Um Ihre lokalen Nutzer für die Authentifizierung in Ihren OXOMI-Portalen zu verwenden benötigen Sie das Upgrade "SAML-Login". Damit können Sie beim Portal alle nötigen Einstellungen vornehmen. Kenntnisse von SAML (Security Assertion Markup Language) und Active Directory werden vorausgesetzt.
Im OXOMI-Backend müssen SAML-Antragssteller, der zugehörige Index, die SAML-URL, der SAML-Provider Name, der SAML-Fingerprint und ein frei wählbarer Text für den Login-Button für lokale Nutzer angegeben werden:
Die passenden Einstellungen dazu müssen wiederum in ADFS (Active Directory Federation Services) vorgenommen werden, dort gehen Sie so vor:
Begeben Sie sich zu den "Vertrauensstellungen der vertrauenden Seite" (englisch: Standard Relying Party Trust) und wählen Sie rechts "Vertrauensstellung der vertrauenden Seite hinzufügen".
Wählen Sie nun "Ansprüche unterstützend".
Im nächsten Fenster "Datenquelle auswählen" die manuelle Dateneingabe auswählen.
Als nächstes geben Sie einen Namen ein, mit dem Sie die Einstellungen auch in Zukunft wiedererkennen.
Die folgenden Einstellungen zum Zertifikat können übersprungen werden.
In der URL-Konfiguration wählen Sie die Option zur Unterstützung von SAML 2.0. Dort ist die URL
https://oxomi.com/saml/<PORTAL-CODE>
zu hinterlegen.
<PORTAL-CODE>
muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der
URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/
folgt Ihr Code (bspw. hat unser
Portal:
https://oxomi.com/p/125/search
den Code 125
).
Wichtig: Es muss https
genutzt werden, nicht http
.
Fügen Sie nun einen Bezeichner mit beliebigem Namen hinzu – dieser wird in OXOMI in das Feld "SAML-Antragssteller" eingetragen.
Die Zugriffssteuerungsrichtlinie können Sie nach eigenen Wünschen wählen.
Anschließend können Sie Ihre Einstellungen nochmals überprüfen. Nach der Fertigstellung wählen Sie "Anspruchausstellungsrichtlinie bearbeiten":
Wählen Sie hier "LDAP-Attribute als Ansprüche senden".
Wählen Sie nun das Attribut, welches als Portalbenutzername der Nutzer in OXOMI fungieren soll. Es empfiehlt sich z.B. die E-Mail-Adresse. Optional können nun noch eine oder mehrere Regeln erstellt werden, um Attribute direkt als Portalrollen festzulegen:
Dafür wird die Vorlage "Gruppenmitgliedschaft als Anspruch senden" gewählt.
Wählen Sie die LDAP-Gruppe und definieren Sie als Typ "Gruppe". Bei "Wert des ausgehenden Anspruchs" werden eine oder mehrere Portalrollen (kommagetrennt) angegeben.
Der "SAML-Fingerprint" des Zertifikats kann mit dem PowerShell Befehl "Get-ADFSCertificate" ausgelesen werden. Relevant ist der Fingerprint des "Token-Signing"-Zertifikats.
Im Azure Portal muss für OXOMI ein Single sign-on (SAML-based) konfiguriert werden. Als Besonderheit für eine Integration von Azure AD muss der SAML-Antragssteller-Index in der OXOMI SAML Portalkonfiguration auf 0 gesetzt werden.
Unter dem Punkt "Basic SAML Configuration" im Azure Portal müssen drei Einstellungen gesetzt werden:
Der Identifier (Entity ID) Wert muss dem Feld SAML-Antragssteller im Portal entsprechen.
Das Feld Reply URL und das Feld Sign on URL muss die Portal-Adresse enthalten.
Als Portal-Adresse ist
https://oxomi.com/saml/<PORTAL-CODE>
zu hinterlegen.
<PORTAL-CODE>
muss dabei mit dem Code Ihres Portales ersetzt werden. Diesen entnehmen Sie der
URL, mit der Sie Ihr Portal erreichen – hinter https://oxomi.com/p/
folgt Ihr Code (bspw. hat unser
Portal:
https://oxomi.com/p/125/search
den Code 125
).
Wichtig: Es muss https
genutzt werden, nicht http
.
Unter dem Punkt "SAML Signing Certificate" im Azure Portal muss der Wert von Thumbprint entnommen, und in der OXOMI SAML-Portalkonfiguration in dem Feld "SAML-Fingerprint" hinterlegt werden.
Unter dem Punkt "You'll need to configure the application to link with Azure AD" im Azure Portal muss der Wert von Login URL entnommen, und in der OXOMI SAML-Portalkonfiguration in dem Feld "SAML-URL" hinterlegt werden.
Unter dem Punkt "You'll need to configure the application to link with Azure AD" im Azure Portal muss der Wert von Azure ID Identifier URL entnommen, und in der OXOMI SAML Portalkonfiguration in dem Feld "SAML-Provider Name" hinterlegt werden.