Dieser Artikel bezieht sich gemäß der offiziellen Dokumentation Öffnen Sie die Benutzeroberfläche von Simplifier, öffnen Sie die Einstellungen und wählen Sie “Authentifizierung”.
Hier erstellen Sie eine neue Authentifizierungsmethode mit dem “+”-Symbol, legen einen Namen für diese Methode fest, z.B. “ADFS”, setzen die Priorität auf “0” und wählen Mechanismus auf “SAML 2.0”.
Nun können Sie einen Anzeigenamen angeben und die maximale Lebensdauer auf “486000” Sekunden (8 Stunden) setzen, wie von uns vorgeschlagen. Wichtig: Die ADFS-Einstellung für die maximale Lebensdauer beträgt 480 Minuten (8 Stunden), erhöhen Sie daher diesen Wert, wenn Sie sich bei einem ADFS-Dienst authentifizieren.
Kopieren Sie den Dienstanbieter-Endpunkt, und fügen Sie ihn in die Dienstanbieter-Entitäts-ID ein.
Wenn Sie Microsoft ADFS als SAML-Dienstanbieter verwenden möchten, müssen Sie eine XML-Metadatendatei mit dem SAML-TOOL erstellen.
Gehen Sie zum SAML-TOOL , um die XML-Metadaten zu erstellen, und füllen Sie die erforderlichen Felder aus:
SAML TOOL | Simplifier | Beschreibung |
Attribut Consume Service Endpoint (HTTP-POST) | Entitäts-ID des Dienstanbieters | Endpunkt-URL, die in SAML IDP konfiguriert werden muss. Er wird durch den Instanznamen und den zuvor zugewiesenen Authentifizierungsnamen von Simplifier festgelegt. |
EntityId | Dienstanbieter-Endpunkt | Standardmäßig entspricht die Entitäts-ID Ihrer Anwendung (Dienstanbieter) der Rückruf-URL, aber Sie können Ihre eigene Entitäts-ID erzwingen, indem Sie diesen Parameter festlegen. |
SP X.509 cert | Das Zertifikatsbundle wird im nächsten Schritt erstellt und in den Simplifier-Datenspeicher eingefügt. | Es wird nur das Zertifikat (*.crt) benötigt. |
Für die SAML-Authentifizierung ist ein Zertifikatspaket erforderlich.
Um die XML-Metadaten zu erstellen, wird die CRT im x.509-Format benötigt, und Simplifier benötigt ein JKS-Bundle.
Um die benötigten Zertifikate zu erstellen, haben wir ein Bash-Skript im Simplifier Docker Container erstellt.
docker exec –it <Simplifier Container Name> \
bash –c “/opt/simplifier/bin/create_saml_keystore.sh”
Fügen Sie die Ausgabe des Skripts (Zertifikat) in das SAML-Tool ein und klicken Sie auf die Schaltfläche “BUILD SP METADATA”.
Kopieren Sie nun den Inhalt in IDP Metadata in einen Texteditor Ihrer Wahl und speichern Sie die IDP-Metadatendatei mit dem Suffix .xml
Öffnen Sie nun die AD FS Verwaltung.
Öffnen Sie die Option “Vertrauensstellung der vertrauenden Seite hinzufügen…” Assistenten, wählen Sie “Schadenmeldungen” und klicken Sie auf “Start”.
Verwenden Sie die Option “Daten über die vertrauende Seite aus einer Datei importieren”, laden Sie die zuvor erstellte XML-Datei hoch und klicken Sie auf “Weiter”.
Geben Sie einen Namen ein, ggf. eine Notiz und klicken Sie auf “Weiter”.
Verwenden Sie die Standardeinstellung “Jedem Zugriff erlauben” und klicken Sie auf “Weiter”.
Stellen Sie sicher, dass das Kontrollkästchen “Anspruchsausstellungsrichtlinie für diese Anwendung konfigurieren” aktiviert ist.
Klicken Sie anschließend auf “Schließen”.
Es öffnet sich ein neues Pop-up, in dem eine neue Regel erstellt werden muss.
Legen Sie fest: “LDAP-Attribute als Ansprüche senden” und klicken Sie auf “Weiter”.
Geben Sie einen Namen für die Regel ein, wählen Sie Attributspeicher auf “Active Directory”, übertragen Sie die Werte aus dem Simplifier Admin UI auf die Rolle und fügen Sie einen zusätzlichen Eintrag hinzu: “User-Principal-Name” -> “Namens-ID”
Drücken Sie auf “Fertigstellen” und dann auf “OK”.
Die für Simplifier erforderliche IDP-Metadatendatei kann nun von der SPE abgerufen werden.
Diese muss in das Feld IDP-Metadaten eingetragen werden.
Mit ADFS ( Windows Server 2016 ) wäre das:
https://<ADFS-SERVER>/FederationMetadata/2007-06/FederationMetadata.xml
Nachdem Sie die Simplifier-Einstellungen gespeichert haben, muss der Simplifier-Container neu gestartet werden.
docker restart <Simplifier Container Name>
Jetzt können Sie sich über SAML bei Simplifier anmelden.
Sie können ihnen nach dem ersten Login die gewünschten Rechte und Rollen zuweisen.