ASP.NET Core SAML Single Sign-On (SSO)
middleware ger möjlighet att aktivera SAML Single Sign-On för dina ASP.NET-kärnapplikationer. Genom att använda enkel inloggning kan du bara använda ett lösenord för att komma åt din ASP.NET kärnapplikation och tjänster. Vår mellanprogramvara är kompatibel med alla SAML-kompatibla identitetsleverantörer. Här kommer vi att gå igenom en steg-för-steg-guide för att konfigurera Single Sign-On (SSO) mellan ASP.NET Core och ADFS med tanke på ADFS som IdP. För att veta mer om funktionerna vi tillhandahåller för ASP.NET Core SSO, klicka
här..
Plattformssupport: ASP.NET Core SAML-mellanvaran stöder ASP.NET Core 2.0 och senare. Den stöder alla ASP.NET Core-plattformar, inklusive Windows, Linux och macOS.
Förutsättningar: Ladda ner och installation
using miniorange.saml
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();
services.AddControllersWithViews();
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
app.UseHttpsRedirection();
app.UseRouting();
app.UseAuthorization();
app.MapRazorPages();
app.UseCookiePolicy();
app.UseAuthentication();
app.UseStaticFiles();
app.UseminiOrangeSAMLSSOMiddleware();
app.Run();
}
}
using Microsoft.AspNetCore.Authentication.Cookies;
using miniOrange.saml;
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddRazorPages();
builder.Services.AddControllersWithViews();
builder.Services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = "SSO_OR_Admin";
options.DefaultScheme = "SSO_OR_Admin";
options.DefaultChallengeScheme = "SSO_OR_Admin";
})
.AddCookie("moAdmin", options =>
{
})
.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
{
})
.AddPolicyScheme("SSO_OR_Admin", "SSO_OR_Admin", options =>
{
options.ForwardDefaultSelector = context =>
{
foreach (var cookie in context.Request.Cookies)
{
if (cookie.Key.Contains(".AspNetCore.Cookies"))
{
return CookieAuthenticationDefaults.AuthenticationScheme;
}
}
return "moAdmin";
};
});
var app = builder.Build();
if (!app.Environment.IsDevelopment())
{
app.UseExceptionHandler("/Error");
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseRouting();
app.UseAuthorization();
app.MapRazorPages();
app.UseCookiePolicy();
app.UseAuthentication();
app.UseStaticFiles();
app.UseminiOrangeSAMLSSOMiddleware();
app.Run();
Steg för att konfigurera ASP.NET Core Single Sign-On (SSO) med ADFS som IDP
1. Lägg till middleware i ASP.NET Core-applikationen
-
Efter integrationen öppnar du din webbläsare och bläddrar i instrumentpanelen för mellanprogram med webbadressen nedan:
https://<asp-net-middleware-base-url>/?ssoaction=config
-
Om registreringssidan eller inloggningssidan dyker upp har du framgångsrikt lagt till miniOrange ASP.NET SAML SSO-mellanvaran till din applikation.
-
Registrera dig eller logga in med ditt konto genom att klicka på Registrera för att konfigurera mellanvaran.
2. Konfigurera ADFS som identitetsleverantör
-
Enligt plugin Settings fliken, välj ADFS som din identitetsleverantör från listan som visas.
Det finns två sätt som beskrivs nedan med vilka du kan få SAML SP-metadata att konfigurera på din identitetsleverantör.
A] Använda SAML-metadata-URL eller metadatafil:
-
I Menyn för plugininställningar, leta efter
Inställningar för tjänsteleverantör. Under det kan du hitta metadata-URLen samt möjligheten att ladda ner SAML-metadata.
-
Kopiera metadata-URL eller ladda ned metadatafilen för att konfigurera densamma på din identitetsleverantör.
- Du kan hänvisa till skärmdumpen nedan:
B] Ladda upp metadata manuellt:
-
Från Inställningar för tjänsteleverantör avsnitt, kan du manuellt kopiera tjänsteleverantörens metadata som
SP Entity ID, ACS URL, Single Logout URL
och dela den med din identitetsleverantör för konfiguration.
- Du kan hänvisa till skärmdumpen nedan:
-
Sök först efter ADFS-hantering applikation på din ADFS-server.
-
I AD FS Management, välj Relying Party Trust och klicka på
Lägg till Relying Party Trust.
-
Välja Påståenden medvetna från Relying Party Trust Wizard och klicka på Start knapp.
-
I Välj datakälla väljer du datakällan för att lägga till en förtroende part.
