Единый вход (SSO) DNN SAML с использованием Keycloak в качестве поставщика идентификации (IDP).

• После успешной активации лицензии откроется панель управления плагина, как показано ниже.

• В панели управления плагина нажмите на Метаданные поставщика услуг Кнопка в верхнем меню. Она откроет страницу метаданных поставщика услуг.
• Выберите требуемый Формат NameID Выберите из выпадающего списка (например, «Адрес электронной почты» или «Не указано») в зависимости от конфигурации вашего поставщика идентификации и нажмите на кнопку. Сохранено кнопка для обновления настроек.
• Формат NameID определяет, какой идентификатор пользователя (например, адрес электронной почты или имя пользователя) будет отправлен в процессе входа в систему SAML.

• Прокрутите вниз до Обмен метаданными SAML .

Вы можете получить метаданные SAML SP, используя один из двух описанных ниже методов, чтобы настроить их на стороне вашего поставщика идентификации.

A] Использование URL-адреса метаданных SAML или файла метаданных

• На этой странице вы найдете URL-адрес метаданных, а также возможность загрузить XML-файл метаданных SAML.
• Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.
• Вы можете ознакомиться с приведенным ниже скриншотом:

B] Загрузка метаданных вручную

• На этой странице вы можете вручную скопировать метаданные поставщика услуг, такие как: Идентификатор сущности поставщика услуг, URL-адрес ACS, URL-адрес выхода из системы поставщика услуг. и поделитесь им со своим поставщиком идентификационных данных для настройки.
• Вы можете ознакомиться с приведенным ниже скриншотом:

Шаги по настройке Keycloak IdP

• В твоем плаще-ключе Админ В консоли выберите нужный вам мир.
• Нажмите на Наши клиенты из левого меню и затем нажмите на Создать клиента кнопка создания нового клиента/приложения.

• Выберите SAML as Тип клиента, Введите SP-EntityID / Issuer как идентификатор клиента из Метаданные поставщика услуг вкладка, которую вы получите из Шаг 2B, войти Имя вашего заявления и введите Описание.

• Нажмите на Следующая .
• Предоставьте подробную информацию, как указано ниже:

Корневой URL	Оставьте пустым или укажите Базовый URL на вкладке «Метаданные поставщика услуг»
Допустимые URI перенаправления	URL-адрес ACS (службы поддержки потребителей) на вкладке «Метаданные поставщика услуг» плагина.

• Нажмите на Сохранено .

• В Настройки вкладка под Возможности SAML В этом разделе настройте Keycloak, указав необходимые данные:

Принудительное связывание POST	OFF
Формат идентификатора имени силы	OFF
Формат идентификатора имени	Эл. адрес

• В Ключи вкладку, отключить Требуется подпись клиента переключения.

• Нажмите на Сохранено .
• In Фильтр вкладка под Точная конфигурация конечной точки SAML, введите следующие данные:

URL-адрес привязки POST-сервиса потребителя утверждений	URL-адрес ACS (службы поддержки потребителей) на вкладке «Метаданные поставщика услуг» плагина.
URL-адрес привязки перенаправления службы выхода из системы (Опционально)	Единый URL-адрес выхода из системы на вкладке «Метаданные поставщика услуг» плагина.

• Нажмите на Сохранено .

Добавить картографов

Загрузить установочный файл

Вы успешно настроили Keycloak в качестве поставщика идентификации SAML (IdP) для обеспечения единого входа Keycloak на ваш сайт DNN.

• Нажмите на Добавить нового IDP кнопка для настройки нового поставщика идентификации.

• На вкладке «Настройки плагина» выберите Плащ в качестве поставщика идентификационных данных из представленного списка.

• После выбора поставщика идентификации (IdP) из списка откроется страница настроек поставщика идентификации. Здесь вы можете либо нажать на кнопку... Загрузить метаданные IdP Нажмите кнопку для автоматической настройки поставщика идентификации с использованием метаданных или введите необходимые данные поставщика идентификации вручную. Настройки поставщика идентификации.

Ниже описаны два способа настройки метаданных поставщика идентификации SAML в плагине.

A] Загрузите метаданные, используя кнопку «Загрузить метаданные IDP»:

• Нажмите Выберите Файл для загрузки XML-файла метаданных с помощью Загрузить XML-файл , затем нажмите Загрузите. В качестве альтернативы предоставьте URL метаданных в Введите URL-адрес метаданных раздела и нажмите Получить метаданные для автоматического получения конфигурации поставщика идентификации.
• Вы можете ознакомиться с приведенным ниже скриншотом:

B] Настройте метаданные поставщика идентификации вручную:

• В качестве альтернативы, на вкладке «Настройки поставщика идентификации» вы можете вручную заполнить обязательные поля, такие как: Имя поставщика идентификации (IDP), идентификатор сущности IDP и URL-адрес единого входа. и нажмите Сохранить настройки.

• После загрузки метаданных вернитесь на панель управления. Наведите курсор на Выберите действия Выберите нужный поставщик идентификации в раскрывающемся списке и нажмите на него. Тестовая конфигурация.

• После успешной настройки в окне конфигурации теста отобразятся имена атрибутов и их значения.

