DNN SAML Single Sign-On (SSO) med ADFS som IDP

• Efter lyckad licensaktivering öppnas plugin-instrumentpanelen enligt nedan.

• I plugin-instrumentpanelen klickar du på Tjänsteleverantörens metadata knappen från den översta menyn. Detta öppnar sidan för tjänsteleverantörens metadata.
• Välj önskad Namn-ID-format från rullgardinsmenyn (till exempel E-postadress eller Ospecificerad) baserat på din identitetsleverantörskonfiguration och klicka på Spara knappen för att uppdatera inställningarna.
• NameID-formatet definierar vilken användaridentifierare (t.ex. e-postadress eller användarnamn) som ska skickas under SAML-inloggningsprocessen.

• Bläddra ner till Dela SAML-metadata sektion.

Du kan hämta SAML SP-metadata med hjälp av någon av de två metoder som beskrivs nedan för att konfigurera den hos din identitetsleverantör.

A] Använda SAML-metadata-URL eller metadatafil

• På den här sidan hittar du metadata-URL:en samt möjligheten att ladda ner XML-metadatafilen.
• Kopiera metadata-URL:en eller ladda ner metadatafilen för att konfigurera densamma hos din identitetsleverantör.
• Du kan hänvisa till skärmdumpen nedan:

B] Manuell uppladdning av metadata

• På den här sidan kan du manuellt kopiera tjänsteleverantörens metadata, t.ex. SP-enhets-ID, ACS-URL, SP-utloggnings-URL och dela den med din identitetsleverantör för konfiguration.
• Du kan hänvisa till skärmdumpen nedan:

Steg för att konfigurera ADFS IdP

• Sök först efter ADFS-hantering applikation på din ADFS-server.

• I ADFS Management, välj Relying Party Trust och klicka på Lägg till Relying Party Trust.

• Välja Påståenden medvetna från Relying Party Trust Wizard och klicka på Start knapp.

Välj datakälla

• I Välj datakälla väljer du datakällan för att lägga till en förtroende part.

• Metadata URL
• Metadata XML-fil
• Manuell konfiguration

• Navigera till Tjänsteleverantörens metadata avsnittet i DNN-pluginet och kopiera Metadata URL, vilket du kommer att få från Steg 2A.
• Välja Importera data om den förtroende parten publicerad online eller på det lokala nätverket alternativet och lägg till metadataadressen i Federations metadataadress.
• Klicka på Nästa.

• Navigera till Tjänsteleverantörens metadata avsnittet i DNN-pluginet och klicka på Ladda ner knappen för att ladda ner plugin-metadatafilen, som du får från Steg 2A.
• Välja Importera data om den förtroende parten från en fil alternativet och ladda upp den nedladdade metadatafilen.
• Klicka på Nästa.

• Navigera till Tjänsteleverantörens metadata avsnittet i DNN-pluginet för att hämta slutpunkterna för att konfigurera tjänsteleverantören manuellt, vilket du får från Steg 2B.
• In Lägg till Relying Party Trust Wizard Välj alternativ Ange data om den förtroende parten manuellt och klicka på Nästa.

Ange visningsnamn

• ange Visningsnamn och klicka Nästa.

Konfigurera certifikat (premiumfunktion)

• Ladda ner certifikatet från Fliken Metadata för tjänsteleverantör, vilket du kommer att få från Steg 2A.
• Ladda upp certifikatet och klicka på Nästa.

Konfigurera URL

• Välja Aktivera stöd för SAML 2.0 WebSSO-protokollet alternativ och ange ACS URL från plugin-programmet Tjänsteleverantörens metadata Fliken, som du får från Steg 2B.
• Klicka på Nästa.

Konfigurera identifierare

• I Förtroendeidentifierare för förlitande part, Lägg till SP-EntityID / Emittent från plugin-programmet Tjänsteleverantörens metadata fliken, som du får från Steg 2B.

Välj Access Control Policy

• Välja Tillåt alla som en åtkomstkontrollpolicy och klicka på Nästa.

Redo att lägga till förtroende

• In Redo att lägga till förtroende Klicka på Nästa och då Stäng.

Redigera emissionspolicy för anspråk

• I listan över Relying Party Trust, välj programmet du skapade och klicka på Redigera emissionspolicy för anspråk.

• Klicka på fliken Utgivningstransformeringsregel Lägg till regel knapp.

Välj Regeltyp

• Välja Skicka LDAP-attribut som anspråk och klicka på Nästa.

Konfigurera anspråksregel

• Lägg till Anspråk på regelnamn och välj Attributbutik som krävs från rullgardinsmenyn.
• Enligt Mappning av LDAP-attribut till utgående anspråkstyper, Välj LDAP-attribut som Mejladresser och utgående anspråkstyp som Namn-ID.

• När du har konfigurerat attributen klickar du på Finish.
• Efter att ha konfigurerat ADFS som IDP behöver du Federation Metadata för att konfigurera din tjänsteleverantör.
• För att få ADFS Federation Metadata kan du använda denna URL
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• Du har framgångsrikt konfigurerat ADFS som SAML IdP (Identity Provider) för att uppnå ADFS Single Sign-On (SSO)-inloggning

Windows SSO (valfritt)

Följ stegen nedan för att konfigurera Windows SSO

• Steg för att konfigurera ADFS för Windows-autentisering
  • Öppna förhöjd kommandotolk på ADFS-servern och kör följande kommando på den:
    setspn -a HTTP/##ADFS Server FQDN## ##Domäntjänstkonto##
  • FQDN är ett fullständigt kvalificerat domännamn (exempel: adfs4.example.com)
  • Domain Service Account är användarnamnet för kontot i AD.
  • Exempel: setspn -a HTTP/adfs.example.com användarnamn/domän.

• Öppna AD FS Management Console, klicka på Tjänster och gå till Autentiseringsmetoder sektion. Klicka på till höger Redigera primära autentiseringsmetoder. Kontrollera Windows-autentisering i intranätzonen.

• Öppna Internet Explorer. Navigera till fliken Säkerhet i Internetalternativ.
• Lägg till FQDN för AD FS till listan över webbplatser i lokalt intranät och starta om webbläsaren.
• Välj anpassad nivå för säkerhetszonen. I listan med alternativ väljer du Automatisk inloggning endast i intranätzon.

• Öppna powershell och kör följande två kommandon för att aktivera Windows-autentisering i webbläsaren Chrome.

 Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty  WIASupportedUserAgents) + "Chrome")
 Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;


• Du har framgångsrikt konfigurerat ADFS för Windows-autentisering.

• Klicka på Lägg till ny IDP knappen för att konfigurera en ny identitetsleverantör.

• Under fliken Plugin-inställningar väljer du ADFS som din identitetsleverantör från listan som visas.

• När du har valt din IdP från listan öppnas sidan Inställningar för identitetsleverantör. Här kan du antingen klicka på Ladda upp IdP-metadata knappen för att konfigurera identitetsleverantören automatiskt med hjälp av metadata, eller ange manuellt de obligatoriska identitetsleverantörsuppgifterna under Inställningar för identitetsleverantör.

Det finns två sätt som beskrivs nedan för att konfigurera din SAML-identitetsleverantörs metadata i pluginet.

A] Ladda upp metadata med knappen Ladda upp IDP-metadata:

• Klicka Välj FIL för att ladda upp XML-metadatafilen med hjälp av Ladda upp XML-fil alternativet, klicka sedan på LaddaAlternativt, ange metadata-URL i Ange metadata-URL avsnitt och klicka Hämta metadata för att hämta identitetsleverantörens konfiguration automatiskt.
• Du kan hänvisa till skärmdumpen nedan:

B] Konfigurera identitetsleverantörens metadata manuellt:

• Alternativt kan du manuellt fylla i de obligatoriska fälten under fliken Inställningar för identitetsleverantör, som IDP-namn, IDP-enhets-ID och URL för enkel inloggning och klicka Spara inställningar.

• När du har laddat upp metadatadetaljerna, navigera tillbaka till instrumentpanelen. Håll muspekaren över Välj Åtgärder rullgardinsmenyn bredvid den konfigurerade identitetsleverantören och klicka på Testkonfiguration.

• Vid lyckad konfiguration får du attributnamn och attributvärden i testkonfigurationsfönstret.

Attributmappning

• När du har testat konfigurationen, mappa dina applikationsattribut med attributen för identitetsleverantören (IdP).

• Från Välj Åtgärder dropdown, välj Redigera konfiguration för att öppna inställningarna för attributmappning.
• Kartlägg det som krävs IdP-attribut (såsom användarnamn, e-postadress, förnamn och efternamn) som mottagits i SAML-svaret till motsvarande fält.

• När attributen är mappade klickar du på Spara att tillämpa ändringar.

