Содержание:

Blazer SAML SSO с ADFS в качестве поставщика идентификации

Blazor SAML Single Sign-On (SSO) Наше приложение позволяет включить единый вход SAML для ваших приложений Blazor. Используя единый вход, вы можете использовать только один пароль для доступа к вашему приложению и сервисам Blazor. Наше приложение совместимо со всеми поставщиками идентификации, поддерживающими SAML. Здесь мы рассмотрим пошаговое руководство по настройке единого входа (SSO) между Blazor и Microsoft Entra ID (ранее Azure AD), используя Azure AD в качестве поставщика идентификации. Чтобы узнать больше о функциях, которые мы предоставляем для SSO Blazor, нажмите здесь. здесь.

Поддержка платформы: Приложение Blazor SAML поддерживает ASP.NET Core 2.0 и выше. Оно поддерживает все платформы Blazor, включая Windows, Linux и macOS.

Шаги по настройке единого входа (SSO) Blazer с использованием ADFS в качестве поставщика идентификационных данных (IDP).

Шаг 1: Предварительные условия: Загрузка и установка

Установите промежуточное ПО Blazor SAML SSO в пакет вашего приложения, используя пакет NuGet.

Пакет NuGet
.NET интерфейс командной строки

PM> NuGet\Install-Package miniOrange.SAML.SSO

      
          
          
    
    using miniorange.saml
    public class Startup
    {
      public void ConfigureServices(IServiceCollection services)
      {
   
       services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();
       services.AddControllersWithViews();
      }
      public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
      {
        app.UseHttpsRedirection();
        app.UseRouting();
        app.UseAuthorization();
        app.MapRazorPages();
    
        app.UseCookiePolicy();
        app.UseAuthentication();
        app.UseStaticFiles();
        app.UseminiOrangeSAMLSSOMiddleware();
        app.Run();
      }
    }

      
          
    
    using Microsoft.AspNetCore.Authentication.Cookies;
    using miniOrange.saml;
    
    var builder = WebApplication.CreateBuilder(args);
    
    builder.Services.AddRazorPages();
    // Add authentication services
    builder.Services.AddminiOrangeServices(Assembly.GetExecutingAssembly());
    
    var app = builder.Build();
    
    if (!app.Environment.IsDevelopment())
     {
        app.UseExceptionHandler("/Error");
    
        app.UseHsts();
     }
    
    app.UseHttpsRedirection();
    app.UseRouting();
    app.UseAuthorization();
    app.MapRazorPages();
    
    app.UseCookiePolicy();
    app.UseAuthentication();
    app.UseStaticFiles();
    app.UseminiOrangeSAMLSSOMiddleware();
    app.Run();
    app.useantiforgery()

После интеграции откройте браузер и перейдите на панель управления коннектором по указанному ниже URL-адресу:
https://<blazor-application-base-url>/?ssoaction=config
Если появляется страница регистрации или страница входа в систему, значит, вы успешно добавили коннектор miniOrange ASP.NET SAML SSO в свое приложение.

Blazor SAML Single Sign-On (SSO) с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации - регистрация saml dll

Зарегистрируйтесь или войдите в свою учетную запись, нажав на кнопку. Зарегистрировать филиал кнопка для настройки приложения.

2. Настройте ADFS в качестве поставщика удостоверений.

Под Плагин Настройки вкладка, выберите ADFS в качестве поставщика идентификационных данных из представленного списка.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — выбор ADFS в качестве поставщика идентификации.

Ниже описаны два способа получения метаданных SAML SP для настройки на стороне вашего поставщика идентификации.

A] Использование URL-адреса метаданных SAML или файла метаданных:

В Меню настроек плагина, искать Настройки поставщика услугНиже вы найдете URL-адрес метаданных, а также возможность загрузки метаданных SAML.
Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.
Вы можете ознакомиться с приведенным ниже скриншотом:

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — Копирование загруженных метаданных

B] Загрузка метаданных вручную:

Из издания Настройки поставщика услуг В этом разделе вы можете вручную скопировать метаданные поставщика услуг, например: Идентификатор сущности SP, URL-адрес ACS, URL-адрес единого выхода. и поделитесь им со своим поставщиком идентификационных данных для настройки.
Вы можете ознакомиться с приведенным ниже скриншотом:

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — ручное ввод метаданных.

Сначала найдите Управление ADFS приложение на вашем сервере ADFS.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации (IDP) - сервер ADFS

В разделе «Управление AD FS» выберите Доверие проверяющей стороны и нажмите на Добавить доверие проверяющей стороны.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — добавление доверия к проверяющей стороне.

