Какие версии Joomla поддерживает этот плагин?

Плагин поддерживает все версии Joomla, включая Joomla 3, 4, 5 и 6.

Доступна ли бесплатная версия?

Да, плагин предлагает бесплатную версию с основными функциями SAML SSO. Премиум-планы добавляют расширенные возможности, такие как сопоставление атрибутов, сопоставление групп и поддержка нескольких поставщиков идентификации.

Поддерживает ли плагин ADFS?

Да, он поддерживает бесшовную интеграцию единого входа (SSO) SAML 2.0 с ADFS.

Можно ли настроить несколько поставщиков идентификации (IdP)?

Да, в премиум-версии плагина поддерживается конфигурация с несколькими поставщиками идентификации (IDP).

Поддерживается ли единый выход из системы (SLO)?

Да, функция Single Logout (SLO) поддерживается и позволяет пользователям одновременно выйти из всех подключенных приложений.

Единая авторизация SAML в Joomla с использованием ADFS

Обзор

Плагин miniOrange Joomla SAML SP SSO помогает интегрировать ваш сайт Joomla с ADFS, используя протокол SAML 2.0. Наш удобный плагин упрощает процесс настройки единого входа (SSO) с ADFS (Active Directory Federation Services) в Joomla, обеспечивая безопасный вход в систему. Это позволяет пользователям легко получать доступ к различным сайтам Joomla, используя свои учетные данные ADFS IDP.

Наш плагин разработан для совместимости с Joomla 3, 4 и 5 и бесперебойно работает со всеми поставщиками идентификации, совместимыми с SAML 2.0. Для получения подробного обзора комплексных функций, предлагаемых плагином Joomla SAML SP, посетите нашу страницу. здесьНиже приведено пошаговое руководство по настройке единого входа SAML SSO между вашим сайтом Joomla и ADFS, где ADFS выступает в роли поставщика идентификационных данных (IDP), а Joomla — в роли поставщика услуг (SP).

Скачать плагин

Тарифный план

Попробуйте!

Для настройки единого входа (SSO) между ADFS и Joomla вы также можете следовать этой пошаговой инструкции. Настройка видео.

Шаги настройки

В этой установке ADFS служит хранилищем для хранения пользователей, то есть будет выступать в роли поставщика идентификационных данных, в то время как Joomla Здесь пользователи будут входить в систему, используя свои учетные данные из ADFS. Плагин Joomla SAML SP SSO будет установлено.

Шаг 1: Установите плагин Joomla SAML SP.

Войдите на свой сайт Joomla. Администратора приставка.
В левом выпадающем меню нажмите на Системазатем в разделе «Установка» нажмите на Расширения.
Теперь нажмите Или выберите файл. кнопка для поиска и установки ранее загруженного файла плагина.

Установка плагина прошла успешно. Теперь нажмите на Начать!

Перейдите на сайт Метаданные поставщика услуг Вкладка, здесь вы найдете URL метаданных, скачайте XML-файл метаданныхили вы можете скопировать Идентификатор объекта и URL ACS Его можно использовать без дополнительной настройки.

Шаг 2: Настройте ADFS в качестве поставщика идентификационных данных (IDP).

В ADFS найдите Управление ADFS Приложение.

После открытия приложения управления ADFS выберите Доверие проверяющей стороны и затем нажмите на Добавить доверие проверяющей стороны.

Нажмите Начать Кнопка появляется во всплывающем окне мастера настройки доверия к проверяющей стороне. Но перед этим убедитесь, что... Претензии осведомлены .

Выберите параметры добавления траста проверяющей стороны.

Использование URL-адреса метаданных:

В разделе «Выбрать источник данных»: Импортируйте данные о зависимой стороне, опубликованные в интернете или в локальной сети. Затем выберите опцию и добавьте URL-адрес в поле "Адрес метаданных федерации" (для получения URL-адреса метаданных поставщика услуг перейдите на вкладку "Метаданные поставщика услуг" в плагине).

