Como configurar o Single Sign-On SAML para login no WordPress usando o Shibboleth-3 como IdP SAML e o WordPress como SP?
Visão geral
O Shibboleth Single Sign-On para WordPress permite que os usuários façam login no seu site WordPress com suas credenciais Shibboleth existentes. Este guia de configuração explica como conectar o Shibboleth-3 ao WordPress usando o plugin miniOrange SAML Single Sign-On (SSO) para WordPress, que oferece suporte a provedores de identidade compatíveis com SAML e fornece controles administrativos práticos.
Você configurará o Shibboleth-3 como o provedor de identidade SAML e o WordPress como o provedor de serviços (SP). Após a configuração, os usuários farão login no Shibboleth para WordPress por meio do fluxo de autenticação da sua organização, enquanto você gerenciará o acesso usando a configuração SAML do Shibboleth para WordPress e as configurações do plugin.
Você pode visitar nosso SSO para WordPress plugin para saber mais sobre os outros recursos que oferecemos.
Pré-requisitos: Download e instalação
Para configurar o Shibboleth-3 como IdP SAML com o WordPress e habilitar o login do WordPress, instale o miniOrange SAML SP SSO plugin para WordPress.
Etapas de configuração do Shibboleth SSO para WordPress
1. Configurar o Shibboleth-3 como IDP (Provedor de Identidade)
Siga os passos abaixo para configurar o Shibboleth-3 como IDP:
Configure o Shibboleth-3 como IDP (provedor de identidade).
- No plugin miniOrange SAML SP SSO, navegue até Metadados do Provedor de Serviços aba. Aqui, você encontra os metadados do SP, como o ID da Entidade SP e a URL do ACS (AssertionConsumerService), necessários para configurar o Provedor de Identidade.
- Em conf/idp.properties, descomente e defina 'idp.encryption.optional' como true.
por exemplo, idp.encryption.optional = true - In conf/metadata-providers.xml, configure o Provedor de Serviços assim
<MetadataProvider xmlns:samlmd="urn:oasis:
names:tc:SAML:2.0:metadata"
id="miniOrangeInLineEntity" xsi:type="InlineMetadata
Provider"
sortKey="1">
<samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID /
Issuer
from Service Provider Info tab in plugin.>"
validUntil="2020-09-06T04:13:32Z">
<samlmd:SPSSODescriptor AuthnRequests
Signed="false"
WantAssertionsSigned="true"
protocolSupportEnumeration="urn:oasis:names:
tc:SAML:2.0:protocol">
<samlmd:NameIDFormat>
urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
</samlmd:NameIDFormat>
<samlmd:AssertionConsumerService
Binding="urn:oasis:names:tc:
SAML:2.0:bindings:HTTP-POST"
Location="<ACS (AssertionConsumerService) URL from
Step1 of
the plugin under Identity Provider Tab.>"
index="1" />
</samlmd:SPSSODescriptor>
</samlmd:EntityDescriptor>
</MetadataProvider>
- In conf/saml-nameid.propriedades, descomente e defina o padrão NomeID as Email como isso
idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- In conf/saml-nameid-xml, procure por shibboleth.SAML2NameIDGenerators. Descomente o bean shibboleth.SAML2AttributeSourcedGenerator e comente todos os outros beans de referência.
<!-- SAML 2 NameID Generation -->
<util:list id="shibboleth.SAML2NameIDGenerators">
<!--<ref bean="shibboleth.SAML2TransientGenerator" /> -->
<!-->ref bean="shibboleth.SAML2PersistentGenerator" /> -->
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
p:attributeSourceIds="#{ {'email'} }" />
</util:list>
- Certifique-se de ter definido AttributeDefinition em conf/attribute-resolver.xml.
<!-- Note: AttributeDefinitionid must be same as what
you provided in
attributeSourceIds in conf/saml-nameid.xml -->
<resolver:AttributeDefinitionxsi:type="ad:Simple"
id="email"
sourceAttributeID="mail">
<resolver:Dependency ref="ldapConnector" />
<resolver:AttributeEncoderxsi:type="enc:SAML2String"
name="email"
friendlyName="email" />
</resolver:AttributeDefinition >
<resolver:DataConnector id="ldapConnector"
xsi:type="dc:LDAPDirectory"
ldapURL="%{idp.authn.LDAP.ldapURL}"
baseDN="%{idp.authn.LDAP.baseDN}"
principal="%{idp.authn.LDAP.bindDN}"
principalCredential="%{idp.authn.LDAP.bindDNCredential}">
<dc:FilterTemplate>
<!-- Define you User Search Filter here -->
<![CDATA[
(&(objectclass=*)
(cn=$requestContext.principalName)) ]]>
</dc:FilterTemplate>
<dc:ReturnAttributes>*</dc:ReturnAttributes>
</resolver:DataConnector>
- Certifique-se de ter AttributeFilterPolicy definido em conf/attribute-filter.xml.
<afp:AttributeFilterPolicy id="ldapAttributes">
<afp:PolicyRequirementRulexsi:type="basic:ANY"/>
<afp:AttributeRuleattributeID="email">
<afp:PermitValueRulexsi:type="basic:ANY"/>
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
- Reinicie o servidor Shibboleth.
- Você precisa configurar esses endpoints no plugin SAML miniOrange.
| ID da entidade IDP | https://<your_domain>/idp/shibboleth |
| URL de login único | https://<your_domain>/idp/profile/SAML2/Redirect/SSO |
| URL de logout único | https://<your_domain>/idp/shibboleth |
| Certificado X.509 | O certificado de chave pública do seu servidor Shibboleth-3 |
Você configurou com sucesso o Shibboleth-3 como SAML IdP (Provedor de Identidade) para obter login SSO do Shibboleth-3 no seu site WordPress (WP).
Etapa 2: Configurar o WordPress como SP (Provedor de Serviços)
- Gratuito
- Padrão
- Premium
Você configurou com sucesso o Shibboleth-3 como o IdP SAML para o SSO do Shibboleth no WordPress, permitindo que os usuários acessem seu site WordPress com o login SSO do Shibboleth-3.
Neste guia, você configurou com sucesso Login único SAML Shibboleth-3 (Login SSO Shibboleth-3) escolha Shibboleth-3 como IDP e WordPress como SP utilizando Plugin miniOrange - Login Único SAML – Login SSOEssa solução garante que você esteja pronto para implementar acesso seguro ao seu site WordPress (WP) usando credenciais de login do Shibboleth-3 em poucos minutos.
Artigos Relacionados
Obrigado pela sua resposta. Entraremos em contato em breve.
Algo deu errado. Envie sua consulta novamente.
Registrar
