PHP SAML 2.0 커넥터 애플리케이션과 SAML 가능 아이덴티티 공급자 간에 신뢰를 설정하여 사용자를 애플리케이션에 안전하게 인증하도록 구성할 수 있는 SAML 서비스 공급자 역할을 합니다. 여기에서는 구성을 위한 단계별 가이드를 살펴보겠습니다. IdP로서의 ADFS (ID 제공자) 및 SP로서의 PHP SAML 2.0 커넥터 (서비스 제공자).

전제조건 : 다운로드 및 설치

• miniOrange PHP SAML 2.0 커넥터를 얻으려면 문의하기 .
• PHP 애플리케이션이 실행 중인 디렉터리에 PHP 커넥터의 압축을 풉니다.
• URL을 사용하여 브라우저에서 SSO 커넥터 설정에 액세스하세요. https://<application-url>/sso
• 다음을 사용하여 PHP 커넥터에 로그인하십시오. miniOrange 자격 증명.
• miniOrange PHP SAML 2.0 커넥터에서 아래 플러그인 설정 탭에서 다음을 얻을 수 있습니다 SP 엔터티 ID 과 ACS URL 아이덴티티 공급자를 구성하는 동안 사용될 값입니다.

ADFS SSO(Single Sign-On)를 구성하는 단계

1. ADFS를 IdP(ID 공급자)로 설정

ADFS를 IdP로 구성하려면 아래 단계를 따르세요.

 ADFS를 IdP로 구성

• miniOrange SAML SP SSO 플러그인에서 다음으로 이동합니다. 서비스 제공업체 메타데이터 탭. 여기에서 ID 공급자를 구성하는 데 필요한 SP 엔터티 ID 및 ACS(AssertionConsumerService) URL과 같은 SP 메타데이터를 찾을 수 있습니다.

• ADFS에서 다음을 검색합니다. ADFS 관리 응용 프로그램.

• AD FS 관리에서 다음을 선택합니다. 신뢰 당사자 트러스트 그리고 클릭 신뢰 당사자 트러스트 추가.

• 선택 클레임 인식 신뢰 당사자 신뢰 마법사에서 다음을 클릭합니다. 스타트 버튼을 클릭합니다.

 데이터 소스 선택

• 데이터 소스 선택에서 신뢰 당사자 트러스트를 추가하기 위한 데이터 소스를 선택합니다.

 액세스 제어 정책 선택

• 선택 모두 허용 액세스 제어 정책으로 클릭하고 다음 보기.

 신뢰를 더할 준비가 되었습니다

• In 신뢰를 더할 준비가 되었습니다 클릭 다음 보기 그리고 닫기.

 클레임 발행 정책 수정

• 목록에서 신뢰 당사자 트러스트, 생성한 애플리케이션을 선택하고 다음을 클릭하세요. 클레임 발행 정책 수정.

• 발급 변환 규칙 탭에서 다음을 클릭합니다. 규칙 추가 버튼을 클릭합니다.

 규칙 유형 선택

• 선택 LDAP 속성을 클레임으로 보내기 그리고 클릭 다음 보기.

 클레임 규칙 구성

• 추가 할 청구 규칙 이름 선택하고 속성 저장소 드롭다운에서 필요에 따라.
• $XNUMX Million 미만 나가는 클레임 ​​유형에 대한 LDAP 속성 매핑, LDAP 속성을 다음으로 선택하세요. 이메일 주소 및 나가는 클레임 ​​유형 이름 아이디.

• 속성을 구성한 후 다음을 클릭하십시오. 마감재 .
• ADFS를 IDP로 구성한 후에는 다음이 필요합니다. 페더레이션 메타데이터 서비스 공급자를 구성합니다.
• ADFS 페더레이션 메타데이터를 얻으려면 이 URL을 사용할 수 있습니다.
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• ADFS SSO(Single Sign-On) 로그인을 달성하기 위해 ADFS를 SAML IdP(ID 공급자)로 성공적으로 구성했습니다.

Windows SSO(선택 사항)

Windows SSO를 구성하려면 아래 단계를 따르세요.

 Windows 인증을 위해 ADFS를 구성하는 단계

• ADFS 서버에서 관리자 권한 명령 프롬프트를 열고 다음 명령을 실행합니다.

setspn -a HTTP/##ADFS 서버 FQDN## ##도메인 서비스 계정##

FQDN은 정규화된 도메인 이름입니다(예: adfs4.example.com).

도메인 서비스 계정은 AD 계정의 사용자 이름입니다.

예: setspn -a HTTP/adfs.example.com 사용자 이름/도메인

• AD FS 관리 콘솔을 열고 다음을 클릭하세요. 서비스 그리고 인증 방법 부분. 오른쪽에서 기본 인증 방법 편집. 인트라넷 영역에서 Windows 인증을 확인하세요.

• 인터넷 익스플로러를 엽니다. 인터넷 옵션의 보안 탭으로 이동합니다.
• 로컬 인트라넷의 사이트 목록에 AD FS의 FQDN을 추가하고 브라우저를 다시 시작합니다.
• 보안 영역에 대해 사용자 지정 수준을 선택합니다. 옵션 목록에서 인트라넷 영역에서만 자동 로그온을 선택합니다.

• Powershell을 열고 다음 두 명령을 실행하여 Chrome 브라우저에서 Windows 인증을 활성화합니다.

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

• Windows 인증을 위해 ADFS를 성공적으로 구성했습니다.

2. PHP 커넥터를 SP로 구성

• In 플러그인 설정, ID 공급자 세부 정보를 사용하여 플러그인을 구성하세요.

• 다음을 구성 할 수 있습니다. SP 기본 URL 아니면 이 옵션을 그대로 두세요. 다른 분야는 선택.
• 온 클릭 찜하기 버튼을 눌러 설정을 저장하십시오.

구성 테스트

• 플러그인이 올바르게 구성되었는지 테스트하거나 테스트 구성 버튼을 클릭합니다.

• 당신은 볼 수 시험 성공 아래에 표시된 화면과 함께 ID 공급자가 전송한 사용자 속성 값이 표시됩니다.

3. 속성 매핑

• 에서 테스트 구성 창에서 반환되는 속성을 복사합니다. 이메일 과 사용자 이름.
• 당신은 무엇이든 추가할 수 있습니다 사용자 정의 속성 그리고 클릭 찜하기.

4. 애플리케이션에 SSO를 활성화합니다.

SSO 테스트가 성공하면 로그인 후 사용자가 리디렉션될 애플리케이션 URL을 제공할 수 있습니다.

• 그렇게하려면 설정 방법? SSO 커넥터의 메뉴.
• 애플리케이션 URL 입력 필드에 애플리케이션의 URL(사용자가 로그인 후 리디렉션할 URL)을 입력합니다.
  
• 사용자를 애플리케이션에 로그인하려면 SSO 커넥터가 설정한 세션 속성을 읽으면 됩니다.

 if(session_status() === PHP_SESSION_NONE)
            {
             session_start();
            }
             $email = $_SESSION['email'];
             $username = $_SESSION['username'];

• 변수를 사용할 수 있습니다 $ 이메일 과 $ 사용자 이름 귀하의 응용 프로그램에서 PHP 응용 프로그램에서 사용자를 찾고 사용자에 대한 세션을 시작하십시오.
• 이제 플러그인이 구성되었으므로 애플리케이션에서 플러그인을 사용할 준비가 되었습니다.
• SSO를 수행하려는 애플리케이션의 링크로 다음 URL을 사용하십시오.  "http:// /sso/login.php"
예를 들어 다음과 같이 사용할 수 있습니다.
/sso/login.php">로그인
• 사용자는 다음을 클릭하여 애플리케이션에서 SSO를 수행할 수 있습니다. 로그인 링크를 클릭하십시오.

이 가이드에서는 성공적으로 구성했습니다. ADFS SAML 단일 로그온(ADFS SSO 로그인) 선택 IdP로서의 ADFS .이 솔루션을 사용하면 다음을 사용하여 PHP 애플리케이션에 대한 보안 액세스를 출시할 수 있습니다. ADFS 로그인 몇 분 안에 자격 증명을 얻을 수 있습니다.

추가 자료

• 싱글 사인온(SSO)이란 무엇입니까?
• ADFS란 무엇입니까?
• 특성 매핑을 위한 클레임으로 LDAP 특성 구성
• 자주 묻는 질문

찾을 수 없는 내용이 있으면 다음 주소로 이메일을 보내주세요. samlsupport@xecurify.com