Príklady konfigurácie konektora IdP
V príkladoch nižšie predpokladáme nasledujúce nastavenia:
•URL adresa inštalácie ESA: https://esa.test.local:44322/
•Path Name (názov cesty) nastavený v konektore poskytovateľa identity ESA (konektor IdP ESA >): test
Odkazy na príklady konfigurácie nižšie: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
Poskytovatelia identity
OpenAM
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.V sekcii Original Identity Provider > Configuration from the original Identity Provider nastavte Metadata URL na
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN> je potrebné nahradiť názvom domény, ktorý ste zadali pri vytváraní hostiteľského IdP v konzole OpenAM.
3.Ak sú v pokročilých nastaveniach konfigurácie konektora IdP ESA označené možnosti Validate original Identity Provider certificate a Check original Identity Provider Certificate revocation, podpisový certifikát OpenAM musí byť nastavený ako dôveryhodný na počítači, kde je nainštalovaný ESA IdP Connector (napr. pridaním do Trusted People).
Konfigurácia OpenAM
1.Prihláste sa do OpenAM.
2.V Realms vyberte doménu a označte možnosť Create SAML v2 Providers.
3.Kliknite na Register Remote Service Provider.
4.Zadajte URL adresu metadát získanú z ESA:
a.V ESA Web Console prejdite do časti Components > Identity Provider Connector > vyberte nakonfigurovaný konektor IdP > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL. V našom príklade je to: https://esa.test.local:44322/test/metadata/ToIdentityProvider.
5.V sekcii Circle of Trust:
a.Vyberte možnosť Add to existing.
b.Vyberte Existing Circle of Trust, kam patrí váš hostiteľský poskytovateľ identity.
6.Prejdite do časti Federation > Entity Providers> vyberte poskytovateľa identity, ktorý sa používa > Name ID Format.
7.Zadajte hodnotu pre Name ID Value Map v prípade, že tam žiadna nie je.
8.Importujte certifikáty ESA IdP Connector do OpenAM pomocou nástroja príkazového riadka.
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
V kóde vyššie musia byť časti <openam_keystore.jks>, <esa_signing_ceritificate> a <esa_decryption_ceritificate> nahradené zodpovedajúcou cestou vedúcou k ich umiestneniu.
Okta
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.V sekcii Original Identity Provider > Configuration from the original Identity Provider nastavte Metadata URL na URL adresu, ktorú získate z Okta po dokončení konfigurácie:
a.Prihláste sa do vytvorenej aplikácie Okta ako správca.
b.Prejdite na kartu Sign On, kliknite pravým tlačidlom na Identity Provider metadata v sekcii Settings a skopírujte adresu odkazu (umiestnenie odkazu).
3.Ak sú v pokročilých nastaveniach konfigurácie konektora IdP ESA označené možnosti Validate original Identity Provider certificate a Check original Identity Provider Certificate revocation, podpisový certifikát Okta musí byť nastavený ako dôveryhodný na počítači, kde je nainštalovaný ESA IdP Connector (napr. pridaním do Trusted People).
Konfigurácia Okta
1.Prihláste sa do služby Okta pomocou účtu správcu.
2.Prejdite do sekcie Applications > Applications.
3.Kliknite na Add Application a potom na Create New App.
4.Pre Platform vyberte možnosť Web a pre Sign on method nastavte možnosť SAML 2.0.
5.Kliknite na Create.
6.Počas konfigurácie aplikácie:
a. Single sign on URL – k URL adrese sa dostanete v ESA Web Console počas konfigurácie konektora IdP ESA:
i. Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. V našom príklade je to:
https://esa.test.local:44322/test/Auth/LoginResponse
b.Audience URI (SP Entity ID) – k potrebnej hodnote sa dostanete v ESA Web Console počas konfigurácie konektora IdP ESA:
i.Original Identity Provider > Configuration to the Original Identity Provider > Identifier. V našom príklade je to:
https://esa.test.local:44322/test/
c.V sekcii SAML Settings vyberte Email pre Application username.
Azure AD
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.V sekcii Original Identity Provider > Configuration from the original Identity Provider nastavte Metadata URL na URL adresu, ktorú získate z Azure po dokončení konfigurácie:
a.V portáli Azure prejdite do Azure Active Directory > Enterprise applications a vyberte aplikáciu zo zoznamu.
b.Kliknite na Single sign-on a skopírujte URL adresu z poľa App Federation Metadata URL v sekcii SAML Signing Certificate.
