Руководство по настройке единого входа SAML в ASP.NET Framework с использованием ADFS в качестве поставщика идентификации.

Обзор

Модуль единого входа (SSO) ASP.NET SAML дает возможность включить Единый вход SAML для ваших ASP.NET-приложений. Используя Единая точка входа Для доступа к вашему сайту можно использовать только один пароль. Приложение ASP.NET и услуг. Наш модуль совместим со всеми Поставщики идентификационных данных, соответствующие стандарту SAMLЗдесь мы рассмотрим пошаговое руководство по настройке. Единый вход (SSO) между ASP.NET и ADFS принимая во внимание ADFS в качестве IdP.

Скачать

Тарифный план

Поддержка платформы: Модуль ASP.NET SAML SSO поддерживает платформы ASP.NET 3.5 и выше.

Предварительные условия: загрузка и установка

Чтобы установить пакет NuGet miniOrange SAML SSO Для интеграции в ваше .NET-приложение просто установите пакет miniOrange NuGet поверх вашего приложения.

Пакет NuGet

.NET интерфейс командной строки

PM> NuGet\Install-Package miniOrange.SAML.SSO

После установки откройте браузер и перейдите в панель управления модуля по указанному ниже URL-адресу:


                    
                    
                     http(s)<your-dotnet-application-base-url>?ssoaction=config

Если появляется страница регистрации или страница входа в систему, значит, вы успешно добавили модуль miniOrange SAML SSO в свое приложение.

Зарегистрируйтесь или войдите в свою учетную запись, нажав на кнопку. Зарегистрироваться на вебинар на украинском можно кнопка для настройки модуля.

После успешной регистрации вы получите пробный лицензионный ключ на указанный вами адрес электронной почты.

Для активации модуля вы можете сделать одно из следующих действий:

Введите лицензионный ключ получено по электронной почте в указанное поле ввода.

Загрузите скачанный файл лицензии, нажав на кнопку. Кликните сюда .

Проверка пробной лицензии ASP.NET Framework

Затем поставьте галочку в поле «Я ознакомился с вышеизложенными условиями и хочу активировать модуль» и нажмите кнопку. Активировать лицензию .

Шаги настройки

1. Предоставьте метаданные приложения .NET поставщику идентификации ADFS.

Ниже описаны два способа получения метаданных SAML SP для настройки на стороне вашего поставщика идентификации.

A] Использование URL-адреса метаданных SAML или файла метаданных

В Меню настроек плагина, искать Настройки поставщика услугНиже вы найдете URL-адрес метаданных, а также возможность загрузки метаданных SAML.

Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.

Вы можете ознакомиться с приведенным ниже скриншотом:

ASP.NET Core - Метаданные поставщика услуг

B] Загрузка метаданных вручную

Из издания Настройки поставщика услуг В этом разделе вы можете вручную скопировать метаданные поставщика услуг, например: Идентификатор сущности SP, URL-адрес ACS, URL-адрес единого выхода. и поделитесь им со своим поставщиком идентификационных данных для настройки.

Вы можете ознакомиться с приведенным ниже скриншотом:

ASP.NET Core - ввод данных хранимой процедуры вручную.

Сначала найдите Управление ADFS приложение на вашем сервере ADFS.

В разделе «Управление ADFS» выберите Доверие проверяющей стороны и нажмите на Добавить доверие проверяющей стороны.

Управление ADFS - Доверие проверяющей стороны

Выберите Претензии осведомлены в Мастере доверия проверяющей стороны нажмите на Начать .

Управление ADFS - осведомленность о претензиях

Выберите источник данных

В разделе «Выбор источника данных» выберите источник данных для добавления доверительной стороны, проверяющей данные.

URL метаданных
XML-файл метаданных
Ручная настройка

Перейдите в Метаданные поставщика услуг скопируйте этот фрагмент из модуля ASP.NET SAML. URL метаданных.
Выберите Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети опция и добавьте URL-адрес метаданных (из Step 1a) в поле адреса метаданных Федерации.
Нажмите на Следующая.

Перейдите в Метаданные поставщика услуг в разделе модуля ASP.NET SAML нажмите на Скачать метаданные XML кнопка для загрузки файла метаданных плагина.
Выберите Импорт данных о проверяющей стороне из файла выберите опцию и загрузите файл метаданных, скачанный с сайта. Step 1a
Нажмите на Следующая.