Выберите Претензии осведомлены в Мастере доверия проверяющей стороны нажмите на Начать .

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификационных данных — с учетом утверждений.

Выберите источник данных

В разделе «Выбор источника данных» выберите источник данных для добавления доверительной стороны, проверяющей данные.

URL метаданных
XML-файл метаданных
Ручная настройка

Перейдите в Метаданные поставщика услуг скопируйте этот фрагмент из промежуточного ПО SAML ASP.NET Core. URL метаданных.
Выберите Импортируйте данные о зависимой стороне, опубликованные в интернете или в локальной сети. Добавьте этот параметр и URL-адрес метаданных в поле «Адрес метаданных федерации».
Нажмите на Следующая.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — поддержка метаданных мастера SAML 2.0.

Примечание: На следующем шаге введите желаемое значение. Display Name и нажмите Следующая.

Перейдите в Метаданные поставщика услуг Раздел промежуточного ПО ASP.NET SAML для получения конечных точек и ручной настройки поставщика услуг.
In Мастер добавления доверительной стороны выберите опцию Введите данные о проверяющей стороне вручную. и нажмите на Далее.

Единый вход (SSO) в ASP.NET Core с использованием SAML и ADFS в качестве поставщика идентификации — руководство по метаданным мастера SAML 2.0.

Укажите отображаемое имя

Enter Display Name и нажмите Следующая.

Настройка сертификата (премиум-функция)

Загрузите сертификат по ссылке: Вкладка «Метаданные поставщика услуг».
Загрузите сертификат и нажмите на кнопку. Следующая.

Настройте URL-адрес

Выберите Включить поддержку протокола SAML 2.0 WebSSO выберите и введите URL-адрес СКДиз плагина Метаданные поставщика услуг Tab.
Нажмите на Next.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — для мастера SAML 2.0_Включить SAML

Настройка идентификаторов

В Идентификатор доверия зависимой стороны, добавить SP-EntityID / Эмитент из плагина Метаданные поставщика услуг меню.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — Мастер настройки SAML 2.0_URL

Выберите политику контроля доступа

Выберите Разрешить всем в качестве политики контроля доступа и нажмите на Следующая.

Единый вход (SSO) ASP.NET Core SAML с использованием ADFS в качестве поставщика идентификации — для мастера SAML 2.0 и многофакторной аутентификации.

Готов добавить доверие

In Готов добавить доверие нажмите Следующая , а затем Закрыто.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — мастер редактирования утверждений SAML 2.0

Изменить политику выдачи претензий

В списке Доверие проверяющей стороныВыберите созданное вами приложение и нажмите на кнопку. Изменить политику выдачи претензий.

На вкладке «Правило преобразования выпуска» нажмите на Добавить правило .

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — для правила утверждения мастера SAML 2.0.

Выберите тип правила

Выберите Отправлять атрибуты LDAP как утверждения и нажмите на Следующая.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — для SAML 2.0. Настройка атрибутов LDAP.

Настройка правила обработки утверждений

Добавить Название правила подачи претензии И выберите Хранилище атрибутов Выберите нужный вариант из выпадающего списка.
Под Сопоставление атрибутов LDAP с типами исходящих запросов.Выберите атрибут LDAP как Адрес электронной почты и тип исходящего требования как Имя ID.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификации — для правила преобразования утверждений SAML 2.0.

После настройки атрибутов нажмите на Завершить.
После настройки ADFS в качестве поставщика идентификационных данных (IDP) вам потребуется следующее: Метаданные федерации для настройки вашего поставщика услуг.
Для получения метаданных федерации ADFS можно использовать этот URL-адрес.
https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
Вы успешно настроили ADFS в качестве поставщика идентификации SAML (IdP) для обеспечения единого входа (SSO) в систему ADFS.

Единый вход Windows (необязательно)

Выполните следующие шаги для настройки единого входа Windows (SSO).

Шаги по настройке ADFS для аутентификации Windows.

Откройте командную строку с правами администратора на сервере ADFS и выполните следующую команду:

миниоранж img setspn -a HTTP/##ADFS Server FQDN## ##Domain Service Account##

миниоранж img FQDN — это полное доменное имя (например: adfs4.example.com).

миниоранж img Учетная запись службы домена — это имя пользователя учетной записи в Active Directory.