3.Ak sú v pokročilých nastaveniach konfigurácie konektora IdP ESA označené možnosti Validate original Identity Provider certificate a Check original Identity Provider Certificate revocation, podpisový certifikát Azure musí byť nastavený ako dôveryhodný na počítači, kde je nainštalovaný ESA IdP Connector (napr. pridaním do Trusted People). Podpisový certifikát Azure si môžete stiahnuť z portálu Azure:
a.Prejdite do Azure Active Directory > Enterprise applications > vyberte aplikáciu, pre ktorú ste nakonfigurovali jednorazové prihlásenie > Single sign-on.
b.V sekcii SAMLE Signing Certificate kliknite na Download vedľa položky Certificate (Raw).
Konfigurácia Azure AD
1.Prihláste sa do portálu Azure.
2.Prejdite do Azure Active Directory > Enterprise applications > New Application.
3.Kliknite na Non-gallery application.
4.V sekcii Single sign-on nastavte nasledujúce polia podľa údajov získaných počas konfigurácie konektora IdP ESA:
a.Identifier (Entity ID) – použite hodnotu z Original Identity Provider > Configuration to the Original Identity Provider > Identifier. V našom príklade je to:
https://esa.test.local:44322/test
b.Reply URL (Assertion Consumer Service URL), Sign on URL – použite hodnotu z Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. V našom príklade je to:
https://esa.test.local:44322/test/Auth/LoginResponse
c.Logout URL – použite hodnotu z Original Identity Provider > Configuration to the Original Identity Provider > Logout URL. V našom príklade je to:
https://esa.test.local:44322/test/Auth/LogoutResponse
AD FS
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.V sekcii Original Identity Provider > Configuration from the original Identity Provider nastavte Metadata URL na
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
kde <AD FS_FQDN> musí byť nahradené názvom domény vášho AD FS servera.
3.Ak sú v pokročilých nastaveniach konfigurácie IdP ESA označené možnosti Validate original Identity Provider certificate a Check original Identity Provider Certificate revocation, podpisový certifikát AD FS musí byť nastavený ako dôveryhodný na počítači, kde je nainštalovaný ESA IdP Connector (napr. pridaním do Trusted People).
Konfigurácia AD FS
1.Spustite AD FS Management.
2.Kliknite na Trust Relationships > Relying Party Trusts > Add relying Party Trust.
3.Vyberte Claims Aware a kliknite na Start.
4.Vyberte možnosť Import data about the relying party published online or on a local network a do poľa Federation metadata address (host name URL) zadajte URL adresu metadát získanú z ESA IdP Connector:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
5.Dokončite konfiguráciu.
6.Po kliknutí na možnosť Close na stránke Finish sa automaticky otvorí okno Edit Claim Rules.
7.Prejdite na kartu Issuance Transform Rules a kliknite na Add Rule.
8.V časti Claim rule template vyberte možnosť Send LDAP Attributes as Claims a kliknite na Next.
9.V časti Attribute store vyberte možnosť Active Directory.
10.Vyberte User-Principal-Name pre LDAP Attribute a Name ID pre Outgoing Claim.
11.Kliknite na Finish a potom kliknite na OK v okne Edit Claim Rules.
12.Použite nasledujúcu konfiguráciu cez PowerShell:
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
V kóde vyššie nahraďte <relying_party_name> názvom dôveryhodnej priestupnej organizácie (Relying Party Trust), ktorú ste nakonfigurovali v predchádzajúcich krokoch.
13.Stiahnite si certifikáty z ESA IdP Connector zo sekcie Original Identity Provider > Configuration from the original Identity Provider a importujte ich do úložiska certifikátov Windows, aby boli dôveryhodné.
Shibboleth
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.V sekcii Original Identity Provider > Configuration from the original Identity Provider nastavte Metadata URL na
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
v prípade, že ESA IdP Connector je nainštalovaný na rovnakom počítači ako Shibboleth. V opačnom prípade skopírujte Shibboleth súbor idp-metadata.xml do počítača, na ktorom je nainštalovaný ESA IdP Connector, a použite danú cestu.
3.Ak sú v pokročilých nastaveniach konfigurácie konektora IdP ESA označené možnosti Validate original Identity Provider certificate a Check original Identity Provider Certificate revocation, podpisový certifikát Shibboleth (predvolene umiestnený tu: C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt) musí byť nastavený ako dôveryhodný na počítači, kde je nainštalovaný ESA IdP Connector (napr. pridaním do Trusted People).
Konfigurácia Shibboleth
1.Z URL adresy nachádzajúcej sa v ESA IdP Connector stiahnite metadátový súbor ESA IdP Connector:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
b.Uložte ho na počítač, kde je nainštalovaný Shibboleth, a nastavte cestu k jeho umiestneniu v "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
V kóde vyššie odkazuje <metadata_xml_file_from_esa> na cestu k stiahnutému metadátovému súboru ESA IdP Connector.
