SAML Single Sign-On (SSO) för WordPress med ADFS som IDP | ADFS SSO-inloggning
Översikt
ADFS Single Sign-On (SSO) [SAML] inloggning för WordPress kan uppnås genom att använda vår SSO Plugin för WordPress. Vårt plugin är kompatibelt med alla SAML-kompatibla identitetsleverantörer. Här kommer vi att gå igenom en steg-för-steg-guide för att konfigurera SAML SSO-inloggning mellan WordPress-webbplatsen och ADFS genom att överväga ADFS som IDP (Identitetsleverantör) och WordPress som SP (Tjänsteleverantör).
Förutsättningar: Ladda ner och installation
För att konfigurera ADFS som SAML IDP med WordPress måste du installera miniOrange SAML SP SSO plugin.
Konfigurationssteg
Steg 1: Konfigurera ADFS som IDP (identitetsleverantör)
Följ följande steg för att konfigurera ADFS som IDP:
- I miniOrange SAML SP SSO-plugin, navigera till Tjänsteleverantörens metadata flik. Här kan du hitta SP-metadata som SP Entity ID och ACS (AssertionConsumerService) URL som krävs för att konfigurera identitetsleverantören.
- På ADFS, sök efter ADFS-hantering ansökan.
- I ADFS Management, välj Relying Party Trust och klicka på Lägg till Relying Party Trust.
- Välja Påståenden medvetna från Relying Party Trust Wizard och klicka på Start knapp.
Välj datakälla
- I Välj datakälla väljer du datakällan för att lägga till en förtroende part.
Metadata URL
Metadata XML-fil
Manuell konfiguration
- Navigera till Tjänsteleverantörens metadata fliken i plugin-programmet för att få slutpunkterna för att konfigurera tjänsteleverantören manuellt.
- In Lägg till Relying Party Trust Wizard Välj alternativ Ange data om den förtroende parten manuellt och klicka på Nästa.
Ange visningsnamn
- ange Visningsnamn och klicka Nästa.
Konfigurera certifikat (premiumfunktion)
- Ladda ner certifikatet från Fliken Metadata för tjänsteleverantör.
- Ladda upp certifikatet och klicka på Nästa.
Konfigurera URL
- Välja Aktivera stöd för SAML 2.0 WebSSO-protokollet alternativ och ange ACS URLfrån plugin-programmet Tjänsteleverantörens metadata Flik.
- Klicka på Nästa.
Konfigurera identifierare
- I Förtroendeidentifierare för förlitande part, Lägg till SP-EntityID / Emittent från plugin-programmet Tjänsteleverantörens metadata fliken.
Välj Access Control Policy
- Välja Tillåt alla som en åtkomstkontrollpolicy och klicka på Nästa.
Redo att lägga till förtroende
- In Redo att lägga till förtroende Klicka på Nästa och då Stäng.
Redigera emissionspolicy för anspråk
- I listan över Relying Party Trust, välj programmet du skapade och klicka på Redigera emissionspolicy för anspråk.
- Klicka på fliken Utgivningstransformeringsregel Lägg till regel knapp.
Välj Regeltyp
- Välja Skicka LDAP-attribut som anspråk och klicka på Nästa.
Konfigurera anspråksregel
- Lägg till Anspråk på regelnamn och välj Attributbutik som krävs från rullgardinsmenyn.
- Enligt Mappning av LDAP-attribut till utgående anspråkstyper, Välj LDAP-attribut som Mejladresser och utgående anspråkstyp som Namn-ID.
- När du har konfigurerat attributen klickar du på Finish.
- Efter att ha konfigurerat ADFS som IDP behöver du Federation Metadata för att konfigurera din tjänsteleverantör.
- För att få ADFS Federation Metadata kan du använda denna URL
https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
Du har konfigurerat ADFS som SAML IDP (identitetsleverantör) för att uppnå ADFS SSO-inloggning på din WordPress-webbplats (WP).
Windows SSO (valfritt)
Följ stegen nedan för att konfigurera Windows SSO
Steg för att konfigurera ADFS för Windows-autentisering
- Öppna förhöjd kommandotolk på ADFS-servern och kör följande kommando på den:
-
setspn -a HTTP/##ADFS Server FQDN## ##Domäntjänstkonto##
-
FQDN är ett fullständigt kvalificerat domännamn (exempel: adfs4.example.com)
-
Domain Service Account är användarnamnet för kontot i AD.