Standardrollmappning

• Navigera till Standardrollmappning avsnittet och välj den roll du vill tilldela användarna efter lyckad SSO-inloggning från Standardroll falla ner.
• Välj lämplig roll (till exempel Registrerade användare, Prenumeranter eller Administratörer) och klicka på Spara knappen för att tillämpa ändringarna.

Avancerade IDP-inställningar

Om du vill konfigurera ytterligare avancerade inställningar, bläddra uppåt och klicka på Avancerade IdP-inställningar från toppmenyn.

Anpassad attributmappning

• Om du vill skicka ytterligare attribut från din IdP anger du attributnamnet och motsvarande attributvärde under Anpassad attributmappning.
• Från Attributvärde I rullgardinsmenyn väljer du ett av attributen som tas emot i testkonfigurationsresultaten, till exempel: NamnID.
• Dessa attribut motsvarar de värden som skickas av din identitetsleverantör (IdP).

• I Attributnamn I fältet anger du namnet på DNN-användarattributet. Det mappas då till IDP-attributvärdet under SSO-inloggningen.
• Du kan lägga till flera mappningar om din applikation kräver flera attribut genom att klicka på + knapp.
• När du har definierat alla nödvändiga mappningar klickar du på Spara attributmappning för att lagra konfigurationen.

• Plugin-programmet kommer att översätta de inkommande SAML-attributen från din identitetsleverantör (IdP) till de anpassade attributnamn som konfigurerats här för din DNN-webbplats.

Avancerad rollkartläggning

• I Avancerad rollkartläggning avsnitt, ange Gruppattributnamn exakt som konfigurerat i din identitetsleverantör för att hämta användargruppsinformationen.
• Ange Rollnamn mottagen från identitetsleverantören och mappa den till lämplig Rollvärde I fältet Rollvärde anger du de roller som definierats på din DNN-webbplats.
• Till exempel: Mappa IdP-gruppen Grupp1 eller Grupp10 som mottagits under attributet UserGroups till motsvarande roll som konfigurerats på din DNN-webbplats.
• Efter att du har lagt till de nödvändiga mappningarna klickar du på Spara rollmappning för att spara konfigurationen.

Domänbegränsning

• Den här funktionen kan användas för att begränsa användaråtkomst till webbplatsen baserat på domänen för deras mappade "E-post"-attribut.
• I E-postattribut I fältet anger du attributnamnet som innehåller användarens e-postadress som mottagits från din identitetsleverantör (IdP).

• I Domain Name I fältet anger du den/de domän(er) du vill tillåta eller begränsa, separerade med kommatecken om du lägger till flera domäner.
• aktivera Begränsa-växling baserat på ditt behov av att konfigurera åtkomst till svartlista eller vitlista.
• När du har slutfört konfigurationen klickar du på Spara för att spara inställningarna.

Omdirigeringar efter SSO och SLO

• I Omdirigering av inloggning I avsnittet anger du slutpunkts-URL:en dit användare ska omdirigeras efter en lyckad SSO-inloggning.
• I Omdirigering av utloggning avsnittet, ange slutpunkts-URL:en dit användare ska omdirigeras efter en lyckad utloggning (SLO) och klicka på Spara för att uppdatera konfigurationen.

Ändra SAML-begäran

• I Ändra SAML-begäran avsnitt, ange det obligatoriska Parameternamn och ParametervärdeKlicka på + för att lägga till parametern och klicka sedan på Spara att tillämpa ändringarna.

Ytterligare inställningar

• Möjliggöra Registrera användare automatiskt för att automatiskt skapa ett nytt användarkonto i DNN om användaren inte redan finns under SSO-inloggning.
• Möjliggöra Åsidosätt e-postattribut för att uppdatera användarens e-postadress i DNN med e-postattributet som mottagits från identitetsleverantören (IdP).
• Möjliggöra Hitta användare via e-post för att tillåta att plugin-programmet identifierar och matchar befintliga användare i DNN med hjälp av deras e-postadress.
• Möjliggöra Multiportal SSO Om du vill tillåta enkel inloggning på flera DNN-portaler med samma identitetsleverantör (IdP) klickar du på Spara för att uppdatera inställningarna.

• Höja över Välj Åtgärder rullgardinsmenyn bredvid den konfigurerade identitetsleverantören och klicka på Kopiera SSO-länk.
• Använd den här SSO-länken för att initiera enkel inloggning (SSO) för användare som loggar in på din DNN-portal.

• Användaren loggas in på DNN-webbplatsen genom att ange inloggningsuppgifterna för ADFS.