IDP として Shibboleth を使用した DNN SAML シングル サインオン (SSO)

DNN SAML シングル サインオン (SSO) このモジュールは、DotNetNuke アプリケーションの SAML シングル サインオンを有効にする機能を提供します。 シングル サインオンを使用すると、DotNetNuke アプリケーションとサービスにアクセスするために XNUMX つのパスワードだけを使用できます。 当社のモジュールは、すべての SAML 準拠のモジュールと互換性があります。 IDプロバイダー。 ここでは、Shibboleth を IdP として考慮して、DotNetNuke と Shibboleth の間でシングル サインオン (SSO) を構成するためのステップバイステップ ガイドを説明します。

前提条件: ダウンロードとインストール

• ダウンロード DNN SAML シングル サインオン (SSO) モジュールのパッケージ。
• インストールパッケージをアップロードする dnn-saml-single-sign-on_xxx_Install 入ることで 設定 > 拡張機能 > 拡張機能のインストール.

Shibboleth を IDP として使用して DNN シングル サインオン (SSO) を構成する手順

1.DNNページにモジュールを追加します

• DNN サイトのいずれかのページを開き (編集モード)、次をクリックします。 モジュールの追加.

• 検索する DNNSAMLSSO をクリックし、DNNSAMLSSO をクリックします。 モジュールをページ上の目的の場所にドラッグ アンド ドロップします。

• DNN サイトへのモジュールのインストールが完了しました。

2. Shibboleth を ID プロバイダーとして設定する

• ID プロバイダーを選択してください Shibboleth 以下に示すリストから。

• SAML SP メタデータを取得して ID プロバイダー側​​で構成するには、以下に XNUMX つの方法を詳しく説明します。

A] SAML メタデータ URL またはメタデータ ファイルを使用する:

• サービスプロバイダーの設定をクリックすると、メタデータ URL と SAML メタデータをダウンロードするオプションが見つかります。
• メタデータ URL をコピーするか、メタデータ ファイルをダウンロードして、アイデンティティ プロバイダー側​​で同じ設定を行います。
• 以下のスクリーンショットを参照してください。


B] メタデータを手動でアップロードする:

• 下 サービスプロバイダーの設定 セクションでは、次のようなサービス プロバイダーのメタデータを手動でコピーできます。 ベース URL、SP エンティティ ID、ACS URL そして、それを構成のためにアイデンティティプロバイダーと共有します。
• 以下のスクリーンショットを参照してください。

• conf/idp.properties で、コメントを解除し、「idp.encryption.optional」を true に設定します。
     例えば。 idp.encryption.optional = true
• In conf/メタデータプロバイダー.xml、サービスプロバイダーを次のように設定します

    <MetadataProvider xmlns:samlmd="urn:oasis:
names:tc:SAML:2.0:metadata" 

        id="miniOrangeInLineEntity" xsi:type="InlineMetadata
Provider"
      sortKey="1"> 

        <samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID / 
Issuer
      from Service Provider Info tab in plugin.>" 

          validUntil="2020-09-06T04:13:32Z"> 

          <samlmd:SPSSODescriptor AuthnRequests
Signed="false"
      WantAssertionsSigned="true" 

          protocolSupportEnumeration="urn:oasis:names:
tc:SAML:2.0:protocol">
      

            <samlmd:NameIDFormat> 

              urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
      

            </samlmd:NameIDFormat> 

          <samlmd:AssertionConsumerService
      Binding="urn:oasis:names:tc:
SAML:2.0:bindings:HTTP-POST" 

          Location="<ACS (AssertionConsumerService) URL from 
Step1 of
      the plugin under Identity Provider Tab.>" 

            index="1" /> 

          </samlmd:SPSSODescriptor> 

          </samlmd:EntityDescriptor> 

      </MetadataProvider>
  

• In conf/saml-nameid.properties、コメントを解除してデフォルトに設定します 名前ID as Eメールアドレス このような

    idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
      

• In conf/saml-nameid-xml、shibboleth.SAML2NameIDGenerators を検索します。 shibboleth.SAML2AttributeSourcedGenerator Bean のコメントを解除し、他のすべての ref Bean をコメント化します。

    <!-- SAML 2 NameID Generation --> 

      <util:list id="shibboleth.SAML2NameIDGenerators"> 

        <!--<ref bean="shibboleth.SAML2TransientGenerator" /> --> 

        <!-->ref bean="shibboleth.SAML2PersistentGenerator" /> --> 

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" 

        p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" 

        p:attributeSourceIds="#{ {'email'} }" /> 

      </util:list>
          

• AttributeDefinition が定義されていることを確認してください。 conf/attribute-resolver.xml.

    <!-- Note: AttributeDefinitionid must be same as what
 you provided in
      attributeSourceIds in conf/saml-nameid.xml --> 

      <resolver:AttributeDefinitionxsi:type="ad:Simple"
 id="email"
      sourceAttributeID="mail"> 

        <resolver:Dependency ref="ldapConnector" /> 

        <resolver:AttributeEncoderxsi:type="enc:SAML2String" 
name="email"
      friendlyName="email" /> 

      </resolver:AttributeDefinition > 


  
      <resolver:DataConnector id="ldapConnector"
 xsi:type="dc:LDAPDirectory"
      ldapURL="%{idp.authn.LDAP.ldapURL}" 

        baseDN="%{idp.authn.LDAP.baseDN}"
 principal="%{idp.authn.LDAP.bindDN}" 

        principalCredential="%{idp.authn.LDAP.bindDNCredential}"> 

  
        <dc:FilterTemplate> 

          <!-- Define you User Search Filter here --> 

          <![CDATA[
      (&(objectclass=*)
(cn=$requestContext.principalName)) ]]> 

        </dc:FilterTemplate> 
 

  
        <dc:ReturnAttributes>*</dc:ReturnAttributes> 

      </resolver:DataConnector>
  

• AttributeFilterPolicy が定義されていることを確認してください。 conf/属性フィルター.xml.

