IDP として ADFS を使用した ASP.NET SAML シングル サインオン (SSO)

ASP.NET SAML シングル サインオン (SSO) このモジュールは、ASP.NET アプリケーションの SAML シングル サインオンを有効にする機能を提供します。 シングル サインオンを使用すると、ASP.NET アプリケーションとサービスにアクセスするために XNUMX つのパスワードだけを使用できます。 私たちのモジュールはすべての SAML 準拠と互換性があります。 IDプロバイダーここでは、ADFSをIdPとして、ASP.NETとADFS間のシングルサインオン（SSO）を構成するための手順を順を追って説明します。当社が提供するその他の機能の詳細については、 こちら.

前提条件: ダウンロードとインストール

• 統合後、ブラウザを開いて、以下の URL でコネクタ ダッシュボードを参照します。
  https://<your-application-base-url>/?ssoaction=config
• 登録ページまたはログイン ページが表示されたら、miniOrange SAML SSO コネクタがアプリケーションに正常に追加されています。

• をクリックしてアカウントに登録またはログインします。 登録する ボタンを押してモジュールを設定します。

ADFS を IDP として使用して ASP.NET シングル サインオン (SSO) を構成する手順

1. ADFSをIDプロバイダーとして設定する

• SP メタデータを ID プロバイダーに送信する必要があります。 SP メタデータの場合は、SP メタデータ URL を使用するか、SP メタデータを .xml ファイルとしてダウンロードして IdP 側にアップロードします。 これらのオプションは両方とも、 サービスプロバイダーの設定 タブには何も表示されないことに注意してください。

• または、SP エンティティ ID と ACS URL を手動で追加することもできます。 サービスプロバイダーの設定 プラグイン内のタブを IdP 構成に追加します。

• まず、 ADFS 管理 ADFS サーバー上のアプリケーション。

• [AD FS 管理] で、[AD FS 管理] を選択します。 依拠当事者の信頼 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 依拠当事者の信頼を追加する.

• 選択 クレーム対応 証明書利用者信頼ウィザードから、 をクリックします。 お気軽にご連絡ください

 データソースを選択

• [データ ソースの選択] で、証明書利用者信頼を追加するデータ ソースを選択します。

 アクセス制御ポリシーの選択

• 選択 全員許可 アクセス制御ポリシーとして選択し、 次へ.

 信頼を追加する準備ができました

• In 信頼を追加する準備ができました をクリックしてください 次へ その後 閉じる.

 請求発行ポリシーの編集

• のリストで 依拠当事者の信頼、作成したアプリケーションを選択し、 をクリックします。 請求発行ポリシーの編集.

• 「発行変換ルール」タブで、 をクリックします。 ルールを追加する

 ルールタイプを選択

• 選択 LDAP属性をクレームとして送信する をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します 次へ.

 クレームルールの構成

• 加える クレームルール名 選択 属性ストア 必要に応じてドロップダウンから選択します。
• LDAP 属性の発信クレーム タイプへのマッピング, [LDAP 属性] を選択します。 メールアドレス 発信要求タイプとして 名前ID.

• 属性を設定したら、 終了.
• ADFS を IDP として構成した後、次のものが必要になります。 フェデレーションメタデータ サービスプロバイダーを設定します。
• ADFS フェデレーション メタデータを取得するには、次の URL を使用できます。
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• ADFS シングル サインオン (SSO) ログインを実現するために、ADFS を SAML IdP (アイデンティティ プロバイダー) として正常に構成しました。

Windows SSO (オプション)

Windows SSO を設定するには、以下の手順に従ってください。

 Windows 認証用に ADFS を構成する手順

• ADFS サーバーで管理者特権のコマンド プロンプトを開き、次のコマンドを実行します。

setspn -a HTTP/##ADFS サーバー FQDN## ##ドメイン サービス アカウント##

FQDN は完全修飾ドメイン名です (例: adfs4.example.com)

ドメイン サービス アカウントは、AD のアカウントのユーザー名です。

例: setspn -a HTTP/adfs.example.com ユーザー名/ドメイン

• AD FS 管理コンソールを開き、次をクリックします。 事業紹介 そして、に行きます 認証方法 セクション。 右側で、 をクリックします プライマリ認証方法の編集。 イントラネット ゾーンの Windows 認証を確認します。

• Internet Explorer を開きます。 「インターネット オプション」の「セキュリティ」タブに移動します。
• AD FS の FQDN をローカル イントラネットのサイトのリストに追加し、ブラウザーを再起動します。
• セキュリティ ゾーンのカスタム レベルを選択します。 オプションのリストで、「イントラネット ゾーンのみで自動ログオンする」を選択します。

• PowerShell を開き、次の XNUMX つのコマンドを実行して、Chrome ブラウザーで Windows 認証を有効にします。

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

• Windows 認証用に ADFS が正常に構成されました。

2. ASP.NET アプリケーションをサービス プロバイダー (SSO モジュール) として構成します。

ご注意: プラグインをインストールした後、ASP.NET アプリケーションと ADFS 間の信頼を設定する必要があります。SAML メタデータは ADFS と共有されるため、ADFS は組み込みの構成を更新してシングル サインオンをサポートできます。

