Единый вход (SSO) SAML для nopCommerce с использованием AzureB2C в качестве поставщика идентификации (IDP).

Обзор

Плагин единого входа (SSO) SAML для nopCommerce дает возможность включить Единый вход SAML для вашего магазина nopCommerce. Используя Единая точка входа Для доступа к вашему магазину и сервисам nopCommerce можно использовать только один пароль. Наш плагин совместим со всеми платформами. Поставщики идентификационных данных, соответствующие стандарту SAMLЗдесь мы шаг за шагом рассмотрим настройку единого входа (SSO) между пользователями. nopCommerce и AzureB2C принимая во внимание AzureB2C в качестве IdP.

Предварительные условия: загрузка и установка

• Загрузите модуль единого входа (SSO) SAML для nopCommerce.
• Для установки плагина войдите в свой магазин nopCommerce как администратор. В панели администратора перейдите по следующему пути: Вкладка «Конфигурация» >> Локальные плагины.

• Нажмите на Загрузите плагин или тему. Нажмите кнопку в правом верхнем углу, затем во всплывающем окне нажмите «Выбрать файл», выберите загруженный ZIP-файл плагина и нажмите Загрузите плагин или тему. продолжать.

• После загрузки плагина нажмите на Перезапустите приложение, чтобы применить изменения.После перезапуска приложения вы увидите плагин в списке ниже. Нажмите на него. Установите нажмите кнопку для установки, а затем нажмите Перезапустить приложение еще раз, чтобы применить изменения.

Шаги настройки

Пошаговое руководство по настройке SAML SSO в nopCommerce с использованием AzureB2C в качестве поставщика идентификации.

• После успешной установки найдите плагин в списке и нажмите на него. Настроить Нажмите кнопку, чтобы продолжить настройку.

1. Активируйте плагин SAML, используя лицензионный ключ.

• При нажатии НастроитьПосле этого вы будете перенаправлены на страницу активации лицензии, и на указанный вами адрес электронной почты будет отправлен пробный лицензионный ключ.
• Если вы не получили лицензионный ключ на указанный вами адрес электронной почты, воспользуйтесь следующим: Скачать лицензионный ключ кнопка в плагине для загрузки файла лицензии.

• Для активации плагина вы можете сделать одно из следующих действий:
  • Введите лицензионный ключ получено по электронной почте в указанное поле ввода.

  OR

  • Загрузите скачанный вами файл лицензии, используя кнопку, указанную выше.

• Затем поставьте галочку в соответствующем поле. «Я ознакомился с вышеизложенными условиями и хочу активировать промежуточное программное обеспечение».и нажмите Активировать лицензию .

2. Предоставьте метаданные магазина nopCommerce поставщику идентификации AzureB2C.

• После успешной активации лицензии откроется панель управления плагина, как показано ниже.
• В панели управления плагина нажмите на Метаданные поставщика услуг Кнопка в верхнем меню. Она откроет страницу метаданных поставщика услуг.

Вы можете получить метаданные SAML SP, используя один из двух описанных ниже методов, чтобы настроить их на стороне вашего поставщика идентификации.

A] Использование URL-адреса метаданных SAML или файла метаданных

• На этой странице вы найдете URL-адрес метаданных, а также возможность загрузить XML-файл метаданных SAML.
• Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.
• Вы можете ознакомиться с приведенным ниже скриншотом:

B] Загрузка метаданных вручную

• На этой странице вы можете вручную скопировать метаданные поставщика услуг, такие как: Идентификатор сущности SP, URL-адрес ACS, базовый URL-адрес и поделитесь им со своим поставщиком идентификационных данных для настройки.
• Вы можете ознакомиться с приведенным ниже скриншотом:

Зарегистрируйте заявку на использование системы управления идентификацией (Identity Experience Framework).

• Войти в Портал Azure B2C.
• В клиенте Azure AD B2C выберите Регистрация приложений, А затем выберите Новая регистрация.

• Для пакетов Имя, введите IdentityExperienceFramework.
• Под Поддерживаемые типы учетных записей, наведите на Учетные записи только в этом организационном каталоге.

• Под URI перенаправленияВыберите «Веб», а затем введите «https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com», где your-tenant-name — это доменное имя вашего клиента Azure AD B2C.

• Под Разрешения..., выберите Предоставьте администратору согласие на использование разрешений openid и offline_access. установите флажок.
• Нажмите на Зарегистрировать филиал.

• Запишите ID приложения (клиента) для использования на более позднем этапе.

Зарегистрируйте заявку на использование системы управления идентификацией (Identity Experience Framework).

• Под Управление, наведите на Предоставьте API.
• Выберите Добавить область действияЗатем выберите «Сохранить и продолжить» и примите URI идентификатора приложения по умолчанию.

• Введите следующие значения, чтобы создать область действия, разрешающую выполнение пользовательских политик в вашем клиенте Azure AD B2C:
• Название области: пользовательская_имперсонализация
• Отображаемое имя согласия администратора: Доступ к IdentityExperienceFramework
• Описание согласия администратораРазрешить приложению доступ к IdentityExperienceFramework от имени вошедшего в систему пользователя.

• Выберите Добавить область действия.

Зарегистрируйте приложение ProxyIdentityExperienceFramework

• Выберите Регистрация приложений, А затем выберите Новая регистрация.
• Для пакетов Имя, введите ProxyIdentityExperienceFramework.
• Под Поддерживаемые типы учетных записей, наведите на Учетные записи только в этом организационном каталоге.

• Под URI перенаправления, используйте раскрывающийся список для выбора Публичный клиент/нативный (мобильные и настольные устройства).
• Для пакетов URI перенаправления, введите myapp://auth.
• Под Разрешения...Установите флажок «Предоставить администратору согласие на использование разрешений openid и offline_access».
• Выберите Зарегистрировать филиал.

• Запишите ID приложения (клиента) для использования на более позднем этапе.

Далее укажите, что приложение следует рассматривать как публичный клиент.

• Под Управление, наведите на Аутентификация.
• Под Дополнительные параметры, включить Разрешить общедоступные клиентские потоки (Выберите «Да»).
• Выберите Сохранено.

Теперь предоставьте разрешения для области действия API, которую вы ранее предоставили при регистрации IdentityExperienceFramework.

• Под Управление, наведите на Разрешения API.
• Под Настроенные разрешения, наведите на Добавить разрешение.

• Выберите Мои API вкладку, затем выберите IdentityExperienceFramework Приложение.

• Под Разрешение, выберите пользователь_имперсонация область действия, которую вы определили ранее.
• Выберите Добавить разрешенияКак указано в инструкции, подождите несколько минут, прежде чем переходить к следующему шагу.

• Выберите Предоставьте согласие администратора для (имя вашего арендатора).

• Выберите свою текущую учетную запись администратора или войдите в систему с помощью учетной записи в вашем клиенте Azure AD B2C, которой назначена как минимум роль администратора облачных приложений.
• Выберите Да.
• Выберите обновление, а затем убедитесь, что в разделе отображается «Предоставлено для ...». Статус Что касается областей действия - offline_access, openid и user_impersonation. Для распространения разрешений может потребоваться несколько минут.

Зарегистрируйте приложение nopCommerce

• Выберите «Регистрация приложений», а затем «Новая регистрация».
• Введите название для приложения, например: WP-app.
• Под Поддерживаемые типы учетных записей, наведите на Учетные записи в любом организационном каталоге или любом поставщике удостоверений. Для аутентификации пользователей с помощью Azure AD B2C..

• Под URI перенаправленияВыберите «Веб», а затем введите URL-адрес ACS из... Настройки поставщика услуг вкладка плагина nopCommerce, как указано в Шаг 2B выше.
• Выберите Зарегистрировать филиал.

• Под Управление, нажмите на Предоставьте API.
• Нажмите на Поставьте для URI идентификатора приложения, а затем нажмите СохраненоПринимая значение по умолчанию.

• После сохранения скопируйте URI идентификатора приложения и перейдите к Метаданные поставщика услуг вкладка плагина.
• Вставьте скопированное значение под Идентификатор субъекта-участника / эмитент поле, доступное на этой вкладке.
• Нажмите на Сохранить.

Создание политик единого входа (SSO)

• На портале Azure B2C перейдите в раздел «Обзор» вашего клиента B2C и укажите имя вашего клиента.
  ЗАМЕТКАЕсли ваш домен B2C — b2ctest.onmicrosoft.com, то имя вашего клиента — b2ctest.

• Введите Имя арендатора Azure B2C Ниже указаны идентификаторы приложений IdentityExperienceFramework и ProxyIdentityExperienceFramework, зарегистрированные на предыдущих этапах.

Имя арендатора Azure B2C:
Идентификатор приложения IdentityExperienceFramework:
Идентификатор приложения ProxyIdentityExperienceFramework:
Выберите дополнительные атрибуты	Тип пользователя Должность Кафедра Место использования Адрес / улица Государство или провинция Страна или Регион Город Почтовый индекс Офисный телефон Мобильный телефон физическаяДоставкаОфисаИмя Возрастная группа Согласие несовершеннолетнего предоставлено. Классификация по возрастным группам в соответствии с законодательством созданоДатаВремя netId Выберите атрибуты

• Нажмите на Создание политик Azure B2C кнопку для загрузки политик единого входа.
• Распакуйте загруженный zip-архив. Он содержит файлы политик и сертификат (.pfx), которые вам понадобятся на следующих шагах.

Настройка и загрузка сертификатов

• Войдите в Лазурный портал и перейдите к своему клиенту Azure AD B2C.

• Под Политика, наведите на Структура опыта идентичности , а затем Ключи политики.

• Выберите Добавить, А затем выберите Параметры > Загрузить.
• Введите имя как SamlIdpCert. Префикс B2C_1A_ будет автоматически добавлен к имени вашего ключа.

• С помощью элемента управления загрузкой файла загрузите сертификат, сгенерированный на предыдущих шагах, вместе с политиками SSO (tenantname-cert.pfx).
• Введите пароль сертификата в качестве имени вашего клиента и нажмите «Создать». Например, если имя вашего клиента — xyzb2c.onmicrosoft.com, введите пароль как xyzb2c.
• Вы должны увидеть новый ключ политики с именем B2C_1A_SamlIdpCert.

Создайте ключ подписи.

• На странице обзора вашего клиента Azure AD B2C в разделе Политика, наведите на Структура опыта идентичности.
• Выберите Ключи политики и затем выберите Добавить.
• Для пакетов меблировки, выберите «Сгенерировать».
• In Имя, введите TokenSigningKeyContainer.
• Для пакетов Тип ключа, выберите RSA.
• Для пакетов Использование ключаВыберите «Подпись».

• Выберите Создавай.

Создайте ключ шифрования

• На странице обзора вашего клиента Azure AD B2C в разделе Политика, наведите на Структура опыта идентичности.
• Выберите Ключи политики и затем выберите Добавить.
• Для пакетов меблировки, выберите «Сгенерировать».
• In Имя, введите TokenEncryptionKeyContainer.
• Для пакетов Тип ключа, выберите RSA.
• Для пакетов Использование ключаВыберите «Шифрование».

• Выберите Создавай.

Загрузите правила

• Выберите Структура опыта идентичности пункт меню в вашем клиенте B2C на портале Azure.

• Выберите Загрузить пользовательскую политику.

• Загрузите файлы политики, загруженные на предыдущих этапах, в следующем порядке:
• TrustFrameworkBase.xml
• TrustFrameworkExtensions.xml
• SignUpOrSignin.xml
• ProfileEdit.xml
• PasswordReset.xml
• SignUpOrSigninSAML.xml

• По мере загрузки файлов Azure добавляет к каждому из них префикс B2C_1A_.

Вы успешно настроили Azure B2C в качестве поставщика идентификации SAML (IdP) для обеспечения единого входа в ваше приложение nopCommerce через Azure B2C.

3. Настройка метаданных поставщика идентификации AzureB2C в магазине nopCommerce.

• Нажмите на Добавить нового IDP кнопка для настройки нового поставщика идентификации.

• На вкладке «Настройки плагина» выберите AzureB2C в качестве поставщика идентификационных данных из представленного списка.

• После выбора вашего поставщика идентификации (IdP) из списка откроется страница «Конфигурация поставщика идентификации». На этой странице нажмите на кнопку... Загрузить метаданные IdP .

Ниже описаны два способа настройки метаданных поставщика идентификации SAML в плагине.

A] Загрузите метаданные, используя кнопку «Загрузить метаданные IDP»:

• Введите имя поставщика идентификации (IdP), затем укажите либо URL метаданных в разделе «Получить метаданные» и нажмите Получить метаданные для автоматического получения конфигурации или загрузки XML-файл метаданных используя Загрузить метаданные опция для настройки поставщика идентификации (IdP).
• Вы можете ознакомиться с приведенным ниже скриншотом:

B] Настройте метаданные поставщика идентификации вручную:

• В качестве альтернативы, на вкладке «Настройки поставщика идентификации» вы можете вручную заполнить обязательные поля, такие как: Имя поставщика идентификации (IDP), идентификатор сущности IDP и URL-адрес единого входа. и нажмите Сохранить настройки.

4. Тестирование SAML SSO

• После загрузки метаданных вернитесь на панель управления. Нажмите на три точки (⋮) рядом с настроенным поставщиком идентификации и выберите Тестовая конфигурация.

• После успешной настройки в окне конфигурации теста отобразятся имена атрибутов и их значения.

• Если у вас возникла ошибка, вы можете устранить ее, выполнив следующие шаги:
• Нажмите на Устранение неполадок SSO нажмите кнопку и включите необходимые уровни логирования.
• Загрузите файл журнала, используя Скачать журналы кнопка для определения причины ошибки.
• Вы можете поделиться с нами файлом журнала по адресу: nopcommercesupport@xecurify.com Наша команда свяжется с вами, чтобы решить вашу проблему.

5. Добавление ссылки SSO для вашего магазина nopCommerce

• Нажмите на три точки (⋮) рядом с настроенным поставщиком идентификации и выберите Ссылка единого входа.
• A "Скопировать в буфер обмена" Появится всплывающее окно. Нажмите. OK чтобы скопировать ссылку SSO в буфер обмена.

Статьи по теме

• nopCommerce Oauth SSO
• Двухфакторная аутентификация nopCommerce
• nopCommerce SAML SSO с Azure AD в качестве поставщика идентификации