    <afp:AttributeFilterPolicy id="ldapAttributes"> 

      <afp:PolicyRequirementRulexsi:type="basic:ANY"/> 

        <afp:AttributeRuleattributeID="email"> 

          <afp:PermitValueRulexsi:type="basic:ANY"/> 

        </afp:AttributeRule> 

      </afp:AttributeFilterPolicy> 

  

• Shibboleth サーバーを再起動します。
• これらのエンドポイントを miniOrange SAML プラグインで構成する必要があります。

IDP エンティティ ID	https://<your_domain>/idp/shibboleth
単一のログイン URL	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
シングル ログアウト URL	https://<your_domain>/idp/shibboleth
X.509証明書	Shibboleth サーバーの公開鍵証明書

DotNetNuke (DNN) サイトへの Shibboleth SSO ログインを実現するために、Shibboleth を SAML IdP (アイデンティティ プロバイダー) として正常に構成しました。

3. DotNetNuke SAML モジュールをサービス プロバイダーとして構成する

モジュール内で SAML ID プロバイダーのメタデータを構成できる XNUMX つの方法については、以下で詳しく説明します。

A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。

• ID プロバイダーからメタデータ URL またはメタデータ ファイル (.xml 形式のみ) が提供されている場合は、 IDPメタデータのアップロード オプションを選択します。
• 以下のスクリーンショットを参照してください。

• 使用可能なメタデータ形式に応じて、オプションのいずれかを選択できます。

B] ID プロバイダーのメタデータを手動で構成します。

• を構成した後 ID プロバイダー、それはあなたに提供します IDPエンティティID、IDPシングルサインオンURL & SAML X509証明書 それぞれフィールド。
• クリック アップデイト IDP の詳細を保存します。

4. SAML SSO のテスト

• クリック テスト構成 ボタンをクリックして、プラグインが正しく設定されているかどうかを確認します。
• 構成が成功すると、「テスト構成」ウィンドウに属性名と属性値が表示されます。

5. 属性マッピング

• 属性は、アイデンティティ プロバイダーに保存されるユーザーの詳細です。
• 属性マッピングは、IdP からユーザー属性を取得し、それを名、姓などの DotNetNuke ユーザー属性にマッピングするのに役立ちます。
• DotNetNuke サイトにユーザーを自動登録する際、これらの属性は DotNetNuke ユーザーの詳細に自動的にマッピングされます。
• に行く DNNSAMLSSO 設定 >> 詳細設定 >> 属性マッピング.

6. DNN ページにログイン/SSO ウィジェットを追加する

• DNN ページのモジュール設定の横にあるボタンを追加するには、 アイテムを追加 (鉛筆アイコン)。

• ボタン名を追加してクリックします Save

• 項目を保存した後のページにログインボタンが表示されます。 (すでにサイトにログインしている場合は、「ログアウト」リンクが表示されます)。
• 注： DNN サイトのすべてのページでこのボタンを有効にしたい場合は、以下の手順に従ってください。
• に行きます 設定 >> モジュール設定 >> 詳細設定 および有効化オプション 全ページにモジュールを表示.

• 警告： このオプションを有効にすると、モジュールの設定がすべて失われます。 モジュールを再構成することもできますが、モジュールを構成する前にこのオプションを有効にすることをお勧めします。

7. 役割マッピング (これを入力することはオプションです)

• DotNetNuke は、サイト所有者がサイト内でユーザーができることとできないことを制御できるように設計されたロールの概念を使用します。
• DotNetNuke には、管理者、サブスクライバー、登録ユーザー、翻訳者 (en-US)、および未検証ユーザーの XNUMX つの事前定義されたロールがあります。
• ロール マッピングは、IdP 内の特定のグループのユーザーに特定のロールを割り当てるのに役立ちます。
• 自動登録中、ユーザーにはマップ先のグループに基づいてロールが割り当てられます。

設定することもできます ASP.NET SAML シングル サインオン (SSO) などの任意の ID プロバイダーを備えたモジュール ADFS、Azure AD、Bitium、centrify、G Suite、JBoss Keycloak、Okta、OneLogin、Salesforce、AWS Cognito、OpenAM、Oracle、PingFederate、PingOne、RSA SecureID、Shibboleth-2、Shibboleth-3、SimpleSAML、WSO2 またはあなた自身のものでも カスタム ID プロバイダー。 他の ID プロバイダーを確認するには、をクリックします。 こちら.

その他のリソース

• DNN SAML シングル サインオン (SSO)
• DNN OAuth シングル サインオン (SSO)
• ASP.NET SAML シングル サインオン (SSO)
• nopCommerce SAML シングル サインオン (SSO)
• Umbraco SAML シングル サインオン (SSO)