Eine Single Sign-On-Anwendung erstellen
Um eine benutzerdefinierte Single Sign-On-Anwendung zu erstellen:
- Melden Sie sich als Administrator bei der Specops Authentication Web an.
- Klicken Sie auf Single Sign-On.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie Anwendungsvorlage: Benutzerdefiniert.
- Wählen Sie Anwendungsprotokoll: SAML.
- Klicken Sie auf Weiter.
- Geben Sie unter Allgemeine Einstellungen einen Anwendungsnamen und optional eine Beschreibung für die Anwendung ein.
- Wählen Sie unter Konfigurationsquelle eine der folgenden Optionen aus:
- Wählen Sie Metadaten-URL, um die Konfiguration von einer Metadaten-URL zu laden, die von Ihrem Dienstanbieter bereitgestellt wird. Dies ist die empfohlene Option. Im Gegensatz zu Metadaten-URL unter Manuell, die die Metadaten einmal importiert und speichert, lädt diese Option die Konfiguration jedes Mal von der URL, wenn sich ein Benutzer mit Specops SSO anmeldet.
- Wählen Sie Manuell, um entweder die Metadaten einmal zu importieren und zu speichern oder die Werte manuell zu konfigurieren.
- Wählen Sie unter Metadatenimport eine der folgenden Quellen aus, um die zu importierenden Metadaten bereitzustellen. Klicken Sie dann auf Metadaten laden:
- Metadaten-URL - Geben Sie eine Metadaten-URL ein, die von Ihrem Dienstanbieter bereitgestellt wird.
- Metadatendatei (.xml) - Laden Sie eine Metadatendatei hoch.
- XML-Eingabe - Fügen Sie den Metadateninhalt in das Feld ein.
- Um die Werte manuell zu konfigurieren, fahren Sie mit dem nächsten Schritt fort.
- Wählen Sie unter Metadatenimport eine der folgenden Quellen aus, um die zu importierenden Metadaten bereitzustellen. Klicken Sie dann auf Metadaten laden:
- Geben Sie für Entity ID die eindeutige Kennung ein, die zur Identifizierung des Dienstanbieters verwendet wird.
- Geben Sie für Assertion Consumer Service (ACS) URL die URL ein, an die die Authentifizierungsantwort an den Dienstanbieter gesendet wird.
- Geben Sie für SP Single Logout (SLO) URL die Dienstanbieter-URL ein, an die Specops Authentication (IdP) Abmeldeantworten senden soll, wenn der Dienstanbieter Single Logout unterstützt. Hinweis: SLO-Anfragen müssen signiert sein. Fahren Sie mit dem nächsten Schritt fort und beachten Sie die SLO- und Signaturvalidierungsregeln.
-
Führen Sie unter Signierbereich für Anfragen Folgendes aus:
- Wählen Sie für Signierbereich, welche eingehenden SP-Anfragen signiert werden müssen:
- Keine
- Nur Authentifizierungsanfragen
- Abmeldeanfrage
- Authentifizierungs- und Abmeldeanfragen
- Geben Sie für Signaturzertifikat(e) das öffentliche X.509-Zertifikat (PEM oder Base64) des Dienstanbieters ein, das zur Überprüfung signierter Anfragen verwendet wird.
- Wählen Sie für Signierbereich, welche eingehenden SP-Anfragen signiert werden müssen:
-
Wählen Sie unter Name ID ein Name ID AD-Attribut, das der NameId zugeordnet wird, und ein Name ID Anspruchsformat.
Warnung
"Name ID" muss einem AD-Attribut zugeordnet werden, das unveränderlich ist und den Benutzer eindeutig identifiziert. Ordnen Sie "Name ID" niemals beispielsweise dem Attribut "EmailAddress" zu, da dies einem böswilligen Benutzer ermöglichen könnte, auf das Konto eines anderen Benutzers zuzugreifen. Die "Name ID" ist standardmäßig auf "objectGUID" zugeordnet.
-
Klicken Sie unter Standard-Anspruchszuordnung optional auf Zuordnung hinzufügen, um die Ansprüche hinzuzufügen, die während der Authentifizierung an den Dienstanbieter gesendet werden sollen.
- Anspruch: Wählen Sie einen Namen aus der Liste der vordefinierten Namen oder wählen Sie Benutzerdefiniert..., um einen benutzerdefinierten Namen einzugeben.
- AD-Attribut oder benutzerdefinierter Wert: Wählen Sie einen Wert aus der Liste der Active Directory-Attribute oder wählen Sie Benutzerdefiniert..., um einen benutzerdefinierten Namen einzugeben. Wenn ein AD-Attribut ausgewählt ist, wird der Anspruch während der Authentifizierung vom Benutzer ausgefüllt. Wenn Benutzerdefiniert ausgewählt ist, wird ein fester Wert verwendet.
-
Klicken Sie auf Weiter: Gruppenanspruchszuordnung.
Hinweis
Die in Standard-Anspruchszuordnung hinzugefügten Standardansprüche werden immer an den Dienstanbieter gesendet. Die in Gruppenansprüche-Zuordnung eingegebenen Gruppenansprüche sind zusätzliche Ansprüche, die der SAML-Assertion für Benutzer hinzugefügt werden, die Mitglieder der ausgewählten AD-Gruppen sind.
Diese Konfiguration steuert nicht, welche Benutzer auf die Anwendung zugreifen können. Der Zugriff auf die Anwendung wird durch die Richtlinienkonfiguration gesteuert, was bedeutet, dass Benutzer in den ausgewählten Gruppen auch in einer Richtlinie enthalten sein müssen, um auf die Anwendung zuzugreifen.
-
Fügen Sie unter Neue Gruppenansprüche hinzufügen optional Ansprüche für Sicherheitsgruppen hinzu. Geben Sie den Namen einer Gruppe in Active Directory ein und klicken Sie auf Hinzufügen.
- Geben Sie einen oder mehrere Ansprüche und Anspruchswerte für die Gruppe ein und klicken Sie auf Speichern.
- Fahren Sie fort mit Konfigurieren der Authentifizierungsrichtlinie.
SLO- und Signaturvalidierungsregeln
Berücksichtigen Sie beim Konfigurieren von SP Single Logout (SLO) URL und Signierbereich für Anfragen die folgenden Regeln:
- Wenn SP Single Logout (SLO) URL konfiguriert ist, ist ein Signaturzertifikat(e) erforderlich.
-
Wenn Signierbereich auf Folgendes eingestellt ist:
-
Abmeldeanfrage oder Authentifizierungs- und Abmeldeanfragen:
Sowohl Signaturzertifikat(e) als auch SP Single Logout (SLO) URL sind erforderlich.
-
Nur Authentifizierungsanfragen:
Ein Signaturzertifikat(e) ist erforderlich und SP Single Logout (SLO) URL muss leer sein.
Abmeldeendpunkte werden für die Anwendung nicht unterstützt und die Abmelde-URL wird nicht in Metadaten veröffentlicht.
-
-
Für Signaturzertifikat(e) muss das hinzugefügte Zertifikat ein gültiges Base64-codiertes X.509-Zertifikat mit einem RSA-öffentlichen Schlüssel sein.