-
Navigera till Tjänsteleverantörens metadata avsnittet i ASP.NET SAML-mellanvaran för att få slutpunkterna att konfigurera tjänsteleverantören manuellt.
-
In Lägg till Relying Party Trust Wizard Välj alternativ
Ange data om den förtroende parten manuellt och klicka på
Nästa.
Ange visningsnamn
- ange Visningsnamn och klicka Nästa.
Konfigurera certifikat (premiumfunktion)
-
Ladda ner certifikatet från Fliken Metadata för tjänsteleverantör.
- Ladda upp certifikatet och klicka på Nästa.
Konfigurera URL
-
Välja
Aktivera stöd för SAML 2.0 WebSSO-protokollet alternativet och skriv in ACS URLfrån plugin-programmet
Tjänsteleverantörens metadata Flik.
- Klicka på Nästa.
Konfigurera identifierare
-
I Förtroendeidentifierare för förlitande part, Lägg till
SP-EntityID / Emittent från plugin-programmet
Tjänsteleverantörens metadata fliken.
Välj Access Control Policy
-
Välja Tillåt alla som en åtkomstkontrollpolicy och klicka på
Nästa.
Redo att lägga till förtroende
-
In Redo att lägga till förtroende Klicka på Nästa och då
Stänga.
Redigera kravutgivningspolicy
-
I listan över Relying Party Trust, välj programmet du skapade och klicka på Redigera emissionspolicy för anspråk.
- Klicka på fliken Utgivningstransformeringsregel Lägg till regel knapp.
Välj Regeltyp
-
Välja Skicka LDAP-attribut som anspråk och klicka på Nästa.
Konfigurera anspråksregel
-
Lägg till Anspråk på regelnamn och välj Attributbutik som krävs från rullgardinsmenyn.
-
Enligt Mappning av LDAP-attribut till utgående anspråkstyper, Välj LDAP-attribut som Mejladresser och utgående anspråkstyp som
Namn-ID.
- När du har konfigurerat attributen klickar du på Finish.
-
Efter att ha konfigurerat ADFS som IDP behöver du
Federation Metadata för att konfigurera din tjänsteleverantör.
-
För att få ADFS Federation Metadata kan du använda denna URL
https://< ADFS_Server_Name
>/federationmetadata/2007-06/federationmetadata.xml
-
Du har framgångsrikt konfigurerat ADFS som SAML IdP (Identity Provider) för att uppnå ADFS Single Sign-On (SSO)-inloggning
Windows SSO (valfritt)
Följ stegen nedan för att konfigurera Windows SSO
Steg för att konfigurera ADFS för Windows-autentisering
3. Konfigurera ASP.NET SAML Middleware som tjänsteleverantör
Det finns två sätt som beskrivs nedan med vilka du kan konfigurera din SAML-identitetsleverantörs metadata i mellanvaran.
A] Ladda upp metadata med knappen Ladda upp IDP-metadata:
-
Om din identitetsleverantör har försett dig med metadata-URL eller metadatafil (endast .xml-format) kan du helt enkelt konfigurera identitetsleverantörens metadata i mellanvaran med hjälp av
Ladda upp IDP-metadata alternativ.
- Du kan hänvisa till skärmdumpen nedan:
-
Du kan välja vilket som helst av alternativen enligt det metadataformat du har tillgängligt.
B] Konfigurera identitetsleverantörens metadata manuellt:
-
Efter att ha konfigurerat din Identitetsleverantör, kommer det att ge dig IDP Entity ID, IDP Single Sign On URL och
SAML X509-certifikat fält respektive.
- Klicka Save för att spara dina IDP-uppgifter.
4. Testa SAML SSO
-
Klicka på Testkonfiguration för att testa om SAML-konfigurationen du har gjort är korrekt.
-
Skärmdumpen nedan visar ett lyckat resultat. Klicka på
SSO-integration för att fortsätta med SSO-integrationen.
-
Om du upplever något fel i middleware-änden kommer du att visas med fönstret som liknar nedan.
- För att felsöka felet kan du följa stegen nedan:
-
Enligt
felsöka
fliken, aktivera växeln för att ta emot pluginloggarna.
-
När det är aktiverat kommer du att kunna hämta pluginloggar genom att navigera till
plugin Settings fliken och klicka på Testkonfiguration.
-
ladda ner loggfil från felsöka fliken för att se vad som gick fel.
-
Du kan dela loggfil med oss kl
aspnetsupport@xecurify.com
och vårt team kommer att kontakta dig för att lösa ditt problem.
