Руководство по настройке SAML SSO в ASP.NET Framework с использованием PingFederate в качестве поставщика идентификации.

Обзор

Модуль единого входа (SSO) ASP.NET SAML дает возможность включить Единый вход SAML для ваших ASP.NET-приложений. Используя Единая точка входа Для доступа к вашему сайту можно использовать только один пароль. Приложение ASP.NET и услуг. Наш модуль совместим со всеми Поставщики идентификационных данных, соответствующие стандарту SAMLЗдесь мы рассмотрим пошаговое руководство по настройке. Единый вход (SSO) между ASP.NET и ПингФедерация принимая во внимание ПингФедерация в качестве IdP.

Скачать Тарифный план

Предварительные условия: загрузка и установка

• Чтобы установить пакет NuGet miniOrange SAML SSO Для интеграции в ваше .NET-приложение просто установите пакет miniOrange NuGet поверх вашего приложения.

Пакет NuGet

.NET интерфейс командной строки

PM> NuGet\Install-Package miniOrange.SAML.SSO

> dotnet add package miniOrange.SAML.SSO

• После установки откройте браузер и перейдите в панель управления модуля по указанному ниже URL-адресу:

 http(s)<your-dotnet-application-base-url>?ssoaction=config


• Если появляется страница регистрации или страница входа в систему, значит, вы успешно добавили модуль miniOrange SAML SSO в свое приложение.

• Зарегистрируйтесь или войдите в свою учетную запись, нажав на кнопку. Зарегистрировать филиал кнопка для настройки модуля.

• После успешной регистрации вы получите пробный лицензионный ключ на указанный вами адрес электронной почты.

• Для активации модуля вы можете сделать одно из следующих действий:
• Введите лицензионный ключ получено по электронной почте в указанное поле ввода.

OR

• Загрузите скачанный файл лицензии, нажав на кнопку. Кликните сюда .

• Затем поставьте галочку в поле «Я ознакомился с вышеизложенными условиями и хочу активировать модуль» и нажмите кнопку. Активировать лицензию .

Шаги настройки

1. Предоставьте метаданные .NET-приложения поставщику идентификации PingFederate.

Ниже описаны два способа получения метаданных SAML SP для настройки на стороне вашего поставщика идентификации.

A] Использование URL-адреса метаданных SAML или файла метаданных

• В Меню настроек плагина, искать Настройки поставщика услугНиже вы найдете URL-адрес метаданных, а также возможность загрузки метаданных SAML.

• Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.

• Вы можете ознакомиться с приведенным ниже скриншотом:

B] Загрузка метаданных вручную

• Из издания Настройки поставщика услуг В этом разделе вы можете вручную скопировать метаданные поставщика услуг, например: Идентификатор сущности SP, URL-адрес ACS, URL-адрес единого выхода. и поделитесь им со своим поставщиком идентификационных данных для настройки.

• Вы можете ознакомиться с приведенным ниже скриншотом:

• Войдите в панель администратора пользователя Ping Federate.
• Нажмите на Поставщик удостоверений в левом навигационном меню.
• Под SP-СОЕДИНЕНИЕ, нажмите на Создать новый .

• Выберите Профили единого входа браузера шаблон подключения на Тип соединения вкладку и нажмите Следующая.

• Выберите Единый вход в браузере на Параметры подключения Нажмите клавишу Tab и затем «Далее».

• Выберите Файл В качестве способа импорта метаданных нажмите «Выбрать файл» и загрузите файл метаданных плагина miniOrange SSO (скачанный в Step 1a) под Вкладка «Импорт метаданных». Нажмите Следующая для продолжения.

• Ознакомьтесь с информацией на Сводка метаданных вкладку и нажмите Следующая.
• В Общее вкладка гарантирует, что Идентификатор организации поставщика услуг, Название соединения и Базовый URL Поля заполняются автоматически на основе метаданных. Нажмите Следующая.

• Перейдите в Единый вход в браузере и нажмите Настройка единого входа в браузереВы будете перенаправлены на мастер настройки единого входа в браузере.
  • Выберите Единый вход, инициированный поставщиком удостоверений и SSO, инициированный SP варианты на Профили SAML вкладку и нажмите Следующая.
  
