SimpleSAMLphp를 ID 공급자로 사용하는 Drupal SAML Single Sign On

Drupal SAML 통합은 다음을 사용합니다. miniOrange SAML SP 모듈은 SimpleSAMLphp와 Drupal 사이트 간에 원활한 SSO를 설정합니다. 사용자는 SimpleSAMLphp 자격 증명을 사용하여 Drupal 사이트에 로그인할 수 있습니다. 이 문서에서는 서비스 공급자(SP)인 Drupal과 ID 공급자(IdP)인 SimpleSAMLphp 간에 Single Sign-On - SSO를 구성하는 단계를 안내합니다. 이 모듈은 Drupal 7, Drupal 8, Drupal 9 및 Drupal 10과 호환됩니다.

Drupal SAML SP 메타데이터

• Drupal 사이트에 모듈을 설치한 후 행정실 메뉴, 탐색 구성 → 사람 → miniOrange SAML 로그인 구성. (/admin/config/people/miniorange_saml/idp_setup)

• 복사 SP 엔터티 ID/발급자 그리고 SP ACS URL FBI 증오 범죄 보고서 서비스 제공업체 메타데이터 탭. 편리하게 보관하세요. (이는 OneLogin을 ID 공급자(IdP)로 구성하는 데 필요합니다.)

SimpleSAMLphp를 IDP로 구성합니다.

• SimpleSAML 설치 디렉터리에서 다음을 엽니다. 설정/설정.php 다음을 편집하십시오.

  'enable.saml20-idp' ⇒ 참

• 활성화 UserPass 인증 모듈(exampleauth에 포함됨) 이 작업은 다음과 같은 파일을 생성하여 수행됩니다. 가능 (파일 이름) 모듈/예제인증/.

• 인증 소스 생성 구성/authsources.php. 파일에는 단일 항목이 포함되어야 합니다. 아래를 참조하세요.

    '__DEFAULT__', /* * 응답에 서명할 때 사용할 개인 키와 인증서입니다. * 인증서 디렉토리에 저장됩니다. */ 'privatekey' => 'example.org.pem', 'certificate' => 'example.org.crt', /* * 사용자를 인증하는 데 사용해야 하는 인증 소스입니다. 이는 config/authsources.php의 항목 중 하나와 일치해야 합니다. */ 'auth' => '' 예:- 'example-userpass', // 1단계에서 찾을 수 있습니다. ];
  

이 구성에서는 비밀번호가 Studentpass 및 Employee인 학생과 직원이라는 두 명의 사용자가 생성됩니다. 사용자 이름과 비밀번호는 배열 인덱스(student-user의 경우student:studentpass)에 저장됩니다. 각 사용자의 속성은 인덱스가 참조하는 배열에 구성됩니다. 학생 사용자의 경우 다음과 같습니다.

  [ 'uid' => ['학생'], 'eduPersonAffiliation' => ['회원', '학생'], ],

사용자가 로그온하면 IdP가 속성을 반환합니다.

• 다음 방법 중 하나를 사용하여 자체 서명된 인증서를 생성합니다.

• openssl 명령 사용

  openssl req -newkey rsa:3072 -new -x509 -days 3652 -nodes -out example.org.crt -keyout example.org.pem

• 온라인 도구를 사용하여 생성하고 cert 디렉터리에 추가합니다.

  확장자는 다음과 같아야합니다

  example.org.crt //(공개키)example.org.pem //(개인키)

참고 :SimpleSAMLphp는 RSA 인증서에서만 작동합니다. DSA 인증서는 지원되지 않습니다.

• SAML 2.0 IdP는 다음에 저장된 메타데이터로 구성됩니다. 메타데이터/saml20-idp-hosted.php. 이는 최소한의 구성입니다.

    '__DEFAULT__', /* * 응답에 서명할 때 사용할 개인 키와 인증서입니다. * 인증서 디렉토리에 저장됩니다. */ 'privatekey' => 'example.org.pem', 'certificate' => 'example.org.crt', /* * 사용자를 인증하는 데 사용해야 하는 인증 소스입니다. 이는 config/authsources.php의 항목 중 하나와 일치해야 합니다. */ ' auth' => '' 예:- 'example-userpass', // 1단계에서 찾을 수 있습니다. ];
  

• 구성 중인 ID 공급자는 연결하려는 서비스 공급자에 대해 알아야 합니다. 이는 메타데이터/saml20-sp-remote.php에 저장된 메타데이터로 구성됩니다. 다음은 SimpleSAMLphp SP에 대한 메타데이터/saml20-sp-remote.php 메타데이터 파일의 최소 예입니다. example.com 당신과 함께 드루팔 도메인 이름.)

    'https://example.com/samlassertion', 'SingleLogoutService' => 'https://example.com/user/logout', 'NameIDFormat' => 'urn:oasis:names:tc:SAML:1.1:nameid -format:emailAddress', 'simplesaml.nameidattribute' => 'mail', 'simplesaml.attributes' => true, 'attributes' => array('mail', 'givenname', 'sn', 'memberOf'), ];
  

참고 : 엔터티 ID의 URI와 AssertionConsumerService 및 싱글 로그아웃 서비스 끝점에 대한 URL은 서로 다른 서비스 공급자 간에 변경됩니다. 원격 SP의 메타데이터가 XML 파일로 있는 경우 기본 제공 XML-SimpleSAMLphp 메타데이터 변환기를 사용할 수 있습니다. 이 변환기는 기본적으로 SimpleSAMLphp 설치에서 /admin/metadata-converter.php로 사용할 수 있습니다.

• SimpleSAMLphp 설치 홈페이지로 이동합니다. (설치 URL은 다음과 같습니다. https://service.example.com/simplesaml/ 여기서 service.example.com은 SimpleSAMLphp 경로로 대체되어야 합니다.)
• 페더레이션 탭으로 이동하여 다음을 클릭합니다. 메타데이터 표시. (이 IdP 메타데이터는 Drupal을 SP로 구성하는 데 필요합니다.)

Drupal을 SAML 서비스 공급자로 구성합니다.

• 로 이동 서비스 제공업체 설정 Drupal 사이트에서 SAML 모듈 탭을 클릭하고 SP 메타데이터 업로드 그것을 확장합니다.

• 이전에 SimpleSAML에서 다운로드한 메타데이터 파일을 메타데이터 파일 업로드 텍스트 필드를 클릭하고 파일 업로드 버튼을 클릭합니다.

• 구성을 성공적으로 저장한 후 Test 링크

• 테스트 구성 팝업에서 OneLogincredentials를 사용하여 로그인합니다(활성 세션이 없는 경우). 인증에 성공하면 OneLogin에서 받은 속성 목록이 표시됩니다. 다음을 클릭하세요. 선택한다.

축하해요! SimpleSAML을 SAML ID 공급자로, Drupal을 SAML 서비스 공급자로 성공적으로 구성했습니다.

SAML SSO 로그인은 어떻게 작동하나요?

• 새 브라우저/개인 창을 열고 Drupal 사이트 로그인 페이지로 이동합니다.
• 클릭 ID 공급자를 사용하여 로그인(SimpleSAMLphp) 링크를 클릭하십시오.
• SimpleSAMLphp 로그인 페이지로 리디렉션됩니다. SimpleSAMLphp 자격 증명을 입력합니다. 인증에 성공하면 사용자는 Drupal 사이트로 다시 리디렉션됩니다.