SAML Identitätsanbieter im Jitterbit App Builder
Die SAML Single Sign-On (SSO)-Authentifizierung ist in den folgenden Dokumenten definiert:
- Assertions und Protokolle für die OASIS Security Assertion Markup Language (SAML) V2.0
- SAML Version 2.0 Errata 05
In einem SSO-Szenario gibt es drei Rollen:
- Principal - Der Benutzer, der auf einen eingeschränkten Dienst zugreift.
- Service Provider (SP) - Bietet Zugriff auf eingeschränkte Dienste.
- Identity Provider (IdP) - Authentifiziert Benutzer.
App Builder kann entweder als SP oder IdP mit dem entsprechenden Sicherheitsanbieter konfiguriert werden. Dieses Dokument behandelt den Sicherheitsanbieter SAML IdP. Der Sicherheitsanbieter SAML IdP authentifiziert Benutzer im Namen eines Drittpartei-SP. Normalerweise ist der Drittpartei eine weitere Instanz von App Builder.
Informationen zur SP Rolle finden Sie in SAML Sicherheitsanbieter.
Flüsse
Die SAML Single Sign-On (SSO)-Spezifikation definiert mehrere Flows. Der SAML IdP-Sicherheitsanbieter unterstützt die folgenden SAML SSO-Flows:
- Service Provider (SP) initiiert
- Identity Provider (IdP) initiiert
Vom Serviceprovider (SP) initiiert
Im vom Service Provider (SP) initiierten Flow navigiert ein Benutzer zu einem Drittpartei und versucht, auf eine eingeschränkte Ressource zuzugreifen. Der Drittpartei leitet den Benutzer weiter zu App Builder über die SAML Redirect-Bindung (HTTP GET). Wenn der Benutzer sich noch nicht authentifiziert hat, App Builder leitet den Benutzer zum Anmeldeformular weiter.
Sobald der Benutzer sich authentifiziert hat, App Builder leitet den Benutzer mithilfe der SAML Post-Bindung (HTTP) zurück zum Drittpartei POST). Der Drittpartei validiert die SAML Antwort, ordnet die Namenskennung einem lokalen Benutzerkonto zu und gewährt die mit diesem Benutzerkonto verbundenen Rechte.
Im SP Initialted-Flow zeichnet der Drittpartei normalerweise die URL auf, auf die der Benutzer vor der Weiterleitung zugreifen wollte. Sobald der SAML SSO-Prozess abgeschlossen ist, leitet der SP den Benutzer zu dieser URL weiter. Dadurch werden Deep Links aktiviert.
Identitätsanbieter (IdP) initiiert
Im vom Identity Provider (IdP) initiierten Ablauf folgt ein Benutzer einem Link zum Single Sign-On Service. Wenn der Benutzer sich noch nicht authentifiziert hat, App Builder leitet den Benutzer zum Anmeldeformular weiter.
Sobald der Benutzer sich authentifiziert hat, App Builder leitet den Benutzer mithilfe der SAML Post-Bindung (HTTP) zurück zum Drittpartei POST). Wie beim SP-initiierten Flow validiert der Drittpartei die SAML Antwort, ordnet den Namensbezeichner einem lokalen Benutzerkonto zu und gewährt die mit diesem Benutzerkonto verbundenen Rechte.
Da der IdP-Flow nicht vom Drittpartei SP initiiert wird, wird der Benutzer nach Abschluss des SAML -SSO-Prozesses normalerweise auf eine Standardseite umgeleitet. Einige SPs erlauben dem IdP jedoch, den Benutzer an einen beliebigen Ort umzuleiten, indem eine URL im Parameter RelayState übergeben wird.
Konfiguration
Token
- Aussteller: Herausgeber der SAML Assertion.
- Zielgruppe: SAML -Assertion-Zielgruppenbeschränkung. Der Wert muss eine syntaktisch gültige URI sein.
- Empfänger: SAML Assertion-Empfänger. Der Wert muss eine syntaktisch gültige URI sein. Standardmäßig der Assertion Consumer Service.
- Entitäts-ID: SAML Entitätskennung. Der Wert muss eine syntaktisch gültige URI sein. Standardmäßig der Aussteller.
- Betreff: SAML Namens-ID. Standardmäßig der aktuelle Benutzername.
Endpoints
| Typ | Beschreibung |
|---|---|
| Assertion Consumer Service | Endpoint eines Drittanbieter-Serviceproviders (SP), der SAML Antwortnachrichten (SAMLResponse) empfängt. |
| Single Sign-On-Dienst | Endpoint, der Nachrichten zu Authentifizierungsanforderungen (AuthNRequest) empfängt. Standardmäßig basierend auf der aktuellen URL. Siehe Single Sign-On-Dienst weiter unten. |
Zertifikate
| Zweck | Typ | Format | Beschreibung |
|---|---|---|---|
| Signieren | X.509-Zertifikat mit privatem Schlüssel | PKCS#12 (PFX), passwortgeschützt, base64-codiert | X.509-Zertifikat mit privatem Schlüssel. Wird zum Signieren der SAML Single Sign-On (SSO)-Antwort verwendet. |
Wie oben erwähnt, App Builder erfordert ein base64-kodiertes PKCS#12-Signaturzertifikat mit privatem Schlüssel. Der Vorgang zum Generieren eines Zertifikats liegt außerhalb des Umfangs dieses Dokuments. Zur Veranschaulichung zeigen die folgenden Befehle jedoch, wie mit dem OpenSSL-Befehlszeilenprogramm ein kompatibles Zertifikat generiert wird.