Если у вас есть URL-адрес метаданных, вы можете пропустить следующие шаги по импорту файла метаданных и ввести данные вручную, а затем начать настройку. этот шаг.

Использование XML-файла метаданных:

В разделе «Выбрать источник данных»: Импорт данных о проверяющей стороне из файла выберите опцию, а затем найдите файл метаданных (вы можете загрузить файл метаданных SharePoint из плагина в разделе...). Метаданные поставщика услуг вкладка).

Использование ручной настройки:

В разделе «Выбрать источник данных»: Введите данные о зависимой стороне. вручную и нажмите на Следующая.

Введите отображаемое имя и нажмите Следующая.
Загрузите сертификат и нажмите СледующаяЗагрузите сертификат из плагина и используйте тот же сертификат для загрузки в ADFS.
Выберите Включить поддержку протокола SAML 2.0 WebSSO Введите URL-адрес ACS из плагинов. Метаданные поставщика услуг Таб. Нажмите Следующая.

Добавить Идентификатор объекта из плагинов Метаданные поставщика услуг Перейдите на вкладку «Идентификатор доверия проверяющей стороны», затем нажмите Добавить кнопка, а затем нажмите Следующая.

Также скачайте сертификат подписи по ссылке: Метаданные поставщика услуг Вкладка из плагина.
Выберите Разрешить всем в качестве политики контроля доступа и нажмите на Следующая.

Нажмите Следующая кнопка «Готово добавить доверие» и нажмите Закрыто.
Вам будет показан список трастов проверяющей стороны. Выберите соответствующее приложение и нажмите Редактировать политику выдачи претензий.

Нажмите на Добавить правило .

Выберите Отправлять атрибуты LDAP как утверждения & нажмите на Следующая.

Введите следующие данные и нажмите Завершить.

Название правила утверждения	Атрибуты
Хранилище атрибутов	Active Directory
Атрибут LDAP	Адреса электронной почты
Тип исходящей претензии	Имя ID

Нажмите Применить , а затем Ok.
Выберите свойство приложения и добавьте сертификат, загруженный из дополнения.

Вы можете загрузить метаданные ADFS, используя следующий URL-адрес. Этот URL-адрес метаданных можно использовать на вкладке «Настройка поставщика услуг».

{ }

Единый вход Windows (необязательно)

Шаги по настройке ADFS для аутентификации Windows:

Откройте командную строку с правами администратора на сервере ADFS и выполните следующую команду:

setspn -a HTTP/##ADFS Server FQDN## ##Domain Service Account##
FQDN — это полное доменное имя (например: adfs4.example.com).
Учетная запись службы домена — это имя пользователя учетной записи в Active Directory.
Пример: setspn -a HTTP/adfs.example.com имя пользователя/домен

Откройте консоль управления AD FS и перейдите в раздел «Политики аутентификации», отредактируйте глобальные политики аутентификации. Установите флажок «Аутентификация Windows в зоне интрасети».

Откройте Internet Explorer. Перейдите на вкладку «Безопасность» в параметрах интернета.
Добавьте полное доменное имя (FQDN) AD FS в список сайтов в локальной интрасети и перезапустите браузер.
Выберите пользовательский уровень для зоны безопасности. В списке параметров выберите «Автоматический вход в систему только в зоне интрасети».

Откройте PowerShell и выполните следующие две команды, чтобы включить аутентификацию Windows в браузере Chrome.

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

Вы настроили ADFS для аутентификации Windows. Теперь, чтобы добавить проверяющую сторону для вашей Joomla, выполните следующие шаги.

Шаг 3: Настройте Joomla в качестве поставщика услуг (SP).

В плагине Joomla SAML перейдите на вкладку «Настройка поставщика услуг», затем нажмите на Добавить нового IDPСуществует 3 способа настройки IDP:

Загрузка метаданных поставщика идентификации

А. Загружая метаданные IDP:

В плагине Joomla SAML перейдите в Настройка поставщика услуг вкладка, здесь нажмите на Выберите файл Нажмите кнопку, чтобы выбрать файл метаданных, а затем нажмите на Загрузите .

