DNN SAML Single Sign-On (SSO) med Shibboleth som IDP

DNN SAML Single Sign-On (SSO) modulen ger möjlighet att aktivera SAML Single Sign-On för dina DotNetNuke-applikationer. Genom att använda enkel inloggning kan du bara använda ett lösenord för att komma åt din DotNetNuke-applikation och dina tjänster. Vår modul är kompatibel med alla SAML-kompatibla identitetsleverantörer. Här kommer vi att gå igenom en steg-för-steg-guide för att konfigurera Single Sign-On (SSO) mellan DotNetNuke och Shibboleth med tanke på Shibboleth som IdP.

Förutsättningar: Ladda ner och installation

• Download paketet för DNN SAML Single Sign-On (SSO)-modulen.
• Ladda upp installationspaketet dnn-saml-single-sign-on_xxx_Install genom att gå in Inställningar > Tillägg > Installera tillägg.

Steg för att konfigurera DNN Single Sign-On (SSO) med Shibboleth som IDP

1. Lägg till modul på DNN-sidan

• Öppna någon av sidorna på din DNN-webbplats (redigeringsläge) och klicka på Lägg till modul.

• Sök efter DNNSAMLSSO och klicka på DNNSAMLSSO. Dra och släpp modulen på sidan där du vill.

• Du är klar med installationen av modulen på din DNN-webbplats.

2. Ställ in Shibboleth som identitetsleverantör

• Välj din identitetsleverantör Schibbolet från listan nedan.

• Det finns två sätt som beskrivs nedan med vilka du kan få SAML SP-metadata att konfigurera på din identitetsleverantör.

A] Använda SAML-metadata-URL eller metadatafil:

• Enligt Inställningar för tjänsteleverantör, kan du hitta metadata-URLen samt möjligheten att ladda ner SAML-metadata.
• Kopiera metadata-URL eller ladda ned metadatafilen för att konfigurera densamma på din identitetsleverantör.
• Du kan hänvisa till skärmdumpen nedan:


B] Ladda upp metadata manuellt:

• Enligt Inställningar för tjänsteleverantör avsnitt, kan du manuellt kopiera tjänsteleverantörens metadata som Bas URL, SP Entity ID, ACS URL och dela den med din identitetsleverantör för konfiguration.
• Du kan hänvisa till skärmdumpen nedan:

• I conf/idp.properties, avkommentera och ställ in 'idp.encryption.optional' till true.
     t.ex. idp.encryption.optional = sant
• In conf/metadata-providers.xml, konfigurera tjänsteleverantören så här

    <MetadataProvider xmlns:samlmd="urn:oasis:
names:tc:SAML:2.0:metadata" 

        id="miniOrangeInLineEntity" xsi:type="InlineMetadata
Provider"
      sortKey="1"> 

        <samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID / 
Issuer
      from Service Provider Info tab in plugin.>" 

          validUntil="2020-09-06T04:13:32Z"> 

          <samlmd:SPSSODescriptor AuthnRequests
Signed="false"
      WantAssertionsSigned="true" 

          protocolSupportEnumeration="urn:oasis:names:
tc:SAML:2.0:protocol">
      

            <samlmd:NameIDFormat> 

              urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
      

            </samlmd:NameIDFormat> 

          <samlmd:AssertionConsumerService
      Binding="urn:oasis:names:tc:
SAML:2.0:bindings:HTTP-POST" 

          Location="<ACS (AssertionConsumerService) URL from 
Step1 of
      the plugin under Identity Provider Tab.>" 

            index="1" /> 

          </samlmd:SPSSODescriptor> 

          </samlmd:EntityDescriptor> 

      </MetadataProvider>
  

• In conf/saml-nameid.properties, avkommentera och ange standard Namn-ID as E-postadress Gillar du

    idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
      

• In conf/saml-nameid-xml, sök efter shibboleth.SAML2NameIDGenerators. Avkommentera shibboleth.SAML2AttributeSourcedGenerator-bönan och kommentera alla andra ref-bönor

    <!-- SAML 2 NameID Generation --> 

      <util:list id="shibboleth.SAML2NameIDGenerators"> 

        <!--<ref bean="shibboleth.SAML2TransientGenerator" /> --> 

        <!-->ref bean="shibboleth.SAML2PersistentGenerator" /> --> 

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" 

        p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" 

        p:attributeSourceIds="#{ {'email'} }" /> 

      </util:list>
          

• Se till att du har definierat AttributeDefinition i conf/attribute-resolver.xml.

    <!-- Note: AttributeDefinitionid must be same as what
 you provided in
      attributeSourceIds in conf/saml-nameid.xml --> 

      <resolver:AttributeDefinitionxsi:type="ad:Simple"
 id="email"
      sourceAttributeID="mail"> 

        <resolver:Dependency ref="ldapConnector" /> 

        <resolver:AttributeEncoderxsi:type="enc:SAML2String" 
name="email"
      friendlyName="email" /> 

      </resolver:AttributeDefinition > 


  
      <resolver:DataConnector id="ldapConnector"
 xsi:type="dc:LDAPDirectory"
      ldapURL="%{idp.authn.LDAP.ldapURL}" 

        baseDN="%{idp.authn.LDAP.baseDN}"
 principal="%{idp.authn.LDAP.bindDN}" 

        principalCredential="%{idp.authn.LDAP.bindDNCredential}"> 

  
        <dc:FilterTemplate> 

          <!-- Define you User Search Filter here --> 

          <![CDATA[
      (&(objectclass=*)
(cn=$requestContext.principalName)) ]]> 

        </dc:FilterTemplate> 
 

  
        <dc:ReturnAttributes>*</dc:ReturnAttributes> 

      </resolver:DataConnector>
  

• Se till att du har AttributeFilterPolicy definierad i conf/attribut-filter.xml.

    <afp:AttributeFilterPolicy id="ldapAttributes"> 

      <afp:PolicyRequirementRulexsi:type="basic:ANY"/> 

        <afp:AttributeRuleattributeID="email"> 

          <afp:PermitValueRulexsi:type="basic:ANY"/> 

        </afp:AttributeRule> 

      </afp:AttributeFilterPolicy> 

  

• Starta om Shibboleth-servern.
• Du måste konfigurera dessa slutpunkter i miniOrange SAML-plugin.

IDP-enhets-ID	https://<your_domain>/idp/shibboleth
URL för enkel inloggning	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
URL för enkel utloggning	https://<your_domain>/idp/shibboleth
X.509-certifikat	Det offentliga nyckelcertifikatet för din Shibboleth-server

Du har framgångsrikt konfigurerat Shibboleth som SAML IdP (Identity Provider) för att uppnå Shibboleth SSO-inloggning på din DotNetNuke (DNN)-webbplats.

3. Konfigurera DotNetNuke SAML-modul som tjänsteleverantör

Det finns två sätt som beskrivs nedan med vilka du kan konfigurera din SAML-identitetsleverantörs metadata i modulen.

A] Ladda upp metadata med knappen Ladda upp IDP-metadata:

• Om din identitetsleverantör har försett dig med metadata-URL eller metadatafil (endast .xml-format) kan du helt enkelt konfigurera identitetsleverantörens metadata i modulen med hjälp av Ladda upp IDP-metadata alternativ.
• Du kan hänvisa till skärmdumpen nedan:

• Du kan välja vilket som helst av alternativen enligt det metadataformat du har tillgängligt.

B] Konfigurera identitetsleverantörens metadata manuellt:

• Efter att ha konfigurerat din Identitetsleverantör, kommer det att ge dig IDP Entity ID, IDP Single Sign On URL och SAML X509-certifikat fält respektive.
• Klicka Uppdatering för att spara dina IDP-uppgifter.

4. Testa SAML SSO

• Klicka på Testkonfiguration för att kontrollera om du har konfigurerat plugin-programmet korrekt.
• Efter lyckad konfiguration kommer du att få Attributnamn och Attributvärden i Test Configuration-fönstret.

5. Attributmappning

• Attribut är användarinformation som lagras i din identitetsleverantör.
• Attributmapping hjälper dig att få användarattribut från din IdP och mappa dem till DotNetNuke användarattribut som förnamn, efternamn etc.
• När användarna registreras automatiskt på din DotNetNuke-webbplats kommer dessa attribut automatiskt att mappas till din DotNetNuke-användarinformation.
• Gå till DNNSAMLSSO Inställningar >> Avancerade inställningar >> Attributmappning.

6. Lägga till inloggnings-/SSO-widget på DNN-sidan

• För att lägga till knapp på DNN-sidan bredvid modulinställningarna klicka på Lägg till artikel (Blyertsikon).

• Lägg till knappnamn och klicka på Save

• Du kan se inloggningsknappen på sidan efter att du har sparat objektet. (Om du redan är inloggad på din webbplats kommer du att se en "Logga ut"-länk).
• Notera: Följ stegen nedan om du vill aktivera den här knappen på varje sida på DNN-webbplatsen:
• Gå till Inställningar >> Modulinställningar >> Avancerade inställningar och Aktivera alternativ för Visa modul på alla sidor.

• Varning: Du kommer att förlora all din konfiguration för modulen efter att du aktiverat detta alternativ. Du kan konfigurera om modulen eller så är det bättre att aktivera det här alternativet innan du konfigurerar modulen.

7. Rollmappning (det är valfritt att fylla detta)

• DotNetNuke använder ett koncept av roller, utformat för att ge webbplatsägaren möjligheten att kontrollera vad användare kan och inte kan göra inom webbplatsen.
• DotNetNuke har fem fördefinierade roller: administratörer, prenumeranter, registrerade användare, översättare (en-US) och obekräftade användare.
• Rollmappning hjälper dig att tilldela specifika roller till användare av en viss grupp i din IdP.
• Vid automatisk registrering tilldelas användarna roller baserat på gruppen de är mappade till.

Du kan till och med konfigurera ASP.NET SAML Single Sign-On (SSO) modul med valfri identitetsleverantör som t.ex ADFS, Azure AD, Bitium, centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2 eller till och med med din egen anpassad identitetsleverantör. För att kontrollera andra identitetsleverantörer, klicka här..

Ytterligare resurser

• DNN SAML Single Sign-On (SSO)
• DNN OAuth enkel inloggning (SSO)
• ASP.NET SAML Single Sign-On (SSO)
• nopCommerce SAML Single Sign-On (SSO)
• Umbraco SAML Single Sign-On (SSO)