SAML-Login

SAML-Login für Portale konfigurieren

Um Ihre lokalen Nutzer für die Authentifizierung in Ihren OXOMI-Portalen zu verwenden benötigen Sie das Upgrade "SAML-Login". Damit können Sie beim Portal alle nötigen Einstellungen vornehmen. Kenntnisse von SAML (Security Assertion Markup Language) und Active Directory werden vorausgesetzt.

Im OXOMI-Backend müssen SAML-Antragssteller, der zugehörige Index, die SAML-URL, der SAML-Provider Name, der SAML-Fingerprint und ein frei wählbarer Text für den Login-Button für lokale Nutzer angegeben werden:

Portal Einstellungen

Konfigurationsschritte in ADFS

Die passenden Einstellungen dazu müssen wiederum in ADFS (Active Directory Federation Services) vorgenommen werden, dort gehen Sie so vor:

Vertrauensstellung der vertrauenden Seite

Begeben Sie sich zu den "Vertrauensstellungen der vertrauenden Seite" (englisch: Standard Relying Party Trust) und wählen Sie rechts "Vertrauensstellung der vertrauenden Seite hinzufügen".

Vertrauensstellung der vertrauenden Seite hinzufügen

Wählen Sie nun "Ansprüche unterstützend".

Datenquelle auswählen

Im nächsten Fenster "Datenquelle auswählen" die manuelle Dateneingabe auswählen.

Anzeigename angeben

Als nächstes geben Sie einen Namen ein, mit dem Sie die Einstellungen auch in Zukunft wiedererkennen.

Zertifikat konfigurieren

Die folgenden Einstellungen zum Zertifikat können übersprungen werden.

URL Konfigurieren

In der URL-Konfiguration wählen Sie die Option zur Unterstützung von SAML 2.0. Dort ist die URL https://oxomi.com/saml/<PORTAL-CODE> zu hinterlegen. <PORTAL-CODE> muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/ folgt Ihr Code (bspw. hat unser Portal: https://oxomi.com/p/125/search den Code 125).

Wichtig: Es muss https genutzt werden, nicht http.

Bezeichner konfigurieren

Fügen Sie nun einen Bezeichner mit beliebigem Namen hinzu – dieser wird in OXOMI in das Feld "SAML-Antragssteller" eingetragen.

Zugriffssteuerungsrichtlinie auswählen

Die Zugriffssteuerungsrichtlinie können Sie nach eigenen Wünschen wählen.

Einstellungen überprüfen

Anschließend können Sie Ihre Einstellungen nochmals überprüfen. Nach der Fertigstellung wählen Sie "Anspruchausstellungsrichtlinie bearbeiten":

LDAP als Regelvorlage auswählen

Wählen Sie hier "LDAP-Attribute als Ansprüche senden".

LDAP Regel konfigurieren

Wählen Sie nun das Attribut, welches als Portalbenutzername der Nutzer in OXOMI fungieren soll. Es empfiehlt sich z.B. die E-Mail-Adresse. Optional können nun noch eine oder mehrere Regeln erstellt werden, um Attribute direkt als  Portalrollen festzulegen:

Gruppenmitlgliedschaft als Anspruch senden als Regelvorlage auswählen

Dafür wird die Vorlage "Gruppenmitgliedschaft als Anspruch senden" gewählt.

Gruppenmitlgliedschaft als Anspruch senden Regel konfigurieren

Wählen Sie die LDAP-Gruppe und definieren Sie als Typ "Gruppe". Bei "Wert des ausgehenden Anspruchs" werden eine oder mehrere Portalrollen (kommagetrennt) angegeben.

Der "SAML-Fingerprint" des Zertifikats kann mit dem PowerShell Befehl "Get-ADFSCertificate" ausgelesen werden. Relevant ist der Fingerprint des "Token-Signing"-Zertifikats.

Konfigurationsschritte in Azure AD

Im Azure Portal muss für OXOMI ein Single sign-on (SAML-based) konfiguriert werden. Als Besonderheit für eine Integration von Azure AD muss der SAML-Antragssteller-Index in der OXOMI SAML Portalkonfiguration auf 0 gesetzt werden.

Unter dem Punkt "Basic SAML Configuration" im Azure Portal müssen drei Einstellungen gesetzt werden:
Der Identifier (Entity ID) Wert muss dem Feld SAML-Antragssteller im Portal entsprechen.
Das Feld Reply URL und das Feld Sign on URL muss die Portal-Adresse enthalten.

Als Portal-Adresse ist https://oxomi.com/saml/<PORTAL-CODE> zu hinterlegen. <PORTAL-CODE> muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/ folgt Ihr Code (bspw. hat unser Portal: https://oxomi.com/p/125/search den Code 125).

Wichtig: Es muss https genutzt werden, nicht http.

Unter dem Punkt "SAML Signing Certificate" im Azure Portal muss der Wert von Thumbprint entnommen, und in der OXOMI SAML-Portalkonfiguration in dem Feld "SAML-Fingerprint" hinterlegt werden.

Unter dem Punkt "You'll need to configure the application to link with Azure AD" im Azure Portal muss der Wert von Login URL entnommen, und in der OXOMI SAML-Portalkonfiguration in dem Feld "SAML-URL" hinterlegt werden.

Unter dem Punkt "You'll need to configure the application to link with Azure AD" im Azure Portal muss der Wert von Azure ID Identifier URL entnommen, und in der OXOMI SAML Portalkonfiguration in dem Feld "SAML-Provider Name" hinterlegt werden.