Перейдите в Метаданные поставщика услуг раздел модуля ASP.NET SAML (как подробно описано в Шаг 1B) чтобы получить конечные точки, необходимые для ручной настройки поставщика услуг.
In Мастер добавления доверительной стороны выберите опцию Введите данные о проверяющей стороне вручную. и нажмите на Следующая.

Укажите отображаемое имя

Enter Display Name и нажмите Следующая.

Настройка сертификата (премиум-функция)

Загрузите сертификат по ссылке: Вкладка «Метаданные поставщика услуг».
Загрузите сертификат и нажмите на кнопку. Следующая.

Настройте URL-адрес

Выберите Включить поддержку протокола SAML 2.0 WebSSO и введите URL-адрес СКД из плагина Метаданные поставщика услуг Tab.
Нажмите на Следующая.

Настройка идентификаторов

В Идентификатор доверия зависимой стороны, добавить SP-EntityID / Эмитент из плагина Метаданные поставщика услуг меню.

Выберите политику контроля доступа

Выберите Разрешить всем в качестве политики контроля доступа и нажмите на Следующая.

Готов добавить доверие

In Готов добавить доверие нажмите Следующая , а затем Закрыто.

Изменить политику выдачи претензий

В списке Доверие проверяющей стороныВыберите созданное вами приложение и нажмите на кнопку. Изменить политику выдачи претензий.

На вкладке «Правило преобразования выпуска» нажмите на Добавить правило .

Выберите тип правила

Выберите Отправлять атрибуты LDAP как утверждения и нажмите на Следующая.

Настройка правила обработки утверждений

Добавить Название правила подачи претензии И выберите Хранилище атрибутов Выберите нужный вариант из выпадающего списка.
Под Сопоставление атрибутов LDAP с типами исходящих запросов.Выберите атрибут LDAP как Адрес электронной почты и тип исходящего требования как Имя ID.

После настройки атрибутов нажмите на Завершить.
После настройки ADFS в качестве поставщика идентификационных данных (IDP) вам потребуется следующее: Метаданные федерации для настройки вашего поставщика услуг.
Для получения метаданных федерации ADFS можно использовать этот URL-адрес.
https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
Вы успешно настроили ADFS в качестве поставщика идентификации SAML (IdP) для обеспечения единого входа (SSO) в систему ADFS.

Единый вход Windows (необязательно)

Выполните следующие шаги для настройки единого входа Windows (SSO).

Шаги по настройке ADFS для аутентификации Windows.
- Откройте командную строку с правами администратора на сервере ADFS и выполните следующую команду:
  setspn -a HTTP/##ADFS Server FQDN## ##Domain Service Account##
- FQDN — это полное доменное имя (например: adfs4.example.com).
- Учетная запись службы домена — это имя пользователя учетной записи в Active Directory.
- Пример: setspn -a HTTP/adfs.example.com username/domain.

Откройте консоль управления AD FS, затем нажмите на Услуги и перейдите в Методы аутентификации раздел. Справа нажмите на Редактировать основные методы аутентификацииПроверьте аутентификацию Windows в зоне интрасети.

Откройте Internet Explorer. Перейдите на вкладку «Безопасность» в параметрах интернета.
Добавьте полное доменное имя (FQDN) AD FS в список сайтов в локальной интрасети и перезапустите браузер.
Выберите «Настраиваемый уровень» для зоны безопасности. В списке параметров выберите Автоматический вход только в зоне интрасети.

Настройки безопасности - Локальная интранет-зона

Откройте PowerShell и выполните следующие две команды, чтобы включить аутентификацию Windows в браузере Chrome.


                    
                    
                     Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty  WIASupportedUserAgents) + "Chrome")


                    
                    
                     Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

Вы успешно настроили ADFS для аутентификации Windows.

2. Настройка метаданных поставщика идентификации ADFS в приложении .NET

Нажмите на Выберите своего IDP кнопка для настройки нового поставщика идентификации.

ASP.NET Core SAML SSO с использованием ADFS в качестве поставщика идентификации — добавление нового поставщика идентификации.

Под Плагин Настройки вкладка, выберите ADFS в качестве поставщика идентификационных данных из представленного списка.

Ниже описаны два способа настройки метаданных поставщика идентификации SAML в модуле.

A] Загрузите метаданные, используя кнопку «Загрузить метаданные IDP»:

Если ваш поставщик идентификационных данных предоставил вам URL-адрес метаданных или файл метаданных (только в формате .xml), то вы можете просто настроить метаданные поставщика идентификационных данных в модуле, используя... Загрузка метаданных IDP опцию.

Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.

Вы можете ознакомиться с приведенным ниже скриншотом:

ASP.NET Framework — Загрузка метаданных IDP

Вы можете выбрать любой из вариантов в зависимости от доступного вам формата метаданных.

B] Настройте метаданные поставщика идентификации вручную:

После настройки вашего Поставщик удостоверений, это предоставит вам Идентификатор сущности IDP, URL-адрес единого входа IDP и Сертификат SAML X509 поля соответственно.

Нажмите Сохранено чтобы сохранить данные вашего IDP.

ASP.NET Framework — настройка IDP вручную

3. Тестирование SAML SSO

После загрузки метаданных перейдите по ссылке. Настройки поставщика идентификации раздел. Наведите курсор на Выберите действия раскрывающийся список и нажмите на Тестовая конфигурация.

ASP.NET Core — конфигурация тестирования

На скриншоте ниже показан успешный результат. Нажмите на SSO интеграция для дальнейшего продолжения интеграции SSO.

Если на стороне модуля возникнет ошибка, вы увидите окно, похожее на приведенное ниже.

ASP.NET Framework - Ошибка конфигурации теста

Для устранения ошибки выполните следующие действия:

Под Устранение неполадок Вкладка, включите переключатель, чтобы получать журналы плагина.

ASP.NET Framework — устранение неполадок

После включения вы сможете получать журналы плагина, перейдя по адресу... Плагин Настройки вкладку и нажав на Тестовая конфигурация.

Скачать журнальный файл из Устранение неполадок Нажмите вкладку, чтобы посмотреть, что пошло не так.

Вы можете поделиться журнальный файл с нами в aspnetsupport@xecurify.com Наша команда свяжется с вами, чтобы решить вашу проблему.

4. Сопоставление атрибутов

После проверки конфигурации сопоставьте атрибуты вашего приложения с атрибутами поставщика идентификации (IdP).

В левом меню модуля miniOrange ASP.NET SAML SSO нажмите на Сопоставление атрибутов/ролей вкладка, как показано на изображении.

ASP.NET Framework — сопоставление атрибутов

Если вы хотите передать дополнительные атрибуты из вашего поставщика идентификации (IdP), введите имя атрибута и соответствующее значение атрибута в соответствующем поле. Пользовательское сопоставление атрибутов.

Примечание: Все сопоставленные атрибуты будут сохранены в сессии, чтобы вы могли получить к ним доступ в своем приложении.

После сопоставления атрибутов нажмите Сохранить сопоставление атрибутов для внесения изменений.

5. Интеграционный код

Эти шаги позволяют получить информацию о пользователе SSO в вашем приложении в виде сессии.

Вы также можете посмотреть установка тура чтобы понять, как будет работать интеграция SSO в вашем модульном приложении ASP.NET.

Просто скопируйте и вставьте этот фрагмент кода туда, где вам нужно получить доступ к атрибутам пользователя.

Примечание: В пробном модуле данные аутентифицированного пользователя хранятся в переменных сессии. Поддержка установки пользовательских утверждений с использованием аутентификации на основе заголовков, файлов cookie и JWT доступна в нашем премиум-плагине.

Наведите указатель мыши на Выберите действия и нажмите на Скопировать ссылку SSO.

Используйте следующий URL-адрес в качестве ссылки в приложении, из которого вы хотите выполнить единый вход (SSO):


                    
                    
                      https://<asp.net-module-base-url>/?ssoaction=login

Например, вы можете использовать его следующим образом:

                
                      <a href="https://<asp.net-module-base-url>/?ssoaction=login">Log
                    in</a>

7. Настройки выхода из системы

Используйте следующий URL-адрес в качестве ссылки на ваше приложение, из которого вы хотите выполнить SLO:


                    
                    
                      https://<asp.net-module-base-url>/?ssoaction=logout

Например, вы можете использовать его следующим образом:

                
                      <a href="https://<asp.net-module-base-url>/?ssoaction=logout">Log
                    out</a>

Контакт

Пожалуйста, свяжитесь с нами по адресу aspnetsupport@xecurify.comНаша команда поможет вам настроить SAML SSO на платформе ASP.NET Framework. Мы поможем вам выбрать наиболее подходящее решение/план в соответствии с вашими потребностями.

Содержание: