2. Hilfe
  3. Integration
  4. SAML-Login

SAML-Login

SAML-Login für Portale konfigurieren

Um Ihre lokalen Nutzer für die Authentifizierung in Ihren OXOMI-Portalen zu verwenden benötigen Sie das Upgrade "SAML-Login". Damit können Sie beim Portal alle nötigen Einstellungen vornehmen. Kenntnisse von SAML (Security Assertion Markup Language) und Active Directory werden vorausgesetzt.

Im OXOMI-Backend müssen SAML-Antragssteller, der zugehörige Index, die SAML-URL, der SAML-Provider Name, der SAML-Fingerprint und ein frei wählbarer Text für den Login-Button für lokale Nutzer angegeben werden:

Portal Einstellungen

Konfigurationsschritte in ADFS

Die passenden Einstellungen dazu müssen wiederum in ADFS (Active Directory Federation Services) vorgenommen werden, dort gehen Sie so vor:

Vertrauensstellung der vertrauenden Seite

Begeben Sie sich zu den "Vertrauensstellungen der vertrauenden Seite" (englisch: Standard Relying Party Trust) und wählen Sie rechts "Vertrauensstellung der vertrauenden Seite hinzufügen".

Vertrauensstellung der vertrauenden Seite hinzufügen

Wählen Sie nun "Ansprüche unterstützend".

Datenquelle auswählen

Im nächsten Fenster "Datenquelle auswählen" die manuelle Dateneingabe auswählen.

Anzeigename angeben

Als nächstes geben Sie einen Namen ein, mit dem Sie die Einstellungen auch in Zukunft wiedererkennen.

Zertifikat konfigurieren

Die folgenden Einstellungen zum Zertifikat können übersprungen werden.

URL Konfigurieren

In der URL-Konfiguration wählen Sie die Option zur Unterstützung von SAML 2.0. Dort ist die URL https://oxomi.com/saml/<PORTAL-CODE> zu hinterlegen. <PORTAL-CODE> muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/ folgt Ihr Code (bspw. hat unser Portal: https://oxomi.com/p/125/search den Code 125).

Wichtig: Es muss https genutzt werden, nicht http.

Bezeichner konfigurieren

Fügen Sie nun einen Bezeichner mit beliebigem Namen hinzu – dieser wird in OXOMI in das Feld "SAML-Antragssteller" eingetragen.

Zugriffssteuerungsrichtlinie auswählen

Die Zugriffssteuerungsrichtlinie können Sie nach eigenen Wünschen wählen.

Einstellungen überprüfen

Anschließend können Sie Ihre Einstellungen nochmals überprüfen. Nach der Fertigstellung wählen Sie "Anspruchausstellungsrichtlinie bearbeiten":

LDAP als Regelvorlage auswählen

Wählen Sie hier "LDAP-Attribute als Ansprüche senden".

LDAP Regel konfigurieren

Wählen Sie nun das Attribut, welches als Portalbenutzername der Nutzer in OXOMI fungieren soll. Es empfiehlt sich z.B. die E-Mail-Adresse. Optional können nun noch eine oder mehrere Regeln erstellt werden, um Attribute direkt als  Portalrollen festzulegen:

Gruppenmitlgliedschaft als Anspruch senden als Regelvorlage auswählen

Dafür wird die Vorlage "Gruppenmitgliedschaft als Anspruch senden" gewählt.

Gruppenmitlgliedschaft als Anspruch senden Regel konfigurieren

Wählen Sie die LDAP-Gruppe und definieren Sie als Typ "Gruppe". Bei "Wert des ausgehenden Anspruchs" werden eine oder mehrere Portalrollen (kommagetrennt) angegeben.

Der "SAML-Fingerprint" des Zertifikats kann mit dem PowerShell Befehl "Get-ADFSCertificate" ausgelesen werden. Relevant ist der Fingerprint des "Token-Signing"-Zertifikats.

Konfigurationsschritte in Azure AD

Im Azure Portal muss eine "enterprise application" angelegt werden. Hierzu muss Create your own application verwendet werden. Azure AD enterprise application

Nach dem Anlegen der neuen Enterprise Application wird der Menüeintrag "Single sign-on" ausgewählt. Auf dieser Seite wird "SAML" aktiviert, danach werden die SAML Einstellungen angezeigt.

Unter Punkt 1, "Basic SAML Configuration" wird der Punkt "Edit" angeklickt.

Unter "Reply URL" muss die URL zu OXOMI eingetragen werden. Diese lautet https://oxomi.com/saml/<PORTAL-CODE>.
<PORTAL-CODE> muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/ folgt Ihr Code (bspw. hat unser Portal: https://oxomi.com/p/125/search den Code 125).

Im OXOMI Backend unter dem Portal den Menüpünkt "SAML 2.0" anklicken. Hier müssen die Werte aus dem Azure AD Portal übernommen und im OXOMI Backend gespeichert werden.

OXOMI Portal Einstellung Azure AD Hinweis
SAML-Antragssteller Punkt 1 / Identifier (Entity ID)
SAML-Antragssteller Index 0 Bei Azure AD muss der Wert immer auf 0 gesetzt werden!
SAML-URL Punkt 4 / Login URL
SAML-Provider Name Punkt 4 / Azure AD Identifier
SAML-Fingerprint Punkt 3 / Thumbprint

Im Azure AD Portal unter dem Punkt "Users and groups" müssen noch Benutzer oder Gruppen hinterlegt werden, die einen Zugriff auf das Portal erhalten sollen.

Konfigurationsschritte in Azure AD - Portalrollen

Es können  Portalrollen auch mit Azure AD an OXOMI übergeben werden. Hierzu werden wir in der Anleitung eine Rolle "scireum" im OXOMI Portal anlegen und verwenden: OXOMI Portalrollen

Im Azure AD muss der Menüpunkt App registrations aufgerufen werden.
Über den Reiter "All applications" wird die enterprise Application "OXOMI Test-Portal" angezeigt, mit einem Mausklick wird diese geöffnet.
Unter dem Menüpunkt "App roles" kann unter "Create app role" eine neue Rolle angelegt werden. Azure AD App roles Der Value ist der Name der Rolle im OXOMI Portal.

Nach dem Speichern der App role muss im Azure AD Portal wieder zurück auf die Detailansicht der Enterprise Application gewechselt werden.

Unter dem Menüpunkt "Users and groups" kann eine neue Gruppe der Enterprise Application eingerichtet werden.
Beim Hinzufügen der Gruppe kann auch sofort die App Role ausgewählt werden.
Mit dieser Funktion werden Azure AD Gruppen auf OXOMI Portalrollennamen übertragen.

Nach dem Speichern zeigt Azure AD folgende Gruppen mit Rollen an: Azure AD App roles

Übernahme der ADFS Benutzerdaten ins OXOMI Portal

Es besteht die Möglichkeit die Daten der Benutzer vom ADFS bzw Azure AD in das OXOMI Portal zu übernehmen.

Damit die Daten von OXOMI übernommen werden, muss in der Portalkonfiguration im OXOMI die Einstellung (unter "Profile") "Automatisch Portal-Benutzer anlegen/aktualisieren" aktiviert werden.

Die weitere Konfiguration erfolgt im AzureAD oder im ADFS unter Attribute & Ansprüche

Namespace Name OXOMI Portal Benutzer
http://schemas.xmlsoap.org/ws/2005/05/identity/claims gender Anrede (Integer Wert, 1 = Herr, 2 = Frau)
http://schemas.xmlsoap.org/ws/2005/05/identity/claims givenname Vorname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims surname Nachname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims emailaddress E-Mail
http://schemas.xmlsoap.org/ws/2005/05/identity/claims streetaddress Straße
http://schemas.xmlsoap.org/ws/2005/05/identity/claims locality Stadt
http://schemas.xmlsoap.org/ws/2005/05/identity/claims postalcode Postleitzahl
http://schemas.xmlsoap.org/ws/2005/05/identity/claims country Land
http://schemas.xmlsoap.org/ws/2005/05/identity/claims companyname Firmenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims department Abteilung
http://schemas.xmlsoap.org/ws/2005/05/identity/claims telephonenumber Telefon
http://schemas.xmlsoap.org/ws/2005/05/identity/claims facsimiletelephonenumber Fax

Konfigurationsbeispiel AzureAD AzureAD Atttribute Mapping

Zurück zur Übersicht
OXOMI - Made with Love by scireum in Remshalden Hilfesystem
Zur englischen Version des Hilfesystems scireum-rz3-prod-oxomi-2