Б. По URL-адресу метаданных:

Enter URL метаданных (Скопируйте из приложения IDP) и нажмите на Получить метаданные .

C. Ручная настройка:

Копировать Идентификатор сущности SAML, URL-адрес конечной точки единого входа SAML и сертификат X.509. из документа «Метаданные федерации» и вставьте его. Идентификатор сущности IDP, URL-адрес единого входа, сертификат X.509. соответственно в полях плагина.

Идентификатор объекта IdP	Идентификатор сущности SAML в документе метаданных федерации
URL-адрес единого входа	URL-адрес конечной точки единого входа SAML в документе метаданных федерации.
Стоимость сертификата X.509	Сертификат X.509 в документе метаданных федерации.

Шаг 4: Настройка теста

Нажмите Сохранено Для сохранения вашей конфигурации. После сохранения настроенный IDP отобразится в Список внутренне перемещенных лицгде вы можете скопировать URL-адрес единого входа или управлять настройками, редактируя сконфигурированный IDP или удаляя его по мере необходимости.

Наконец, проверьте конфигурацию, нажав на кнопку. Тест кнопка. В окне успешного тестирования вы увидите атрибуты, полученные от вашего поставщика идентификации (IDP), что позволит вам убедиться в правильности работы настройки.

Шаг 5: Сопоставление атрибутов — Премиум-функция

Атрибуты — это данные пользователя, которые хранятся в вашем поставщике идентификационных данных.
Сопоставление атрибутов помогает получать атрибуты пользователя от вашего поставщика идентификации (IDP) и сопоставлять их с атрибутами пользователя Joomla, такими как имя, фамилия, адрес, телефон и т. д.
При автоматической регистрации пользователей на вашем сайте Joomla эти атрибуты будут автоматически сопоставлены с данными пользователей Joomla.
Перейдите на вкладку «Сопоставление» и заполните все поля. Отображение атрибутов .

Имя пользователя:	Название атрибута имени пользователя из IdP (по умолчанию использовать NameID)
Электронная почта:	Название атрибута email из IdP (по умолчанию использовать NameID)
Имя:	Название атрибута имени из IdP

Чтобы лучше понять, какие значения следует здесь сопоставить, вы можете проверить результаты проверки конфигурации на вкладке «Настройка поставщика услуг».

Примечание: Вы можете посмотреть, как работает сопоставление атрибутов. здесь.

Шаг 6: Групповое сопоставление — Премиум-функция

Сопоставление групп/ролей помогает назначать определенные роли пользователям определенной группы в вашем поставщике идентификации (IdP).
При автоматической регистрации пользователям назначаются роли в зависимости от группы, к которой они отнесены.

Примечание: Вы можете посмотреть, как работает сопоставление групп/ролей. здесь.

Шаг 7: Перенаправление и ссылки единого входа (SSO)

Перейдите на вкладку «Настройки входа». Вы можете добавить URL-адрес для входа, чтобы использовать SAML SSO на вашем сайте Joomla, выполнив следующие шаги.
На этой вкладке доступно множество функций, таких как автоматическое перенаправление пользователя на сайт поставщика идентификационных данных и включение входа в бэкэнд для суперпользователей. Чтобы использовать эти функции, установите флажки в соответствующих полях.

Нажмите на вкладку «Обновить», чтобы ознакомиться с полным списком функций и различными планами лицензирования. ИЛИ вы можете нажать здесь, чтобы проверить функции и планы лицензирования.
В случае возникновения проблем или вопросов, вы можете связаться с нами, отправив запрос через кнопку «Поддержка» в плагине или написав нам письмо по адресу [адрес электронной почты]. joomlasupport@xecurify.com.

Часто задаваемые вопросы (FAQ)

Дополнительные часто задаваемые вопросы ➔

Моя тестовая конфигурация прошла успешно, но при попытке входа я попадаю в цикл перенаправления.