Отображение атрибутов

• После проверки конфигурации сопоставьте атрибуты вашего приложения с атрибутами поставщика идентификации (IdP).

• Из издания Выберите действия раскрывающийся список, выберите Изменить конфигурацию чтобы открыть настройки сопоставления атрибутов.
• Составьте необходимую карту. атрибуты IdP (например, имя пользователя, адрес электронной почты, имя и фамилия), полученные в SAML-ответе, отображаются в соответствующих полях.

• После сопоставления атрибутов нажмите Сохранено для внесения изменений.

Сопоставление ролей по умолчанию

• Перейдите в Сопоставление ролей по умолчанию в соответствующем разделе выберите роль, которую хотите назначить пользователям после успешного входа через SSO. Роль по умолчанию падать.
• Выберите соответствующую роль (например, зарегистрированные пользователи, подписчики или администраторы) и нажмите на кнопку. Сохранено чтобы применить изменения.

Расширенные настройки IDP

Если вы хотите настроить дополнительные параметры, прокрутите страницу вверх и нажмите на кнопку. Расширенные настройки поставщика идентификации кнопку из верхнего меню.

Пользовательское сопоставление атрибутов

• Если вы хотите передать дополнительные атрибуты из вашего поставщика идентификации (IdP), введите имя атрибута и соответствующее значение атрибута в соответствующем поле. Пользовательское сопоставление атрибутов.
• Из издания Значение атрибута В раскрывающемся списке выберите один из атрибутов, полученных в результатах проверки конфигурации, например: NameID.
• Эти атрибуты соответствуют значениям, отправленным вашим поставщиком идентификационных данных (IdP).

• В имя атрибута В это поле введите имя атрибута пользователя DNN; оно будет сопоставлено со значением атрибутов IDP во время входа в систему через SSO.
• Если вашему приложению требуется несколько атрибутов, вы можете добавить несколько сопоставлений, нажав на соответствующую кнопку. + .
• После определения всех необходимых сопоставлений нажмите на Сохранить сопоставление атрибутов для хранения конфигурации.

• Плагин преобразует входящие атрибуты SAML от вашего поставщика идентификации (IdP) в пользовательские имена атрибутов, настроенные здесь для вашего сайта DNN.

Расширенное сопоставление ролей

• В Расширенное сопоставление ролей раздел, введите Название атрибута группы В точности так, как настроено в вашем поставщике идентификации для получения информации о группах пользователей.
• Введите Имя роли полученную от поставщика идентификационных данных информацию сопоставить с соответствующей информацией. Роль Ценность В поле «Значение роли» введите роли, определенные на вашем сайте DNN.
• Например: сопоставьте группу IdP Group1 или Group10, полученную в атрибуте UserGroups, с соответствующей ролью, настроенной на вашем сайте DNN.
• После добавления необходимых сопоставлений нажмите на Сохранить сопоставление ролей Для успешного сохранения конфигурации.

Ограничение домена

• Эта функция позволяет ограничить доступ пользователей к сайту на основе домена, указанного в атрибуте «Электронная почта».
• В Атрибут электронной почты В это поле введите имя атрибута, содержащего адрес электронной почты пользователя, полученный от вашего поставщика идентификационных данных (IdP).

• В Имя домена В поле введите домены, которые вы хотите разрешить или ограничить, разделяя их запятыми, если добавляете несколько доменов.
• Включите Ограничить переключатель В зависимости от ваших требований к настройке доступа по черному или белому списку.
• После завершения настройки нажмите на Сохранено Чтобы успешно сохранить настройки.

Перенаправления после SSO и SLO

• В Перенаправление входа В этом разделе укажите URL-адрес конечной точки, куда пользователи должны быть перенаправлены после успешного входа в систему с использованием единого входа (SSO).
• В Перенаправление при выходе В разделе укажите URL-адрес конечной точки, куда пользователи должны быть перенаправлены после успешного выхода из системы (SLO), и нажмите Сохранено для обновления конфигурации.

Изменить SAML-запрос

• В Изменить SAML-запрос в раздел введите необходимые данные. Имя параметра и Значение параметра, Нажмите + нажмите кнопку, чтобы добавить параметр, а затем нажмите Сохранено для внесения изменений.

Дополнительные настройки

• Включите Автоматическая регистрация пользователя для автоматического создания новой учетной записи пользователя в DNN, если пользователь еще не существует при входе через SSO.
• Включите Переопределить атрибут электронной почты обновить адрес электронной почты пользователя в DNN, используя атрибут email, полученный от поставщика идентификационных данных (IdP).
• Включите Найти пользователя по электронной почте Это позволит плагину идентифицировать и сопоставлять существующих пользователей в DNN по их адресу электронной почты.
• Включите Многопортальная SSO Если вы хотите разрешить единый вход (Single Sign-On) на нескольких порталах DNN, используя одного и того же поставщика идентификации (IdP), нажмите здесь. Сохранено для обновления настроек.

• Наведите указатель мыши на Выберите действия Выберите нужный поставщик идентификации в раскрывающемся списке и нажмите на него. Скопировать ссылку SSO.
• Используйте эту ссылку SSO для активации единого входа (SSO) для пользователей, входящих на ваш портал DNN.

• Пользователь входит на сайт DNN, вводя учетные данные Keycloak.