SimpleSAMLphp を ID プロバイダーとして使用する Drupal SAML シングル サインオン

を使用した Drupal SAML 統合 miniOrange SAML SP モジュールは、SimpleSAMLphp と Drupal サイトの間にシームレスな SSO を確立します。 ユーザーは、SimpleSAMLphp 資格情報を使用して Drupal サイトにログインできるようになります。 このドキュメントでは、サービス プロバイダー (SP) としての Drupal とアイデンティティ プロバイダー (IdP) としての SimpleSAMLphp の間でシングル サインオン - SSO を構成する手順について説明します。 このモジュールは Drupal 7、Drupal 8、Drupal 9、および Drupal 10 と互換性があります。

Drupal SAML SP メタデータ

• Drupal サイトにモジュールをインストールした後、 管理部門 メニュー、に移動 設定 → ユーザー → miniOrange SAML ログイン設定. (/admin/config/people/miniorange_saml/idp_setup)

• コピー SPエンティティID/発行者 と SP ACS URL セクションに サービスプロバイダーのメタデータ タブ。 手元に置いておいてください。 (これは、OneLogin をアイデンティティ プロバイダー (IdP) として構成するために必要です)。

SimpleSAMLphp を IDP として構成します。

• SimpleSAML インストール ディレクトリから、次のファイルを開きます。 config/config.php そして以下を編集します。

  「enable.saml20-idp」 ⇒ true

• 有効にします UserPass認証 モジュール (exampleauth に含まれています)。 これは、という名前のファイルを作成することで実行されます。 enable (ファイル名) 内 モジュール/例/.

• で認証ソースを作成します config/authsources.php。 ファイルには XNUMX つのエントリが含まれている必要があります。以下を参照してください。

    '__DEFAULT__', /* * 応答に署名するときに使用する秘密キーと証明書。 * これらは cert ディレクトリに保存されます。 */ 'privatekey' => 'example.org.pem', 'certificate' => 'example.org.crt', /* * ユーザーの認証に使用される認証ソース。 これは、config/authsources.php のエントリの 1 つと一致する必要があります。 */ 'auth' => '' 例:- 'example-userpass', // これはステップ 3 で見つけることができます ];
  

この構成では、学生と従業員の XNUMX 人のユーザーが作成され、パスワードは Studentpass とemployeepass になります。 ユーザー名とパスワードは配列インデックス (学生ユーザーの場合はstudent:studentpass) に保存されます。 各ユーザーの属性は、インデックスによって参照される配列で構成されます。 したがって、学生ユーザーの場合は次のようになります。

  [ 'uid' => ['student'], 'edupersonAffiliation' => ['member', 'student'], ],

属性は、ユーザーがログオンするときに IdP によって返されます。

• 次のいずれかの方法を使用して自己署名証明書を生成します。

• opensslコマンドの使用

  openssl req -newkey rsa:3072 -new -x509 -days 3652 -nodes -out example.org.crt -keyout example.org.pem

• 任意のオンライン ツールを使用してこれを生成し、cert ディレクトリに追加します。

  拡張子は次のようになります

  example.org.crt //(公開鍵)example.org.pem //(秘密鍵)

注：SimpleSAMLphp は RSA 証明書でのみ機能します。 DSA 証明書はサポートされていません。

• SAML 2.0 IdP は、次の場所に保存されているメタデータによって構成されます。 メタデータ/saml20-idp-hosted.php。 これは最小限の構成です。

    '__DEFAULT__', /* * 応答に署名するときに使用する秘密キーと証明書。 * これらは cert ディレクトリに保存されます。 */ 'privatekey' => 'example.org.pem', 'certificate' => 'example.org.crt', /* * ユーザーの認証に使用される認証ソース。 これは、config/authsources.php のエントリの 1 つと一致する必要があります。 */ ' auth' => '' 例:- 'example-userpass', // これはステップ 3 で見つけることができます ];
  

• 構成している ID プロバイダーは、接続するサービス プロバイダーについて知っている必要があります。 これは、metadata/saml20-sp-remote.php に保存されているメタデータによって構成されます。 これは、SimpleSAMLphp SP のメタデータ/saml20-sp-remote.php メタデータ ファイルの最小限の例です。 example.com あなたと一緒に Drupal ドメイン名.)

    'https://example.com/samlassertion', 'SingleLogoutService' => 'https://example.com/user/logout', 'NameIDFormat' => 'urn:oasis:names:tc:SAML:1.1:nameid -format:emailAddress', 'simplesaml.nameidattribute' => 'mail', 'simplesaml.attributes' => true, 'attributes' => array('mail', 'givenname', 'sn', 'memberOf'), ];
  

注： エンティティ ID の URI と、AssertionConsumerService エンドポイントおよびシングル ログアウト サービス エンドポイントへの URL が、異なるサービス プロバイダー間で異なること。 リモート SP のメタデータが XML ファイルである場合は、組み込みの XML から SimpleSAMLphp メタデータ コンバーターを使用できます。このコンバーターは、デフォルトで SimpleSAMLphp インストール内の /admin/metadata-converter.php として利用可能です。

• SimpleSAMLphp のインストールホームページにアクセスします。 (インストールの URL は次のようになります。 https://service.example.com/simplesaml/ ここで、service.example.com は SimpleSAMLphp パスに置き換える必要があります。)
• 「フェデレーション」タブに移動し、「フェデレーション」をクリックします。 メタデータの表示。 (この IdP メタデータは、Drupal を SP として構成するために必要になります。)

Drupal を SAML サービス プロバイダーとして構成します。

• に移動します サービスプロバイダーのセットアップ Drupal サイトの SAML モジュールのタブをクリックし、 SPメタデータのアップロード それを拡大する。

• 以前にダウンロードしたメタデータ ファイルを SimpleSAML から メタデータ ファイルをアップロードする テキストフィールドをクリックして、 ファイルをアップロード

• 構成が正常に保存されたら、 ホイール試乗

• テスト構成ポップアップで、OneLogincredentials を使用してサインインします (アクティブなセッションが存在しない場合)。 認証が成功すると、OneLogin から受信した属性のリストが表示されます。 クリックしてください クリックします.

おめでとう！ SimpleSAML を SAML ID プロバイダーとして、Drupal を SAML サービス プロバイダーとして正常に構成しました。

SAML SSO ログインはどのように機能しますか?

• 新しいブラウザ/プライベート ウィンドウを開き、Drupal サイトのログイン ページに移動します。
• クリック ID プロバイダー (SimpleSAMLphp) を使用したログイン リンクをクリックします。
• SimpleSAMLphp ログイン ページにリダイレクトされます。 SimpleSAMLphp 認証情報を入力します。 認証が成功すると、ユーザーは Drupal サイトにリダイレクトされます。