Этому могут быть несколько причин:

1. На сайте включено кэширование.
Когда включено автоматическое перенаправление, пользователь перенаправляется на страницу входа в IDP, а после входа возвращается на основной сайт. Но поскольку включено кэширование, происходит перенаправление на страницу входа в IDP, что приводит к зацикливанию.

2. Несоответствие HTTP/HTTPS:
Это происходит, когда HTTPS не принудительно используется на сайте, но настроен на стороне поставщика идентификационных данных с использованием URL-адреса HTTPS. Эту проблему можно решить, принудительно включив HTTPS на сайте путем определения правила перенаправления в файле .htaccess или на уровне Apache.

3. Фальсификация печенья:
Файл cookie, созданный плагином после авторизации пользователя, изменяется другим плагином, в результате чего пользователь не авторизуется на сайте Joomla, но сессия создается на IDP.

Почему при нажатии на кнопку «Проверить конфигурацию» меня перенаправляет на сайт Joomla вместо IDP?

В плагине Joomla SAML, если после установки плагина не включено какое-либо расширение, при нажатии на кнопку «Проверить конфигурацию» происходит перенаправление на ваш собственный сайт вместо переадресации на IDP. Для решения этой проблемы необходимо включить все расширения плагина после его установки.

Для решения этой проблемы выполните следующие действия:

1. В административной панели Joomla перейдите в раздел Расширения -> Управление -> Управление.
2. Найдите в интернете «миниатюрный апельсин».
3. Включите все расширения плагинов.

Я вошел в свою учетную запись поставщика идентификационных данных, и меня перенаправило на сайт Joomla, но я не авторизован?

Вот некоторые распространенные ошибки, которые могут возникать:

INVALID_ISSUER: Это означает, что вы НЕ ввели правильное значение идентификатора эмитента или организации, предоставленное вашим поставщиком идентификации. В сообщении об ошибке вы увидите ожидаемое значение (которое вы настроили) и то, что фактически было найдено в ответе SAML.
INVALID_AUDIENCE: Это означает, что вы неправильно настроили URL-адрес аудитории в вашем поставщике идентификации. В вашем поставщике идентификации он должен быть установлен на https://base-url-of-your-joomla-site/plugins/authentication/miniorangesaml/.
INVALID_DESTINATION: Это означает, что вы неправильно настроили URL-адрес назначения в вашем поставщике идентификации. Он должен быть установлен на https://base-url-of-your-joomla-site/plugins/authentication/miniorangesaml/saml2/acs.php в вашем поставщике идентификации.
INVALID_SIGNATURE: Это означает, что предоставленный вами сертификат не соответствует сертификату, найденному в ответе SAML. Убедитесь, что вы предоставили тот же сертификат, который загрузили с вашего IdP. Если у вас есть XML-файл метаданных вашего IdP, убедитесь, что вы предоставили сертификат, заключенный в тег X509 Certificate, который имеет атрибут use='signing'.
INVALID_CERTIFICATE: Это означает, что предоставленный вами сертификат имеет неправильный формат. Убедитесь, что вы скопировали весь сертификат, предоставленный вашим поставщиком идентификации (IdP). Если вы скопировали сертификат из XML-файла метаданных IdP, убедитесь, что вы скопировали все значение целиком.

Не удалось найти сертификат, соответствующий заданному отпечатку.

Это возможно только в том случае, если сертификат, полученный в ответе SAML, не совпадает с сертификатом, настроенным в плагине. Скопируйте значение сертификата, отображаемое в окне «Конфигурация теста», и вставьте его в поле «Сертификат X.509» на вкладке «Поставщик услуг» в плагине.

Как экспортировать конфигурацию в Joomla SAML?

Пожалуйста, выполните следующие шаги для настройки экспорта:
1) Перейдите в плагин miniOrange SAML SP и откройте вкладку «Настройка поставщика услуг».
2) Затем нажмите кнопку «Импорт/Экспорт» внизу страницы, а затем кнопку «Экспорт конфигурации».
3) Перейдите в раздел Система >> Управление и введите miniOrange в строку поиска. Затем удалите все расширения miniOrange.