2.Odošlite dáta cez Shibboleth, ktoré identifikujú používateľa, v e-mailovom formáte ako hodnotu parametra NameID. Napríklad, e-mailový LDAP atribút:
a.Pre shibboleth.SAML2NameIDGenerators definujte v „C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml“:
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
b.Do "C:\Program Files (x86) \Shibboleth\IdP\conf\saml-NAMEID.properties" pridajte:
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.V sekcii Original Identity Provider > Configuration from the original Identity Provider nastavte Metadata URL na
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
a v URL adrese vyššie nahraďte <keycloak> názvom domény (a portom) svojej Keycloak inštancie. Položku <realm> nahraďte zodpovedajúcim názvom domény.
3.Ak sú v pokročilých nastaveniach konfigurácie konektora IdP ESA označené možnosti Validate original Identity Provider certificate a Check original Identity Provider Certificate revocation, podpisový certifikát Keycloak musí byť nastavený ako dôveryhodný na počítači, kde je nainštalovaný ESA IdP Connector (napr. pridaním do Trusted People).
Konfigurácia Keycloak
1.Z ESA Web Console si stiahnite metadáta ESA IdP Connector v podobe súboru XML:
a.V prehliadači otvorte URL adresu metadát, ktorá sa nachádza v sekcii Components > Identity Provider Connector > vyberte nakonfigurovaný konektor IdP > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL.
b.Stlačte CTRL + S, v ponuke Save as type vyberte XML, ak je k dispozícii, a kliknite na Save.
2.Prihláste sa do konzoly správcu Keycloak.
3.Kliknite na Clients > Create.
4.Vedľa položky Import kliknite na Select file a vyhľadajte metadátový súbor .xml, ktorý ste stiahli v kroku č. 1.
5.Z ponuky Client Protocol vyberte možnosť SAML.
6.Vyplňte zvyšné polia a kliknite na Save.
7.Na karte Settings vytvoreného klienta vypnite možnosť Sign Assertions.
8.V časti Name ID Format vyberte možnosť email.
Poskytovatelia služieb
Dropbox
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.Po pridaní poskytovateľa služieb vyberte v sekcii Configuration from the Service Provider možnosť Configure manually.
3.Do poľa Issuer zadajte http://Dropbox.
4.Nastavte Single Sign-on Destination na https://www.dropbox.com/saml_login.
5.Skopírujte údaje z polí Sign-on URL, Logout URL do textového súboru a exportujte Singing Certificate na neskoršie použitie, keď budete konfigurovať svojho poskytovateľa služby.
6.V sekcii Advanced Security Settings zrušte označenie možnosti Check signature of requests from the Service Provider.
Konfigurácia Dropbox
1.Prihláste sa do Dropbox ako správca.
2.Prejdite do Settings > Single sign-on.
3.Do poľa Sign-in URL zadajte údaj zo Sign-on URL, ktorý ste skopírovali z nakonfigurovaného ESA IdP Connector.
4.Do poľa Sign-in URL zadajte údaj z Logout URL, ktorý ste skopírovali z nakonfigurovaného ESA IdP Connector.
5.Do poľa X.509 Certificate importujte podpisový certifikát, ktorý ste už exportovali z nakonfigurovaného ESA IdP Connector.
Confluence
Konfigurácia ESA IdP Connector
1.Postupujte podľa všeobecných inštrukcií v kapitole Konfigurácia konektora poskytovateľa identity v ESA Web Console.
2.Po pridaní poskytovateľa služieb vyberte v sekcii Configuration from the Service Provider možnosť Configure manually.
3.Do poľa Issuer zadajte URL adresu, ktorá sa nachádza v konzole správcu Confluence v časti SAML Authentication > Audience URL (Entity ID).
4.Do poľa Single Sign-on Destination zadajte URL adresu, ktorá sa nachádza v konzole správcu Confluence v časti SAML Authentication > Assertion Consumer Service URL.
5.Skopírujte údaje z polí Identifier, Sign-on URL do textového súboru a exportujte Singing Certificate na neskoršie použitie, keď budete konfigurovať svojho poskytovateľa služby.
6.V sekcii Advanced Security Settings zrušte označenie možnosti Check signature of requests from the Service Provider.
Konfigurácia Confluence
1.Prihláste sa do Confluence ako správca.
2.Kliknite na SAML Authentication.
3.V sekcii SAML SSO 2.0 settings:
a.Do poľa Single sing-on Issuer zadajte údaj z poľa Identifier, ktorý ste skopírovali z nakonfigurovaného ESA IdP Connector.
b.Do poľa Identity provider single sign-on URL zadajte údaj zo Sign-on URL, ktorý ste skopírovali z ESA IdP Connector.
c.Do poľa X.509 Certificate vložte obsah podpisového certifikátu, ktorý ste exportovali z ESA IdP Connector.