  
  
  • Введите желаемый срок действия утверждения в соответствующем поле. Срок действия утверждения Нажмите клавишу Tab и выберите «Далее». По умолчанию для обоих параметров установлено 5 минут.
  • Перейдите в раздел «Создание утверждений» и нажмите «Настроить создание утверждений». Вы будете перенаправлены на мастер настройки создания утверждений.
    • На вкладке «Сопоставление идентификаторов» выберите STANDARD и нажмите «Далее».
    • Выберите формат имени субъекта для поля SAML_SUBJECT. Атрибутный контракт Нажмите клавишу Tab и затем «Далее».
    • Нажмите Сопоставить новый экземпляр адаптера на Сопоставление источников аутентификации.
    
    
    
    • Выберите Экземпляр адаптера и нажмите СледующаяАдаптер должен содержать адрес электронной почты пользователя.
    
    
    
    • Выберите Используйте только значения контракта адаптера в утверждении SAML. вариант на Метод картирования вкладку и нажмите Следующая.
    • Выберите экземпляр вашего адаптера в качестве... Источник и электронная почта как Значение на Выполнение контракта атрибутов вкладку и нажмите Следующая.
    
    
    
    • (Необязательно) Выберите любые условия авторизации, которые вы хотели бы установить. Критерии выдачи вкладку и нажмите Следующая.
    • Нажмите Готово на Резюме.
    • Нажмите Следующая на Сопоставление источников аутентификации меню.
    • Нажмите Готово на вкладке «Сводка».
    • Нажмите Следующая на Создание утверждения.

• Перейдите на вкладку «Настройки протокола» мастера настройки единого входа в браузере и нажмите «Настроить параметры протокола».
  • Выберите POST для Переплет и указать единый вход в систему. URL конечной точки в поле «URL-адрес конечной точки» URL-адрес службы поддержки потребителей утверждений Нажмите Следующая.
  
  
  
  • Выберите POST на Допустимые привязки SAML вкладку и нажмите Следующая.
  • Выберите желаемые политики подписи для утверждений в Политика подписи вкладку и нажмите Следующая.
  
  
  
  • Выберите желаемую политику шифрования для утверждений на Политика шифрования вкладку и нажмите Следующая.
  • Нажмите Готово на Сводка настроек протокола меню.

• Перейдите в Полномочия и нажмите на Настройка учетных данных. Вы будете перенаправлены на Полномочия Мастер установки.
  • Выберите сертификат подписи, который будет использоваться со службой единого входа (SSO), и выберите «Включить сертификат в элемент подписи». Настройки цифровой подписи Вкладка. Нажмите «Готово».
  
  
  
  • Нажмите Готово на Резюме.
  • Нажмите Следующая на Полномочия.

• Выберите Активных для Состояние подключения на Активация и резюме вкладку и нажмите Сохранено.
• Теперь перейдите в панель управления администратора пользователей Ping Federate → Поставщик идентификации.
• Нажмите Управлять всем недооценивают ее SP-соединения.
• Нажмите Экспорт метаданных для подключения желаемого поставщика услуг.
• Нажмите Экспортировать на Экспорт и резюме Нажмите клавишу Tab и выберите «Готово».

2. Настройка метаданных поставщика идентификации PingFederate в приложении .NET

• Нажмите на Выберите своего IDP кнопка для настройки нового поставщика идентификации.

• Под Плагин Настройки вкладка, выберите ПингФедерация в качестве поставщика идентификационных данных из представленного списка.

Ниже описаны два способа настройки метаданных поставщика идентификации SAML в модуле.

A] Загрузите метаданные, используя кнопку «Загрузить метаданные IDP»:

• Если ваш поставщик идентификационных данных предоставил вам URL-адрес метаданных или файл метаданных (только в формате .xml), то вы можете просто настроить метаданные поставщика идентификационных данных в модуле, используя... Загрузка метаданных IDP опцию.

• Скопируйте URL-адрес метаданных или загрузите файл метаданных, чтобы настроить его на стороне вашего поставщика идентификации.