Пожалуйста, выполните следующие действия для импорта конфигурации:
1) Установите последнюю версию плагина и войдите в систему, используя свои учетные данные miniOrange, через плагин.
2) Перейдите на вкладку «Настройка поставщика услуг» и нажмите кнопку «Импорт/Экспорт».
3) Загрузите скачанный файл конфигурации, а затем нажмите кнопку «Импорт конфигурации».

Почему при обновлении плагина Joomla SAML у меня возникает ошибка "отсутствует таблица"?

При обновлении плагина Joomla SAML, если таблица или столбец не добавлены в базу данных, вы получите ошибку «отсутствует таблица». Эта проблема обычно возникает, когда таблица или столбец не добавлены в базу данных при обновлении плагина.
Для решения этой проблемы можно переустановить плагин. Пожалуйста, выполните следующие действия:

Удалите существующий плагин (перед удалением плагина сделайте его резервную копию).
– Перейдите в Расширения -> Управление -> Управление
– Поиск miniOrange
– Выберите все расширения и нажмите «Удалить».
Теперь установите плагин снова и настройте его.

Как устранить фатальную ошибку: Невозможно объявить класс, поскольку имя уже используется?

Сайт Joomla может использоваться либо в качестве поставщика услуг (Service Provider), либо в качестве поставщика идентификации (Identity Provider) с помощью соответствующего плагина SP или IDP. Вероятно, вы столкнулись с этой ошибкой, потому что установили оба плагина на одном и том же сайте.
Для решения этой проблемы выполните следующие действия: Удалите следующие папки из каталога Joomla:

1. /libraries/miniorangejoomlaidpplugin
2. /libraries/miniorangesamlplugin
3. /plugins/system/samlredirect
Теперь вы сможете войти на свой сайт Joomla.

Удалите оставшиеся расширения:

1. В консоли администратора вашего сайта Joomla перейдите в раздел Расширения -> Управление -> Управление.
2. Найдите в поиске «миниапельсин».
3. Выберите все расширения и нажмите «Удалить».

SSO не работает? Вы используете инструменты администрирования вместе с плагином SAML SP?

Проблема с перенаправлением возникает при использовании плагина Admin Tools для Joomla SAML SSO, когда плагин Admin Tools вносит изменения в файл .htaccess и добавляет определенные правила, предотвращающие перенаправление с сайта.

Вы можете решить указанную выше проблему, выполнив следующие шаги:

1. Перейдите в раздел «Администрирование» >> «Панель управления», затем нажмите на опцию «Создатель .htaccess».
2. Затем отключите параметр «Защита от распространенных атак с внедрением файлов».
Затем очистите кэш вашего сайта и проверьте работу системы единого входа (SSO).

Как проверить или загрузить запросы/ответы SAML с помощью логов трассировки SAML?

Журналы трассировки SAML:

1. Загрузите дополнение SAML tracer: Firefox: [ Ссылка ] | Хром:[ Ссылка 2. Откройте трассировщик SAML с панели инструментов браузера.
3. Держите окно трассировки SAML открытым.
4. Выполните настройку SSO/тестирование и воспроизведите проблему.
5. Перейдите в окно трассировки SAML.
6. Вам будет предложена опция «Экспорт логов трассировки SAML в файл» (в верхней панели меню). Сохраните логи в файл, выберите «Нет» при появлении соответствующего запроса и отправьте нам этот файл.

При входе в систему я вижу ошибку «Не удалось выполнить вход, пожалуйста, свяжитесь с администратором».

Похоже, ваш поставщик идентификации отправляет ошибку в ответе SAML. Для устранения этой проблемы перейдите на вкладку «Настройка поставщика услуг» плагина SAML SP. Нажмите «Проверить конфигурацию» и просмотрите окно результатов настройки. Убедитесь, что сопоставление атрибутов выполнено правильно, и проверьте точность значения сертификата X.509.

Содержание: