conteúdo

Blazor SAML SSO com ADFS como IDP

Logon único SAML (SSO) do Blazor O aplicativo oferece a capacidade de habilitar o logon único SAML para seus aplicativos Blazor. Usando o logon único, você pode usar apenas uma senha para acessar seus aplicativos e serviços Blazor. Nosso aplicativo é compatível com todos os provedores de identidade compatíveis com SAML. Aqui, apresentaremos um guia passo a passo para configurar o logon único (SSO) entre o Blazor e o Microsoft Enterprise ID (antigo Azure AD), considerando o Azure AD como IdP. Para saber mais sobre os recursos que oferecemos para o SSO do Blazor, clique em aqui..

Suporte de plataforma: O aplicativo Blazor SAML é compatível com ASP.NET Core 2.0 e versões superiores. Ele também é compatível com todas as plataformas Blazor, incluindo Windows, Linux e macOS.

Etapas para configurar o Blazor Single Sign-On (SSO) usando ADFS como IDP

Etapa 1: Pré-requisitos: Download e instalação

Instale o Blazor SAML SSO Middleware no pacote do seu aplicativo usando o pacote nuget

Pacote NuGet
CLI .NET

PM> NuGet\Install-Package miniOrange.SAML.SSO

      
          
          
    
    using miniorange.saml
    public class Startup
    {
      public void ConfigureServices(IServiceCollection services)
      {
   
       services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();
       services.AddControllersWithViews();
      }
      public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
      {
        app.UseHttpsRedirection();
        app.UseRouting();
        app.UseAuthorization();
        app.MapRazorPages();
    
        app.UseCookiePolicy();
        app.UseAuthentication();
        app.UseStaticFiles();
        app.UseminiOrangeSAMLSSOMiddleware();
        app.Run();
      }
    }

      
          
    
    using Microsoft.AspNetCore.Authentication.Cookies;
    using miniOrange.saml;
    
    var builder = WebApplication.CreateBuilder(args);
    
    builder.Services.AddRazorPages();
    // Add authentication services
    builder.Services.AddminiOrangeServices(Assembly.GetExecutingAssembly());
    
    var app = builder.Build();
    
    if (!app.Environment.IsDevelopment())
     {
        app.UseExceptionHandler("/Error");
    
        app.UseHsts();
     }
    
    app.UseHttpsRedirection();
    app.UseRouting();
    app.UseAuthorization();
    app.MapRazorPages();
    
    app.UseCookiePolicy();
    app.UseAuthentication();
    app.UseStaticFiles();
    app.UseminiOrangeSAMLSSOMiddleware();
    app.Run();
    app.useantiforgery()

Após a integração, abra seu navegador e navegue até o painel do conector com o URL abaixo:
https://<blazor-application-base-url>/?ssoaction=config
Se a página de registro ou de login aparecer, você adicionou com sucesso o conector miniOrange ASP.NET SAML SSO ao seu aplicativo.

Blazor SAML Single Sign-On (SSO) usando Azure AD (ID do Microsoft Enterprise) como IDP - registro de dll saml

Registre-se ou faça login com sua conta clicando em Registrar-se botão para configurar o aplicativo.

2. Configurar o ADFS como Provedor de Identidade

Sob o Configurações de Plugin guia, selecione ADFS como seu provedor de identidade na lista exibida.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Selecione ADFS como provedor de identidade

Há duas maneiras detalhadas abaixo com as quais você pode obter os metadados do SAML SP para configurar no seu provedor de identidade.

A] Usando URL de metadados SAML ou arquivo de metadados:

De acordo com o relatório Menu de configurações do plugin, olhe para Configurações do provedor de serviços. Abaixo, você pode encontrar o URL dos metadados, bem como a opção para baixar os metadados SAML.
Copie o URL dos metadados ou baixe o arquivo de metadados para configurá-lo no seu provedor de identidade.
Você pode consultar a captura de tela abaixo:

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Copiar metadados baixados

B] Carregando metadados manualmente:

De Configurações do provedor de serviços seção, você pode copiar manualmente os metadados do provedor de serviços como ID da entidade SP, URL do ACS, URL de logout único e compartilhe-o com seu provedor de identidade para configuração.
Você pode consultar a captura de tela abaixo:

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Metadados manuais

Primeiro, procure por Gerenciamento do ADFS aplicativo no seu servidor ADFS.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - servidor adfs

No Gerenciamento do AD FS, selecione Confiança da Parte Confiável e clique em Adicionar confiança de terceira parte confiável.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Adicionar Relying Party Trust

Selecionar Reivindicações cientes do Relying Party Trust Wizard e clique em Começar botão.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Claims Aware

Selecione a fonte de dados

Em Selecionar fonte de dados, selecione a fonte de dados para adicionar uma parte confiável.

URL de metadados
Arquivo XML de metadados
Configuração Manual

Acessar Metadados do Provedor de Serviços seção do middleware SAML do ASP.NET Core e copie o URL de metadados.
Selecionar Importar dados sobre a parte confiável publicados on-line ou na rede local opção e adicione a URL de metadados no endereço de metadados da Federação.
Clique em Seguinte.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - suporte para metadados do assistente SAML 2.0

Observação: Na próxima etapa insira o desejado Nome visível e clique Seguinte.

Escolha a Política de Controle de Acesso

Selecionar Permitir a todos como uma Política de Controle de Acesso e clique em Seguinte.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - para SAML 2.0 Wizard Multi-Factor

Pronto para adicionar confiança

In Pronto para adicionar confiança clique em Seguinte e depois Fechar.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Assistente SAML 2.0 Editar reivindicação

Editar Política de Emissão de Reivindicação

Na lista de Confiança da Parte Confiável, selecione o aplicativo que você criou e clique em Editar Política de Emissão de Reivindicação.

Na aba Regra de Transformação de Emissão clique em Adicionar regra botão.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - para regra de reivindicação do assistente SAML 2.0

Escolha o tipo de regra

Selecionar Enviar atributos LDAP como declarações e clique em Seguinte.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - para SAML 2.0 Configure_LDAP Attributes

Configurar regra de reivindicação

Adicionar uma Nome da regra de reivindicação e selecione o Armazenamento de atributos conforme necessário no menu suspenso.
Debaixo Mapeamento de atributos LDAP para tipos de declaração de saídaSelecione o atributo LDAP como Endereço de e-mail e Tipo de Reivindicação de Saída como ID Nome.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - para a regra de declaração de transformação de adição do SAML 2.0

Depois de configurar os atributos, clique em Acabamento.
Depois de configurar o ADFS como IDP, você precisará do Metadados da Federação para configurar seu Provedor de Serviços.
Para obter os metadados da Federação do ADFS, você pode usar este URL
https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
Você configurou com sucesso o ADFS como SAML IdP (Provedor de Identidade) para obter o login de logon único (SSO) do ADFS

SSO do Windows (opcional)

Siga as etapas abaixo para configurar o SSO do Windows

Etapas para configurar o ADFS para autenticação do Windows

Abra o Prompt de Comando elevado no Servidor ADFS e execute o seguinte comando nele:

mini laranja img setspn -a HTTP/##FQDN do servidor ADFS## ##Conta de serviço de domínio##

mini laranja img FQDN é um nome de domínio totalmente qualificado (exemplo: adfs4.example.com)

mini laranja img Conta de serviço de domínio é o nome de usuário da conta no AD.

mini laranja img Exemplo: setspn -a HTTP/adfs.example.com nome de usuário/domínio

Abra o Console de Gerenciamento do AD FS, clique em Serviços e vá para o Métodos de autenticação seção. À direita, clique em Editar métodos de autenticação primários. Verifique a autenticação do Windows na zona da Intranet.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Autenticação Primária

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - Aplicativo de Gerenciamento

Abra o Internet Explorer. Navegue até a aba Segurança em Opções da Internet.
Adicione o FQDN do AD FS à lista de sites na Intranet Local e reinicie o navegador.
Selecione Nível Personalizado para a Zona de Segurança. Na lista de opções, selecione Logon Automático somente na Zona da Intranet.