миниоранж img Пример: setspn -a HTTP/adfs.example.com имя пользователя/домен

Откройте консоль управления AD FS, затем нажмите на Услуги и перейдите к Методы аутентификации раздел. Справа нажмите на Редактировать основные методы аутентификацииПроверьте аутентификацию Windows в зоне интрасети.

Единый вход (SSO) SAML в ASP.NET Core с использованием ADFS в качестве поставщика идентификационных данных — первичная аутентификация

ASP.NET Core SAML Единый вход (SSO) с использованием ADFS в качестве поставщика идентификации — приложение для управления

Откройте Internet Explorer. Перейдите на вкладку «Безопасность» в параметрах интернета.
Добавьте полное доменное имя (FQDN) AD FS в список сайтов в локальной интрасети и перезапустите браузер.
Выберите пользовательский уровень для зоны безопасности. В списке параметров выберите «Автоматический вход в систему только в зоне интрасети».

Откройте PowerShell и выполните следующие две команды, чтобы включить аутентификацию Windows в браузере Chrome.


                      Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")


                      Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

Вы успешно настроили ADFS для аутентификации Windows.

3. Настройте приложение Blazer SAML в качестве поставщика услуг.

Ниже описаны два способа настройки метаданных поставщика идентификации SAML в приложении.

A] Загрузите метаданные, используя кнопку «Загрузить метаданные IDP»:

Если ваш поставщик идентификационных данных предоставил вам URL-адрес метаданных или файл метаданных (только в формате .xml), то вы можете просто настроить метаданные поставщика идентификационных данных в приложении, используя... Загрузка метаданных IDP опцию.
Вы можете ознакомиться с приведенным ниже скриншотом:

Единый вход (SSO) Blazor SAML с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификационных данных — загрузка метаданных.

Вы можете выбрать любой из вариантов в зависимости от доступного вам формата метаданных.

B] Настройте метаданные поставщика идентификации вручную:

После настройки вашего Поставщик удостоверений, это предоставит вам Идентификатор сущности IDP, URL-адрес единого входа IDP и Сертификат SAML X509 поля соответственно.
Нажмите Сохранено чтобы сохранить данные вашего IDP.

Единый вход (SSO) Blazor SAML с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации — конфигурация DLL SAML.

4. Тестирование SAML SSO

Нажмите на Тестовая конфигурация Нажмите кнопку, чтобы проверить правильность выполненной вами настройки SAML.
На скриншоте ниже показан успешный результат. Нажмите на SSO интеграция для дальнейшего продолжения интеграции SSO.

Blazor SAML Single Sign-On (SSO) с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации — конфигурация тестирования SAML DLL

Если в приложении возникнет ошибка, вы увидите окно, похожее на показанное ниже.

Единый вход (SSO) Blazor SAML с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации — включение журналов отладки.

Для устранения ошибки выполните следующие действия:

Под Устранение неполадок Вкладка, включите переключатель, чтобы получать журналы плагина.

После включения вы сможете получать журналы плагина, перейдя по адресу... Плагин Настройки вкладку и нажав на Тестовая конфигурация.
Скачать журнальный файл из Устранение неполадок Нажмите вкладку, чтобы посмотреть, что пошло не так.
Вы можете поделиться журнальный файл с нами в aspnetsupport@xecurify.com Наша команда свяжется с вами, чтобы решить вашу проблему.

5. Сопоставление атрибутов

После проверки конфигурации сопоставьте атрибуты вашего приложения с атрибутами поставщика идентификации (IdP).
В бесплатном плагине можно настроить только NameID.
Примечание: Все сопоставленные атрибуты будут храниться в утверждениях, чтобы вы могли получить к ним доступ в своем приложении..

Единый вход (SSO) Blazor SAML с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации — сопоставление атрибутов.

6. Интеграционный код

Эти шаги позволяют получить информацию о пользователях SSO в вашем приложении в виде пользовательских утверждений.
Вы также можете посмотреть установка тура чтобы понять, как будет работать интеграция SSO в вашем приложении Blazor.
Просто скопируйте и вставьте этот фрагмент кода туда, где вам нужно получить доступ к атрибутам пользователя.

