Drupal SAML Single Sign On med SimpleSAMLphp som identitetsleverantör

Drupal SAML-integrationen med hjälp av miniOrange SAML SP modulen upprättar sömlös SSO mellan SimpleSAMLphp och Drupal-webbplatsen. Användarna kommer att kunna logga in på Drupal-webbplatsen med sina SimpleSAMLphp-uppgifter. Det här dokumentet leder dig genom stegen för att konfigurera enkel inloggning - SSO mellan Drupal som tjänsteleverantör (SP) och SimpleSAMLphp som identitetsleverantör (IdP). Modulen är kompatibel med Drupal 7, Drupal 8, Drupal 9 och Drupal 10.

Drupal SAML SP Metadata

• Efter installation av modulen på Drupal-webbplatsen, i Administration menyn, navigera till Konfiguration → Personer → miniOrange SAML-inloggningskonfiguration. (/admin/config/people/miniorange_saml/idp_setup)

• kopiera SP Entity ID/Emittent och SP ACS URL i Tjänsteleverantörens metadata flik. Ha det till hands. (Detta krävs för att konfigurera OneLogin som identitetsleverantör (IdP)).

Konfigurera SimpleSAMLphp som IDP:

• Öppna installationskatalogen för SimpleSAML config/config.php och redigera följande:

  'enable.saml20-idp' ⇒ sant

• aktivera UserPass-autentisering modul (ingår i exempelauth). Detta görs genom att skapa en fil med namnet möjliggöra (filnamn) i modules/exampleuth/.

• Skapa en autentiseringskälla i config/authsources.php. Filen bör innehålla en enda post, se nedan:

    '__DEFAULT__', /* * Den privata nyckeln och certifikatet som ska användas vid signering av svar. * Dessa lagras i cert-katalogen. */ 'privatekey' => 'example.org.pem', 'certificate' => 'example.org.crt', /* * Autentiseringskällan som ska användas för att autentisera *-användaren. Detta måste matcha en av posterna i config/authsources.php. */ 'auth' => '' Exempel:- 'exempel-användarpass', // Du kan hitta detta i steg nummer 1 ];
  

Denna konfiguration skapar två användare - student och anställd, med lösenorden studentpass och employeepass. Användarnamnet och lösenordet lagras i arrayindexet (student:studentpass för student-användare). Attributen för varje användare konfigureras i den array som refereras till av indexet. Så för studentanvändaren är dessa:

  [ 'uid' => ['student'], 'eduPersonAffiliation' => ['medlem', 'student'], ],

Attributen kommer att returneras av IdP när användaren loggar in.

• Skapa ett självsignerat certifikat med någon av följande metoder:

• Använder kommandot openssl

  openssl req -newkey rsa:3072 -new -x509 -days 3652 -nodes -out example.org.crt -keyout example.org.pem

• Skapa det med hjälp av alla onlineverktyg och lägg till dem i cert-katalogen.

  Förlängningen ska vara som

  example.org.crt //(Public Key)example.org.pem //(Privat Key)

Notera:SimpleSAMLphp fungerar endast med RSA-certifikat. DSA-certifikat stöds inte.

• SAML 2.0 IdP konfigureras av metadata som lagras i metadata/saml20-idp-hosted.php. Detta är en minimal konfiguration:

    '__DEFAULT__', /* * Den privata nyckeln och certifikatet som ska användas vid signering av svar. * Dessa lagras i cert-katalogen. */ 'privatekey' => 'example.org.pem', 'certificate' => 'example.org.crt', /* * Autentiseringskällan som ska användas för att autentisera *-användaren. Detta måste matcha en av posterna i config/authsources.php. */ ' auth' => '' Exempel:- 'exempel-användarpass', // Du kan hitta detta i steg nummer 1 ];
  

• Identitetsleverantören du konfigurerar behöver veta om de tjänsteleverantörer du ska ansluta till den. Detta konfigureras av metadata som lagras i metadata/saml20-sp-remote.php. Detta är ett minimalt exempel på en metadata/saml20-sp-remote.php-metadatafil för en SimpleSAMLphp SP: (Ersätt example.com med din Drupal domännamn.)

    'https://example.com/samlassertion', 'SingleLogoutService' => 'https://example.com/user/logout', 'NameIDFormat' => 'urn:oasis:names:tc:SAML:1.1:nameid -format:emailAddress', 'simplesaml.nameidattribute' => 'mail', 'simplesaml.attributes' => true, 'attributes' => array('mail', 'givenname', 'sn', 'memberOf'), ];
  

Notera: Att URI:n i Entity ID och URL:erna till AssertionConsumerService och Single Logout Service endpoints ändras mellan olika tjänsteleverantörer. Om du har metadata för fjärr-SP:n som en XML-fil kan du använda den inbyggda XML till SimpleSAMLphp metadatakonverteraren, som som standard är tillgänglig som /admin/metadata-converter.php i din SimpleSAMLphp-installation.

• Gå till SimpleSAMLphp hemsida för installation. (Webbadressen till en installation kan vara t.ex https://service.example.com/simplesaml/ där service.example.com måste ersättas av din SimpleSAMLphp-sökväg.)
• Navigera till Federation-fliken och klicka på Visa metadata. (Denna IdP-metadata kommer att krävas för att konfigurera Drupal som SP.)

Konfigurera Drupal som SAML-tjänsteleverantör:

• Navigera till Konfiguration av tjänsteleverantör fliken i SAML-modulen på Drupal-webbplatsen och klicka på Ladda upp SP Metadata att expandera den.

• Ladda upp den tidigare nedladdade metadatafilen från SimpleSAML till Ladda upp metadatafil textfältet och klicka på Ladda upp fil knapp.

• När du har sparat konfigurationerna, klicka på Testa länk

• Logga in med OneLogincredentials i ett popup-fönster för testkonfiguration (om en aktiv session inte finns). Efter lyckad autentisering kommer en lista över attribut som tas emot från OneLogin att visas. Klicka på Färdig .

Grattis! du har framgångsrikt konfigurerat SimpleSAML som SAML-identitetsleverantör och Drupal som SAML-tjänsteleverantör.

Hur fungerar SAML SSO-inloggning?

• Öppna en ny webbläsare/privat fönster och navigera till inloggningssidan för Drupal-webbplatsen.
• Klicka på Logga in med identitetsleverantör (SimpleSAMLphp) länken.
• Du kommer att omdirigeras till SimpleSAMLphp-inloggningssidan. Ange SimpleSAMLphp-uppgifterna. Efter framgångsrik autentisering kommer användaren att omdirigeras tillbaka till Drupal-webbplatsen.