ASP.NET Core SAML Single Sign-On (SSO) usando ADFS como IDP - para o Assistente SAML 2.0_Habilitar SAML

Abra o PowerShell e execute os dois comandos a seguir para habilitar a autenticação do Windows no navegador Chrome.


                      Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")


                      Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

Você configurou com sucesso o ADFS para autenticação do Windows.

3. Configurar o aplicativo Blazor SAML como Provedor de Serviços

Há duas maneiras detalhadas abaixo com as quais você pode configurar os metadados do seu provedor de identidade SAML no aplicativo.

A] Carregar metadados usando o botão Carregar metadados do IDP:

Se o seu provedor de identidade tiver fornecido a URL de metadados ou o arquivo de metadados (somente formato .xml), você poderá simplesmente configurar os metadados do provedor de identidade no aplicativo usando o Carregar metadados do IDP opção.
Você pode consultar a captura de tela abaixo:

Blazor SAML Single Sign-On (SSO) usando o Azure AD (ID do Microsoft Enterprise) como IDP - Carregar metadados

Você pode escolher qualquer uma das opções de acordo com o formato de metadados disponível.

B] Configure os metadados do provedor de identidade manualmente:

Depois de configurar seu Provedor de Identidade, ele irá fornecer a você ID da entidade IDP, URL de logon único do IDP e Certificado SAML X509 campos respectivamente.
Clique Economize para salvar seus dados de IDP.

Blazor SAML Single Sign-On (SSO) usando Azure AD (ID do Microsoft Enterprise) como IDP - configuração de dll SAML

4. Testando SAML SSO

Clique no Configuração de Teste botão para testar se a configuração SAML que você fez está correta.
A captura de tela abaixo mostra um resultado bem-sucedido. Clique em Integração SSO para continuar com a integração do SSO.

Blazor SAML Single Sign-On (SSO) usando Azure AD (ID do Microsoft Entra) como IDP - Configuração de teste de dll SAML

Se você estiver enfrentando algum erro no aplicativo, será exibida uma janela semelhante à abaixo.

Blazor SAML Single Sign-On (SSO) usando o Azure AD (ID do Microsoft Enterprise) como IDP - Habilitar logs de depuração

Para solucionar o erro, siga os passos abaixo:

Debaixo Resolução de problemas guia, ative a alternância para receber os logs do plugin.

Uma vez habilitado, você poderá recuperar os logs do plugin navegando até Configurações de Plugin guia e clicando em Configuração de Teste.
Faça o download do arquivo de log do Resolução de problemas aba para ver o que deu errado.
Você pode compartilhar o arquivo de log conosco em aspnetsupport@xecurify.com e nossa equipe entrará em contato com você para resolver seu problema.

5. Mapeamento de Atributos

Depois de testar a configuração, mapeie os atributos do seu aplicativo com os atributos do Provedor de Identidade (IdP).
No plugin gratuito você pode configurar apenas NameID
Nota: Todos os atributos mapeados serão armazenados nas reivindicações para que você possa acessá-los em seu aplicativo.

Blazor SAML Single Sign-On (SSO) usando Azure AD (ID do Microsoft Enterprise) como IDP - mapeamento de atributos

6. Código de Integração

Estas etapas permitem que você recupere as informações do usuário SSO em seu aplicativo na forma de declarações de usuário.
Você também pode olhar o tour de configuração para entender como a integração do SSO funcionaria em seu aplicativo Blazor.
Basta copiar e colar esse trecho de código onde você quiser acessar os atributos do usuário.