• Вы можете ознакомиться с приведенным ниже скриншотом:

• Вы можете выбрать любой из вариантов в зависимости от доступного вам формата метаданных.

B] Настройте метаданные поставщика идентификации вручную:

• После настройки вашего Поставщик удостоверений, это предоставит вам Идентификатор сущности IDP, URL-адрес единого входа IDP и Сертификат SAML X509 поля соответственно.

• Нажмите Сохранено чтобы сохранить данные вашего IDP.

3. Тестирование SAML SSO

• После загрузки метаданных перейдите по ссылке. Настройки поставщика идентификации раздел. Наведите курсор на Выберите действия раскрывающийся список и нажмите на Тестовая конфигурация.

• На скриншоте ниже показан успешный результат. Нажмите на SSO интеграция для дальнейшего продолжения интеграции SSO.

• Если на стороне модуля возникнет ошибка, вы увидите окно, похожее на приведенное ниже.

• Для устранения ошибки выполните следующие действия:

• Под Устранение неполадок Вкладка, включите переключатель, чтобы получать журналы плагина.

• После включения вы сможете получать журналы плагина, перейдя по адресу... Плагин Настройки вкладку и нажав на Тестовая конфигурация.

• Скачать журнальный файл из Устранение неполадок Нажмите вкладку, чтобы посмотреть, что пошло не так.

• Вы можете поделиться журнальный файл с нами в aspnetsupport@xecurify.com Наша команда свяжется с вами, чтобы решить вашу проблему.

4. Сопоставление атрибутов

• После проверки конфигурации сопоставьте атрибуты вашего приложения с атрибутами поставщика идентификации (IdP).

• В левом меню модуля miniOrange ASP.NET SAML SSO нажмите на Сопоставление атрибутов/ролей вкладка, как показано на изображении.

• Если вы хотите передать дополнительные атрибуты из вашего поставщика идентификации (IdP), введите имя атрибута и соответствующее значение атрибута в соответствующем поле. Пользовательское сопоставление атрибутов.

• Примечание: Все сопоставленные атрибуты будут сохранены в сессии, чтобы вы могли получить к ним доступ в своем приложении.

• После сопоставления атрибутов нажмите Сохранить сопоставление атрибутов для внесения изменений.

5. Интеграционный код

• Эти шаги позволяют получить информацию о пользователе SSO в вашем приложении в виде сессии.

• Вы также можете посмотреть установка тура чтобы понять, как будет работать интеграция SSO в вашем модульном приложении ASP.NET.

• Просто скопируйте и вставьте этот фрагмент кода туда, где вам нужно получить доступ к атрибутам пользователя.

• Примечание: В пробном модуле данные аутентифицированного пользователя хранятся в переменных сессии. Поддержка установки пользовательских утверждений с использованием аутентификации на основе заголовков, файлов cookie и JWT доступна в нашем премиум-плагине.

6. Настройки входа в систему

• Наведите указатель мыши на Выберите действия и нажмите на Скопировать ссылку SSO.

• Используйте следующий URL-адрес в качестве ссылки в приложении, из которого вы хотите выполнить единый вход (SSO):

  https://<asp.net-module-base-url>/?ssoaction=login


• Например, вы можете использовать его следующим образом:

  <a href="https://<asp.net-module-base-url>/?ssoaction=login">Log in</a>


7. Настройки выхода из системы

• Используйте следующий URL-адрес в качестве ссылки на ваше приложение, из которого вы хотите выполнить SLO:

  https://<asp.net-module-base-url>/?ssoaction=logout


• Например, вы можете использовать его следующим образом:

  <a href="https://<asp.net-module-base-url>/?ssoaction=logout">Log out</a>


Статьи по теме

• ASP.NET SAML SSO
• ASP.NET OAuth SSO
• Двухфакторная аутентификация ASP.NET (2FA)

Контакт

Пожалуйста, свяжитесь с нами по адресу aspnetsupport@xecurify.comНаша команда поможет вам настроить SAML SSO на платформе ASP.NET Framework. Мы поможем вам выбрать наиболее подходящее решение/план в соответствии с вашими потребностями.