SAML Single Sign-On (SSO) till Drupal med ADFS som IdP

Drupal SAML-integrationen med hjälp av miniOrange SAML SP modulen upprättar sömlös SSO mellan ADFS och Drupal-webbplatsen. Användarna kommer att kunna logga in på Drupal-webbplatsen med sina ADFS-uppgifter. Det här dokumentet leder dig genom stegen för att konfigurera enkel inloggning - SSO mellan Drupal som tjänsteleverantör (SP) och ADFS som identitetsleverantör (IdP). Modulen är kompatibel med Drupal 7, Drupal 8, Drupal 9 och Drupal 10.

Drupal SAML SP Metadata

• Efter installation av modulen på Drupal-webbplatsen, i Administration menyn, navigera till Konfiguration → Personer → miniOrange SAML-inloggningskonfiguration. (/admin/config/people/miniorange_saml/idp_setup)

• Navigera till Tjänsteleverantörens metadata och ladda ner metadata. (Detta krävs för att konfigurera ADFS som en SAML IdP)

Konfigurera SAML Single Sign-On-applikation

• In server manager, Klicka på verktyg och välj sedan ADFS-hantering.

• Välj från den högra sidopanelen Lägg till Relying Party Trust under ADFS avsnitt

• Klicka på för att fortsätta Start knappen på välkomstskärmen.

• Välj Importera data om den förtroende parten från en fil alternativ. Ladda upp SP-metadatafilen från Drupal. Klicka på Nästa knappen för att fortsätta.

• I Visningsnamn, ange namnet på programmet och klicka sedan på Nästa knapp.

• Välja Tillåt alla på sidan Välj åtkomstkontrollpolicy och klicka sedan på Nästa knapp.

• Från sidan Redo att lägga till förtroende klickar du på knappen Nästa.

• På sidan Slutför kontrollerar du att kryssrutan bredvid Konfigurera policy för anspråksutfärdande för denna applikation väljs, klicka sedan på Stänga.

• Du hittar ansökan under Relay Party Trust i ADFS när den har skapats.
• Klicka på den högra panelen Redigera emissionspolicy för anspråk från rullgardinsmenyn för programmet du skapade i ADFS (i det här fallet DrupalSAML).

• Klicka på Lägg till regel knappen på Regler för emissionsomvandling fliken.

• På Välj Regelmall sida klicka på Nästa knapp.

• Ange den givna informationen på sidan Konfigurera regel:

  Gör anspråk på regelnamn	Ange anspråksregelns namn (valfritt), till exempel Attribut
  Attributbutik	Active Directory från rullgardinsmenyn

• Mappa det utgående LDAP-attributet enligt följande:

  LDAP-attribut (Välj eller skriv för att lägga till fler)	Typ av utgående anspråk (Välj eller skriv för att lägga till fler)
  Mejladresser	Namn-ID
  Visningsnamn	Namn

• Klicka på för att fortsätta Finish knapp.

• På Regler för emissionsomvandling fliken, klicka AnsökOch klicka sedan på OK att fortsätta.

• Som visas i bilden nedan, välj Redigera federationstjänstegenskaper från AD FS-rullgardinsmenyn.

Hämta metadata för ADFS:

• På Federation Service Properties fönster, gå till Allmänt fliken och kopiera Federationstjänst namn.

• Byta ut " " i URL:en https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xm> med ditt faktiska "Federationstjänstnamn". Till exempel, om ditt federationstjänstnamn är "example.com", bör den uppdaterade metadata-URL vara https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xml.
• Därefter kopierar du bara "ADFS IdP-metadata-URL", som är i formen - https://<your_ADFS_domain>/federationmetadata/2007-06/federationmetadata.xml. (Detta kommer att krävas för ytterligare konfiguration av Drupal)

Konfigurera Drupal som SAML-tjänsteleverantör:

• Öppna din Drupal-webbplats. Gå till fliken Service Provider Setup i modulen.
• Klicka på Ladda upp IDP-metadata §
• Klistra nu in metadata-URL från ADFS IdP.

• Klicka på Testa länk för att verifiera anslutningen mellan Drupal och ADFS.

• I testkonfigurationsfönstret visas ett framgångsmeddelande med SAML-svarsattribut om konfigurationerna är korrekta; annars visas felmeddelanden med ytterligare felsökningsinstruktioner. Klicka på Färdig

Grattis! Du har framgångsrikt konfigurerat ADFS som en identitetsleverantör och Drupal som en tjänsteleverantör.

Hur fungerar SAML SSO-inloggning?

• Öppna en ny webbläsare/privat fönster och navigera till inloggningssidan för Drupal-webbplatsen.
• Klicka på Logga in med Identity Provider (ADFS) länken.
• Du kommer att omdirigeras till ADFS-inloggningssidan. Ange ADFS-uppgifterna. Efter framgångsrik autentisering kommer användaren att omdirigeras tillbaka till Drupal-webbplatsen.

Windows SSO

 Steg för att konfigurera ADFS för Windows-autentisering

• Öppna förhöjd kommandotolk på ADFS-servern och kör följande kommando på den:

setspn -a HTTP/##ADFS Server FQDN## ##Domäntjänstkonto##

FQDN är ett fullständigt kvalificerat domännamn (exempel: adfs4.example.com)

Domain Service Account är användarnamnet för kontot i AD.

Exempel: setspn -a HTTP/adfs.example.com användarnamn/domän

• Öppna AD FS Management Console och gå till avsnittet Autentiseringspolicyer, redigera de globala autentiseringspolicyerna. Kontrollera Windows-autentisering i intranätzonen.

• Öppna Internet Explorer. Navigera till fliken Säkerhet i Internetalternativ.
• Lägg till FQDN för AD FS till listan över webbplatser i lokalt intranät och starta om webbläsaren.
• Välj anpassad nivå för säkerhetszonen. I listan med alternativ väljer du Automatisk inloggning endast i intranätzon.

• Öppna powershell och kör följande två kommandon för att aktivera Windows-autentisering i webbläsaren Chrome.

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Välj -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Välj -ExpandProperty WIASupportedUserAgents

• Du har konfigurerat ADFS för Windows-autentisering. Nu för att lägga till Relying Party för din Drupal kan du följa dessa steg.