-
Exempel: setspn -a HTTP/adfs.example.com användarnamn/domän
- Öppna AD FS Management Console, klicka på Tjänster och gå till Autentiseringsmetoder sektion. Klicka på till höger Redigera primära autentiseringsmetoder. Kontrollera Windows-autentisering i intranätzonen.
- Öppna Internet Explorer. Navigera till fliken Säkerhet i Internetalternativ.
- Lägg till FQDN för AD FS till listan över webbplatser i lokalt intranät och starta om webbläsaren.
- Välj anpassad nivå för säkerhetszonen. I listan med alternativ väljer du Automatisk inloggning endast i intranätzon.
- Öppna powershell och kör följande två kommandon för att aktivera Windows-autentisering i webbläsaren Chrome.
Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;
- Du har framgångsrikt konfigurerat ADFS för Windows-autentisering.
Steg 2: Konfigurera WordPress som SP (tjänsteleverantör)
I SAML SSO-pluginet för WordPress, gå till fliken IDP-konfiguration. Det finns två sätt att konfigurera SSO-pluginet för WordPress:
S. Genom att ladda upp IDP-metadata:
- Klicka på Ladda upp IDP-metadata knapp.
- Ange Identitetsleverantör Namn
- Du kan antingen ladda upp en metadatafil och klicka på Ladda knappen eller använd en
metadata-URL och klicka på Hämta metadata.
B. Manuell konfiguration:
- Ange de nödvändiga inställningarna (dvs. identitetsleverantörens namn, IDP-enhets-ID eller utfärdare, SAML-inloggnings-URL, X.509-certifikat) som tillhandahålls av din identitetsleverantör och klicka på Spara
knapp.
- Klicka på Testkonfiguration för att kontrollera de attribut och värden som skickas av IDP.
Steg 3: Attributmappning
Obs: För att konfigurera attributmappning för flera identitetsleverantörer, följ installationsguiden
här.Den här funktionen är tillgänglig i Enterprise-planen.
- Endast i gratisplugin Namn-ID stöds för e-post- och användarnamnattribut för WordPress-användaren.
- När en användare utför SSO kommer NameID-värdet som skickas av IDP att mappas till WordPress-användarens e-postadress och användarnamn.
I SAML SSO-pluginet för WordPress, gå till fliken Tjänstleverantörsinställningar. Det finns två sätt att konfigurera SSO-pluginet för WordPress:
S. Genom att ladda upp IDP-metadata:
- Klicka på Ladda upp IDP-metadata knapp.
- Ange Identitetsleverantör Namn
- Du kan antingen ladda upp en metadatafil och klicka på Ladda knappen eller använd en
metadata-URL och klicka på Hämta metadata.
B. Manuell konfiguration:
- Ange de nödvändiga inställningarna (dvs. identitetsleverantörens namn, IDP-enhets-ID eller utfärdare, SAML-inloggnings-URL, X.509-certifikat) som tillhandahålls av din identitetsleverantör och klicka på Spara
knapp.
- Klicka på Testkonfiguration för att kontrollera de attribut och värden som skickas av IDP.
Steg 3: Attributmappning
Obs: För att konfigurera attributmappning för flera identitetsleverantörer, följ installationsguiden
här.Den här funktionen är tillgänglig i Enterprise-planen.
- Attributmappning funktionen låter dig kartlägga användarattribut skickas av IDP under SSO till användarattributen på WordPress.
- I SAML-pluginet för WordPress, gå till Attribut/rollmappning fliken och fyll i följande fält Attributmappning sektion.
OBS: Om du klickar på knappen Testa konfiguration på fliken Service Provider Setup och autentiseras med din IDP, kan du se en lista över attribut som skickats av IDP:n på fliken Attribut/Role Mapping. Denna information kan användas för att tillhandahålla ovanstående kartläggning.
I SAML SSO-pluginet för WordPress, gå till fliken Tjänstleverantörsinställningar. Det finns två sätt att konfigurera SSO-pluginet för WordPress:
S. Genom att ladda upp IDP-metadata:
- Klicka på Ladda upp IDP-metadata knapp.
- Ange Identitetsleverantörens namn
- Du kan antingen ladda upp en metadatafil och klicka på Ladda knappen eller använd en
metadata-URL och klicka på Hämta metadata.