5. Attributmappning
-
Efter att ha testat konfigurationen, mappa dina applikationsattribut med attributen Identity Provider (IdP).
-
Notera: Alla mappade attribut kommer att lagras i sessionen så att du kan komma åt dem i din applikation.
6. Integrationskod
-
Dessa steg låter dig hämta SSO-användarinformationen i din ansökan i form av användaranspråk.
-
Du kan också titta på installationstur för att förstå hur SSO-integreringen skulle fungera i din asp.net-mellanprogramvara.
-
Bara kopiera och klistra in det kodavsnittet där du vill komma åt användarattributen.
-
Notera:Denna provmellanvara stöder endast användarinformation i anspråk, hämtning av användarinformation i session och rubriker är tillgänglig i premiumplugin
- Du kan också kopiera integrationskoden nedan:
string name="";
string claimtype="";
string claimvalue="";
if(User.Identity.IsAuthenticated)
{
foreach( var claim in User.Claims)
{
claimtype = claim.Type;
claimvalue = claim.Value;
}
var identity = (ClaimsIdentity)User.Identity;
IEnumerable claims = identity.Claims;
string mobileNumber = identity.FindFirst("mobileNumber")?.Value;
}
Notera: Alla mappade attribut kommer att lagras i anspråken som ska nås i din applikation.
Om du vill ha hjälp med integrationskoden, kontakta oss på
aspnetsupport@xecurify.com
7. Inloggningsinställningar
- Hök på Välj Åtgärder och klicka på Kopiera SSO-länk.
-
Använd följande URL som en länk i applikationen där du vill utföra SSO:
https://asp-net-middleware-base-url/?ssoaction=login
-
Du kan till exempel använda det som:
<a href=”https://asp-net-middleware-base-url/?ssoaction=login”>Log
in</a>
8. Logga ut Inställningar
-
Använd följande URL som en länk till din applikation där du vill utföra SLO:
https://asp-net-middleware-base-url/?ssoaction=logout
-
Du kan till exempel använda det som:
<a href=”https://asp-net-middleware-base-url/?ssoaction=logout”>Log
out</a>
För att konfigurera din IDP kan du hitta tjänsteleverantörens metadata i filen appsetting.json. För SP-metadata kan du se skärmdumpen nedan:
Från miniOrange sektion, kopiera spendityid, acsurl och tillhandahåll den till din identitetsleverantörs team.
-
När tjänsteleverantörens metadata har konfigurerats på IdP-änden kommer du att få IdP-metadatafilen eller metadata-URL- eller metadata-URL:er som IdP Entity Id, IdP SSO URL etc.
-
För att konfigurera din IDP-metadata, navigera till
appssettings.json fil. Du hittar följande inställningar i minioranges JSON-sektion
-
För att konfigurera din IDP direkt, navigera till
appssettings.json fil.
-
Konfigurera lämplig metadata och spara inställningarna.
| idp_cert |
Ange IDP-certifikatet i detta fält |
| ssourl |
Ange SSO URL i detta fält |
| idp_issuer |
Ange IDP-utgivaren i detta fält |
Attributmappning
-
Mappa dina applikationsattribut med IDP-attributen (identity provider).
-
Notera: Alla mappade attribut kommer att lagras i sessionen så att du kan komma åt dem i din applikation.
Integrationskod
-
Bara kopiera och klistra in kodavsnittet där du vill komma åt användarattributen.
-
Notera: Alla mappade attribut kommer att lagras i sessionen så att du kan komma åt dem i din applikation.
string name="";
string claimtype="";
string claimvalue="";
if(User.Identity.IsAuthenticated) {
name= User.Identity.Name;
foreach( var claim in User.Claims) {
claimtype = claim.Type;
claimValue = claim.Value;
}
}
Du kan konfigurera ASP.NET Core SAML 2.0 Single Sign-On (SSO) mellanprogram med vilken identitetsleverantör som helst som t.ex.
ADFS, Azure AD, Bitium, centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2
eller till och med med din egen anpassad identitetsleverantör. Kontrollera listan över identitetsleverantörer
här..
Ytterligare resurser
Behöver hjälp?
Kan du inte hitta din identitetsleverantör? Maila oss vidare
aspnetsupport@xecurify.com
och vi hjälper dig att ställa in SSO med din IDP och för snabb vägledning (via e-post/möte) om ditt krav och vårt team hjälper dig att välja den bästa lämpliga lösningen/planen enligt dina krav.