Единый вход (SSO) в ASP.NET Core SAML | Аутентификация в ASP.NET Core | Интеграционный код SAML SSO в ASP.NET Core

Примечание:В пробной версии промежуточное ПО поддерживает только информацию о пользователе в утверждениях; получение информации о пользователе в сессии и заголовках доступно в платном плагине.
Вы также можете скопировать код интеграции, приведенный ниже:

          
      

  string name="";
  string claimtype="";
  string claimvalue="";

   if(User.Identity.IsAuthenticated)
   {
     foreach( var claim  in User.Claims) 
     {
       claimtype = claim.Type;
       claimvalue = claim.Value;
     }
     retrive custom attributes(for eg. Retrieve Mapped 'mobileNumber' attribute of your IDP)
     var identity = (ClaimsIdentity)User.Identity;
     IEnumerable claims = identity.Claims;
     string mobileNumber = identity.FindFirst("mobileNumber")?.Value;
   }

Примечание: Все сопоставленные атрибуты будут храниться в утверждениях, к которым будет осуществляться доступ в вашем приложении.
Если вам нужна помощь по вопросам интеграции, свяжитесь с нами по адресу [адрес электронной почты]. aspnetsupport@xecurify.com

7. Настройки входа в систему

Наведите указатель мыши на Выберите действия и нажмите на Скопировать ссылку SSO.

Единый вход (SSO) ASP.NET SAML с использованием Auth0 в качестве поставщика идентификации (IDP) — коды интеграции ASP.NET в зависимости от языка программирования.

Используйте следующий URL-адрес в качестве ссылки в приложении, из которого вы хотите выполнить единый вход (SSO):
https://blazor-application-base-url/?ssoaction=login
Например, вы можете использовать его следующим образом:
<a href=”https://blazor-application-base-url/?ssoaction=login”>Log in</a>

8. Настройки выхода из системы

Используйте следующий URL-адрес в качестве ссылки на ваше приложение, из которого вы хотите выполнить SLO:
https://blazor-application-base-url/?ssoaction=logout
Например, вы можете использовать его следующим образом:
<a href=”https://blazor-application-base-url/?ssoaction=logout”>Log out</a>

Для настройки поставщика идентификации (IDP) метаданные поставщика услуг можно найти в файле appsetting.json. Метаданные поставщика услуг (SP) см. на скриншоте ниже:

Blazor SAML Single Sign-On (SSO) с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации (IDP) - метаданных поставщика услуг (SP).

С миниоранжевый В разделе скопируйте spentityid, acsurl и предоставьте их команде вашего поставщика идентификационных данных.

После настройки метаданных поставщика услуг на стороне IdP вам будет предоставлен файл метаданных IdP, URL-адрес метаданных или URL-адреса метаданных, такие как идентификатор сущности IdP, URL-адрес SSO IdP и т. д.
Для настройки метаданных вашего IDP перейдите по следующему пути: appsettings.json В файле miniorange вы найдете следующие настройки в разделе JSON.
Для непосредственной настройки вашего IDP перейдите по следующему пути: appsettings.json .

Blazor SAML Single Sign-On (SSO) с использованием Azure AD (Microsoft Entra ID) в качестве поставщика идентификации (IDP) - метаданные IDP

Настройте необходимые метаданные и сохраните параметры.

idp_cert	Введите сертификат IDP в это поле.
ссорл	Введите URL-адрес SSO в это поле.
idp_issuer	Введите название эмитента IDP в это поле.

Отображение атрибутов

Сопоставьте атрибуты вашего приложения с атрибутами поставщика идентификационных данных (IDP).
Примечание: Все сопоставленные атрибуты будут сохранены в сессии, чтобы вы могли получить к ним доступ в своем приложении.

Интеграционный код

Просто скопируйте и вставьте фрагмент кода туда, где вам нужно получить доступ к атрибутам пользователя.
Примечание: Все сопоставленные атрибуты будут сохранены в сессии, чтобы вы могли получить к ним доступ в своем приложении.

string name="";

        string claimtype="";

        string claimvalue="";

        if(User.Identity.IsAuthenticated) { 

          name= User.Identity.Name;

          foreach( var claim in User.Claims) {
        
    claimtype = claim.Type;
        
    claimValue = claim.Value;
        
  }
}

Приложение Blazor SAML 2.0 Single Sign-On (SSO) можно настроить с использованием любого поставщика идентификации, например, ADFS, Microsoft Entra ID (ранее Azure AD), Bitium, Centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2 или даже собственный поставщик идентификации.Проверьте список поставщиков идентификационных данных. здесь.

Дополнительные ресурсы

Нужна помощь?

Не можете найти своего поставщика идентификационных данных? Напишите нам по адресу... aspnetsupport@xecurify.com Мы поможем вам настроить единый вход (SSO) с вашим поставщиком идентификации (IDP), а также предоставим оперативные рекомендации (по электронной почте/на встрече) по вашим требованиям. Наша команда поможет вам выбрать наиболее подходящее решение/план в соответствии с вашими потребностями.