- I Premium plugin, Du kan aktivera automatisk synkronisering för metadata-URL som automatiskt uppdaterar plugin-konfigurationen enligt IDP-metadata efter ett visst tidsintervall
B. Manuell konfiguration:
- Ange de nödvändiga inställningarna (t.ex. identitetsleverantörens namn, IDP-enhets-ID eller utfärdare, SAML-inloggnings-URL, X.509-certifikat) som tillhandahålls av ditt Identitetsleverantör och klicka på
Spara knapp.
- Klicka på Testkonfiguration för att kontrollera de attribut och värden som skickas av IDP.
-
I Premium Plugin kan du tillhandahålla SAML Logout URL för att uppnå Single Logout på din WordPress-webbplats.
Steg 3: Attributmappning
Obs: För att konfigurera attributmappning för flera identitetsleverantörer, följ installationsguiden
här.Den här funktionen är tillgänglig i Enterprise-planen.
-
Attributmappning funktionen låter dig kartlägga användarattribut skickas av IDP under SSO till användarattributen på WordPress.
-
I SAML-pluginet för WordPress, gå till Attribut/rollmappning fliken och fyll i följande fält Attributmappning sektion.
-
Anpassad attributmappning: Denna funktion låter dig mappa alla attribut som skickas av IDP till användarmeta tabell över WordPress.
Steg 4: Rollkartläggning
Obs: För att konfigurera rollmappning för flera identitetsleverantörer, följ installationsguiden här.Den här funktionen är tillgänglig i Enterprise-planen.
- I gratispluginen kan du välja en Standardroll som kommer att tilldelas alla icke-adminanvändare när de utför SSO.
- Gå till Attribut/rollmappning fliken och navigera till Rollkartläggning sektion.
- Välj Standardroll och klicka på Uppdatering knapp.
Steg 4: Rollkartläggning
Obs: För att konfigurera rollmappning för flera identitetsleverantörer, följ installationsguiden här.Den här funktionen är tillgänglig i Enterprise-planen.
I standardpluginet kan du välja en standardroll som kommer att tilldelas alla icke-adminanvändare när de utför SSO.
- Gå till Attribut/rollmappning fliken och navigera till Rollkartläggning sektion.
- Välj Standardroll och klicka på Spara knapp.
Steg 4: Rollkartläggning
Den här funktionen låter dig tilldela och hantera roller för användare när de utför SSO. Tillsammans med standardrollerna i WordPress är detta även kompatibelt med alla anpassade roller.
Obs: För att konfigurera rollmappning för flera identitetsleverantörer, följ installationsguiden här.Den här funktionen är tillgänglig i Enterprise-planen.
- Från Attributmappning avsnitt av plugin-programmet, tillhandahålla en mappning för det namngivna fältet
Grupp/rollDetta attribut kommer att innehålla den rollrelaterade informationen som skickas av IDP:n och kommer att användas för rollmappning.
- Navigera till rollmappningsavsnittet och tillhandahåll mappningarna för de markerade rollerna.
-
Till exempel, Om du vill ha en användare vars Grupp/roll attributvärdet är wp-editor för att tilldelas som en redigerare i WordPress, ange bara mappningen som wp-editor i redaktör
fältet i avsnittet Rollmappning.
Steg 5: SSO-inställningar
- I det kostnadsfria plugin-programmet kan du lägga till en enkel inloggningsknapp genom att aktivera Lägg till en enkel inloggningsknapp på WordPress-inloggningssidan växla in Alternativet 1.
- Om ditt WordPress-tema stöder inloggningswidget kan du lägga till en inloggningswidget för att aktivera SP-initierad SSO på din webbplats.
- Navigera till fliken Omdirigering och SSO-länkar och följ de givna stegen nedan Alternativ 2: Använd en widget för att lägga till en inloggningswidget på din webbplats.
Steg 5: SSO-inställningar
I standardinsticksprogrammet kan du aktivera SP-initierad SSO med hjälp av följande alternativ.
I den här guiden har du konfigurerat ADFS SAML enkel inloggning (ADFS SSO-inloggning) välja ADFS som IDP och WordPress som SP använder miniOrange plugin-SAML Single Sign On – SSO Login. Den här lösningen säkerställer att du är redo att rulla ut säker åtkomst till din WordPress (WP) webbplats med hjälp av ADFS-inloggning inloggningsuppgifter inom några minuter.
Relaterade artiklar
Registrera
