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - SP メタデータ

ミニオレンジ セクションで、pentityid、acsurl をコピーし、アイデンティティプロバイダーのチームに提供します。

サービスプロバイダーのメタデータが IdP 側で構成されると、IdP メタデータファイル、メタデータ URL、または IdP エンティティ ID、IdP SSO URL などのメタデータ URL が提供されます。
IDP メタデータを構成するには、次の場所に移動します。 アプリ設定.json ファイル。 miniorange の JSON セクションには次の設定があります。
IDP を直接設定するには、次の場所に移動します。 アプリ設定.json ファイルにソフトウェアを指定する必要があります。

Azure AD (Microsoft Entra ID) を IDP として使用する Blazor SAML シングルサインオン (SSO) - IDP メタデータ

提供された適切なメタデータを構成し、設定を保存します。

idp_cert	このフィールドに IDP 証明書を入力します
スール	このフィールドに SSO URL を入力します
idp_issuer	このフィールドに IDP 発行者を入力します

属性マッピング

アプリケーション属性をアイデンティティプロバイダー (IDP) 属性にマップします。
注意： マッピングされたすべての属性はセッションに保存されるため、アプリケーションでアクセスできるようになります。

統合コード

ユーザー属性にアクセスしたい場所にコードスニペットをコピーして貼り付けるだけです。
注意： マッピングされたすべての属性はセッションに保存されるため、アプリケーションでアクセスできるようになります。

string name="";

        string claimtype="";

        string claimvalue="";

        if(User.Identity.IsAuthenticated) { 

          name= User.Identity.Name;

          foreach( var claim in User.Claims) {
        
    claimtype = claim.Type;
        
    claimValue = claim.Value;
        
  }
}

Blazor SAML 2.0 シングルサインオン (SSO) アプリケーションは、次のような任意の ID プロバイダーで構成できます。 ADFS、Microsoft Entra ID (旧称 Azure AD)、Bitium、Centrify、G Suite、JBoss Keycloak、Okta、OneLogin、Salesforce、AWS Cognito、OpenAM、Oracle、PingFederate、PingOne、RSA SecureID、Shibboleth-2、Shibboleth-3、SimpleSAML 、WSO2、または独自のカスタム ID プロバイダーを使用する場合でも。 ID プロバイダーのリストを確認するこちら.

その他のリソース

お困りですか？

ID プロバイダーが見つからない場合は、メールでお問い合わせください aspnetsupport@xecurify.com また、お客様の IDP による SSO のセットアップをお手伝いし、お客様の要件に関する迅速なガイダンス (電子メール/会議経由) を提供します。また、当社のチームがお客様の要件に応じて最適なソリューション/プランを選択するお手伝いをします。

Contents