Der folgende Befehl generiert einen privaten Schlüssel (key.pem) und selbstsigniertes Zertifikat (cert.pem):
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -days 1095 -subj "/CN=localhost/O=App Builder"
Der folgende Befehl generiert ein PKCS#12-Archiv (cert.pfx) mit dem privaten Schlüssel und dem Zertifikat:
$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
Sie werden aufgefordert, ein Passwort einzugeben. App Builder muss dieses Passwort kennen, um den privaten Schlüssel zu entschlüsseln.
Abschließend kodiert der folgende Befehl das PKCS#12-Archiv base64-kodiert:
$ openssl base64 -in cert.pfx -out cert.txt-A
Kopieren und einfügen Sie den Inhalt von cert.txt hinein App Builder.
Eigenschaften
Der SAML IdP-Sicherheitsanbieter definiert die folgenden zusätzlichen Parameter:
| Parameter | Standard | Beschreibung |
|---|---|---|
| AllowRelayStatePassthrough | False | Gibt an, ob beliebige vom Client empfangene RelayState-Werte an den SAML -Dienstanbieter (SP) weitergegeben werden sollen. Beachten Sie, dass dies nur für eine vom Identitätsanbieter (IdP) initiierte Anmeldung gilt: Bei einer vom SP initiierten Anmeldung bestimmt der SP den Wert des RelayState-Parameters. Standardmäßig gibt der SAML -IdP den RelayState-Wert nicht an den SP weiter. Eingestellt auf True um die Weitergabe von RelayState-Werten an den SP zu ermöglichen. |
| CacheDuration | Dauer des SAML -IdP-Metadaten-Cache in Sekunden. | |
| RelayState | Wert, der im Parameter RelayState an den SAML -Dienstanbieter (SP) übergeben wird. Beachten Sie, dass dies nur für eine vom Identitätsanbieter (IdP) initiierte Anmeldung gilt: Bei einer vom SP initiierten Anmeldung bestimmt der SP den Wert des Parameters RelayState. Akzeptable Werte variieren je nach Implementierung. Einige SAML SP-Implementierungen akzeptieren eine Umleitungs-URI. | |
| ValidUntil | Ablaufdatum der SAML IdP-Metadaten. Erwartet ein Datum im ISO 8601-Format wie:
|
Ansprüche
Der SAML IdP-Sicherheitsanbieter ordnet Benutzereigenschaften Ansprüchen zu. Die Ansprüche werden als Attribute in die SAML Assertion eingebettet. Der Attributname entspricht der Anspruchskennung.
Wenn beispielsweise die Eigenschaft Name dem Anspruchsbezeichner zugeordnet wurde http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name würde die SAML Assertion das folgende Attribut enthalten:
<Attribute AttributeName="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
<AttributeValue>Arthur.Dent</AttributeValue>
</Attribute>
Mit der Eigenschaft Group können Sie die Mitgliedschaft in einer Sicherheitsgruppe weitergeben. Standardmäßig enthalten SAML -Assertionen keine Gruppen. Sie müssen die Gruppen, die enthalten sein sollen, explizit registrieren.
Um die Gruppenmitgliedschaft einzuschließen, erstellen Sie eine Sicherheitsanbietergruppe und ordnen Sie sie zu an App Builder Gruppe. Wenn der Benutzer Mitglied der App Builder Gruppe, die Sicherheitsanbietergruppe wird der Behauptung hinzugefügt. Die Kennung der Sicherheitsanbietergruppe wird verwendet. Wenn die Kennung null ist, wird der Name verwendet.
Integration
Der SAML IdP-Sicherheitsanbieter stellt die folgenden Endpoints bereit:
Single Sign-On-Dienst - Metadaten-Endpoint
Single-Sign-On-Dienst
Der Single Sign-On-Dienst empfängt SAML Anforderungsnachrichten (AuthNRequest). Die Single Sign-On-Dienst-URL hat folgende Form:
https://example.com/App Builder/signin-SAMLIDP
Die URL besteht aus folgenden Teilen:
| Komponente | Beschreibung |
|---|---|
| https://example.com/App Builder/ | Absolute URL der App Builder Stammverzeichnis der Anwendung. |
| SAMLIDP | URL-codierter Name des SAML IdP-Sicherheitsanbieters. Bei dem Wert muss die Groß-/Kleinschreibung beachtet werden. |
Endpoint
Der Endpoint veröffentlicht ein Metadatendokument (Metadaten). Die URL des Endpoint hat folgende Form:
https://example.com/App Builder/metadata-SAMLIDP
Die URL besteht aus folgenden Teilen:
| Komponente | Beschreibung |
|---|---|
| https://example.com/App Builder/ | Absolute URL der App Builder Stammverzeichnis der Anwendung. |
| SAMLIDP | URL-codierter Name des SAML IdP-Sicherheitsanbieters. Bei dem Wert muss die Groß-/Kleinschreibung beachtet werden. |
Bekannte Probleme und Einschränkungen
Der App Builder Für den SAML -IdP-Sicherheitsanbieter gelten die folgenden Einschränkungen:
- Es darf nur eine einzige Zielgruppenbeschränkung angegeben werden.
- SAML Antworten sind möglicherweise nicht verschlüsselt.
- SAML -Antworten dürfen nicht signiert werden.
- SAML Assertionen sind immer signiert.
- Das Artefaktauflösungsprotokoll wird nicht unterstützt.
- Das Logout-Protokoll wird nicht unterstützt.