2.1: SAML メタデータを ADFS と共有する

• ソフトウェアの制限をクリック 新しい IDP を追加 ADFS で ASP.NET シングル サインオン (SSO) を構成します。

• サービスプロバイダーの設定 タブでは、コピーして貼り付けることができます。 メタデータ URL IDP 側または SPメタデータをダウンロードする XML ファイルとして。 さらに、手動でコピーして貼り付けることもできます。 Base URL, SPエンティティID, ACSのURL.
• SAML メタデータを ID プロバイダーと共有します。

2.2: ADFS SAML メタデータのインポート

• 選択 ADFS 以下に示す ID プロバイダーのリストから。

モジュール内で SAML ID プロバイダーのメタデータを構成できる XNUMX つの方法については、以下で詳しく説明します。

A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。

• ID プロバイダーからメタデータ URL またはメタデータ ファイル (.xml 形式のみ) が提供されている場合は、 IDPメタデータのアップロード オプションを選択します。
• 以下のスクリーンショットを参照してください。

• 使用可能なメタデータ形式に応じて、オプションのいずれかを選択できます。

B] ID プロバイダーのメタデータを手動で構成します。

• ID プロバイダーを構成すると、次のものが提供されます。 IDPエンティティID、IDPシングルサインオンURL と SAML X509証明書 それぞれフィールド。
• クリック Save IDP の詳細を保存します。

ASP.NET アプリケーションをサービス プロバイダーとして正常に構成しました。

3. SAML SSO のテスト

• テストする前に、次のことを確認してください。
• ASP.NET (SP) SAML メタデータが ADFS (IDP) にエクスポートされました。
• ASP.NET (SP) に ADFS (IDP) SAML メタデータをインポートします。
• 行った SAML 設定が正しいかどうかをテストするには、 アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します テスト構成.

• ご注意: プラグインの試用版では、XNUMX つの ID プロバイダー (IDP) のみを構成およびテストできます。
• 以下のスクリーンショットは、成功した結果を示しています。 クリック クリックします SSO 統合をさらに続行します。

• モジュール側でエラーが発生した場合は、以下のようなウィンドウが表示されます。

• エラーのトラブルシューティングを行うには、次の手順に従います。
• トラブルシューティング タブで、プラグイン ログを受信するためのトグルを有効にします。


• 有効にすると、次の場所に移動してプラグイン ログを取得できるようになります。 ID プロバイダーの設定 タブをクリックしてクリックします テスト構成.
• ダウンロード ログファイル 解決します タブをクリックして、何が問題だったかを確認してください。
• あなたは共有することができます ログファイル 私たちと一緒に aspnetsupport@xecurify.com 私たちのチームが問題を解決するためにご連絡いたします。

4. 統合コード

• この手順では、アプリケーションのユーザー属性にアクセスするために使用されるセッションまたはクレーム パラメーターの sso プレフィックスを指定できます。
• 統合手順がどのように機能するかまだ混乱している場合は、以下を参照してください。 セットアップツアー.

• SSO 属性を保存するためのモードを選択すると、 統合コード 選択した認証方法とアプリケーションが使用する言語に基づきます。
• ユーザー属性にアクセスしたい場所にそのコード スニペットをコピーして貼り付けるだけです。

• ご注意: この試用モジュールはセッションベースの認証のみをサポートしており、 ユーザーのクレーム プレミアムプラグインで利用可能です。
• ご注意: マッピングされたすべての属性はセッションに保存されるため、アプリケーションでアクセスできるようになります。
• 統合コードに関してサポートが必要な場合は、次のアドレスまでご連絡ください。 aspnetsupport@xecurify.com

5. ログイン設定

• ホバーオン アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SSO リンクをコピーする.

• SSO を実行するアプリケーション内のコピーしたリンクを使用します。
  https://base-url/?ssoaction=login
• たとえば、次のように使用できます。
  <a href=”https://base-url/?ssoaction=login”>Log in</a>

6. ログアウト設定

• SLO を実行するアプリケーション内のリンクとして次の URL を使用します。 https://<your-application-base-url>/?ssoaction=logout
• たとえば、次のように使用できます。 <a href="https://<your-application-base-url>/?ssoaction=logout">Logout</a>

設定することもできます DNN SAML シングル サインオン (SSO) などの任意の ID プロバイダーを備えたモジュール ADFS、Azure AD、Bitium、centrify、G Suite、JBoss Keycloak、Okta、OneLogin、Salesforce、AWS Cognito、OpenAM、Oracle、PingFederate、PingOne、RSA SecureID、Shibboleth-2、Shibboleth-3、SimpleSAML、WSO2 またはあなた自身のものでも カスタム ID プロバイダー。 他の ID プロバイダーを確認するには、をクリックします。 こちら.

その他のリソース

• ASP.NET OAuth シングル サインオン (SSO)
• ASP.NET アプリケーションの Web3 ログイン
• DNN SAML シングル サインオン (SSO)
• DNN REST API 認証
• nopCommerce SAML シングル サインオン (SSO)
• nopCommerce OAuth シングル サインオン (SSO)
• Umbraco SAML シングル サインオン (SSO)