ASP.NET Core SAML Single Sign-On (SSO) | Autenticação ASP.NET Core | ASP.NET Core SAML SSO - código de integração

Observação:Este middleware de teste suporta apenas informações do usuário em reivindicações, recuperando informações do usuário na sessão e cabeçalhos está disponível no plugin premium
Você também pode copiar o código de integração abaixo:

          
      

  string name="";
  string claimtype="";
  string claimvalue="";

   if(User.Identity.IsAuthenticated)
   {
     foreach( var claim  in User.Claims) 
     {
       claimtype = claim.Type;
       claimvalue = claim.Value;
     }
     retrive custom attributes(for eg. Retrieve Mapped 'mobileNumber' attribute of your IDP)
     var identity = (ClaimsIdentity)User.Identity;
     IEnumerable claims = identity.Claims;
     string mobileNumber = identity.FindFirst("mobileNumber")?.Value;
   }

Observação: Todos os atributos mapeados serão armazenados nas reivindicações para serem acessados em seu aplicativo.
Se você precisar de alguma ajuda em relação ao código de integração, entre em contato conosco em aspnetsupport@xecurify.com

7. Configurações de login

Passe o mouse sobre Selecionar ações e clique em Copiar link SSO.

ASP.NET SAML Single Sign-On (SSO) usando Auth0 como IDP - Códigos de integração ASP.NET com base no idioma

Use o seguinte URL como um link no aplicativo de onde você deseja executar o SSO:
https://blazor-application-base-url/?ssoaction=login
Por exemplo, você pode usá-lo como:
<a href=”https://blazor-application-base-url/?ssoaction=login”>Log in</a>

8. Configurações de logout

Use a seguinte URL como um link para seu aplicativo de onde você deseja executar o SLO:
https://blazor-application-base-url/?ssoaction=logout
Por exemplo, você pode usá-lo como:
<a href=”https://blazor-application-base-url/?ssoaction=logout”>Log out</a>

Para configurar seu IDP, você pode encontrar os metadados do provedor de serviços no arquivo appsetting.json. Para metadados do SP, consulte a captura de tela abaixo:

Blazor SAML Single Sign-On (SSO) usando Azure AD (ID do Microsoft Enterprise) como IDP - Metadados SP

Desde miniLaranja seção, copie spendityid, acsurl e forneça à equipe do seu provedor de identidade.

Depois que os metadados do provedor de serviços forem configurados no IdP, você receberá o arquivo de metadados do IdP ou a URL de metadados ou URLs de metadados como ID da entidade do IdP, URL de SSO do IdP etc.
Para configurar seus metadados IDP, navegue até appsettings.json arquivo. Você encontrará as seguintes configurações na seção JSON do miniorange
Para configurar seu IDP diretamente, navegue até appsettings.json arquivo.

Blazor SAML Single Sign-On (SSO) usando o Azure AD (ID do Microsoft Enterprise) como IDP - Metadados do IDP

Configure os metadados fornecidos apropriados e salve as configurações.

certificado_idp	Insira o certificado IDP neste campo
amargo	Insira o URL do SSO neste campo
idp_emissor	Insira o emissor do IDP neste campo

Mapeamento de Atributos

Mapeie os atributos do seu aplicativo com os atributos do provedor de identidade (IDP).
Observação: Todos os atributos mapeados serão armazenados na sessão para que você possa acessá-los em seu aplicativo.

Código de Integração

Basta copiar e colar o trecho de código onde você quiser acessar os atributos do usuário.
Observação: Todos os atributos mapeados serão armazenados na sessão para que você possa acessá-los em seu aplicativo.

string name="";

        string claimtype="";

        string claimvalue="";

        if(User.Identity.IsAuthenticated) { 

          name= User.Identity.Name;

          foreach( var claim in User.Claims) {
        
    claimtype = claim.Type;
        
    claimValue = claim.Value;
        
  }
}

Você pode configurar o aplicativo Blazor SAML 2.0 Single Sign-On (SSO) com qualquer Provedor de Identidade, como ADFS, Microsoft Entra ID (antigo Azure AD), Bitium, Centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2 ou até mesmo com seu próprio provedor de identidade personalizado. Verifique a lista de provedores de identidade aqui..

Recursos adicionais

Precisa de ajuda?

Não consegue encontrar seu provedor de identidade? Envie-nos um e-mail para aspnetsupport@xecurify.com e ajudaremos você a configurar o SSO com seu IDP e forneceremos orientação rápida (por e-mail/reunião) sobre suas necessidades, e nossa equipe ajudará você a selecionar a melhor solução/plano adequado de acordo com suas necessidades.

conteúdo