Konfigurieren von App Builder als Identitätsanbieter im Jitterbit App Builder
App Builder kann sowohl als SAML -Dienstanbieter (SP) als auch als SAML Identitätsanbieter (IdP) fungieren. Dadurch kann eine Viny-Instanz (der IdP) Benutzer im Namen einer anderen Instanz (des SP) authentifizieren.
Dabei handelt es sich um vier Hauptaufgaben:
- Generieren Sie ein Signaturzertifikat.
- Erstellen Sie einen SAML IdP-Sicherheitsanbieter.
- Erstellen Sie einen SAML SP-Sicherheitsanbieter.
- Test
Diese Anweisungen basieren auf den folgenden Annahmen:
- Sie haben mindestens zwei Instanzen von App Builder.
- Sie haben Administratorzugriff auf jede App Builder Instanz.
Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:
| Beispiel | Hinweise | |
|---|---|---|
| App Builder IdP URL | https://idp.example.com/App Builder/ | Die Anwendungsstamm-URL der App Builder Instanz, die als IdP dient. Enthält den abschließenden Schrägstrich. |
| App Builder SP URL | https://sp.example.com/App Builder/ | Die Anwendungsstamm-URL der App Builder Instanz, die als SP dient. Enthält den abschließenden Schrägstrich. |
| Name des IdP-Sicherheitsanbieters | App BuilderIdP | Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Dieser Name wird im Request Redirect Endpoint verwendet (siehe unten). |
| Name des SP-Sicherheitsanbieters | App BuilderSP | Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Dieser Name wird in der URL des Assertion Consumer Service (ACS) verwendet (siehe unten). Dies ist der Name, den Benutzer im Anmeldeformular sehen. |
| Request Redirect Endpoint | https://idp.example.com/App Builder/signin-App BuilderIdP | App Builder stellt automatisch einen Request Redirect Endpoint für SAML IdP-Sicherheitsanbieter bereit. Beachten Sie, dass der Name des IdP-Sicherheitsanbieters (von oben) im Request Redirect Endpoint angezeigt wird. |
| URL des Assertion Consumer Service | https://sp.example.com/App Builder/signin-App BuilderSP | App Builder stellt automatisch einen Assertion Consumer Service (ACS) Endpoint für SAML SP-Sicherheitsanbieter bereit. Beachten Sie, dass der Name des SP-Sicherheitsanbieters im ACS- Endpoint angezeigt wird. |
Generieren eines Signaturzertifikats
Bei SAML Single Sign-On (SSO) wird Vertrauen durch die Signatur von Zertifikaten hergestellt. Der Prozess zum Erwerb eines Zertifikats liegt außerhalb des Rahmens dieses Dokuments. Zur Veranschaulichung zeigen die folgenden Befehle jedoch, wie Sie mit dem OpenSSL-Befehlszeilenprogramm ein kompatibles Zertifikat generieren.
Der folgende Befehl generiert einen PEM-codierten privaten Schlüssel (key.pem) und selbstsigniertes Zertifikat (cert.pem):
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -days 1095 -subj "/CN=idp.example.com/O=App BuilderIdP"
Sie benötigen den Inhalt des cert.pem Datei zum Konfigurieren des App Builder SP-Sicherheitsanbieters.
Der folgende Befehl generiert ein PKCS#12-Archiv (cert.pfx) mit privatem Schlüssel und Zertifikat:
$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
Sie werden aufgefordert, ein Kennwort einzugeben. Sie benötigen das Kennwort, um den App Builder IdP-Sicherheitsanbieter zu konfigurieren.
Schließlich kodiert der folgende Befehl das PKCS#12-Archiv base64:
$ openssl base64 -in cert.pfx -out cert.txt-A
Sie benötigen den Inhalt des cert.txt Datei zum Konfigurieren des App Builder IdP-Sicherheitsanbieters.
Erstellen eines SAML -IdP-Sicherheitsanbieters
Um einen SAML IdP-Sicherheitsanbieter zu erstellen, melden Sie sich zunächst bei der Instanz von App Builder an, die als IdP dienen soll.
- Navigieren Sie zur IDE
- Klicken Sie auf die Schaltfläche Sicherheitsanbieter
- Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung
-
Geben Sie Folgendes an:
- Name: Name des IdP-Sicherheitsanbieters, zB
App BuilderIdP - Typ: SAML-Identitätsanbieter
- Name: Name des IdP-Sicherheitsanbieters, zB
-
Klicken Sie auf die Schaltfläche Speichern
-
Klicken Sie im Bereich Eigenschaften auf die Schaltfläche + Eigenschaft, um die folgenden Eigenschaften hinzuzufügen:
- AssertionConsumerService: URL des Assertion Consumer Service, zB
https://sp.example.com/App Builder/signin-App BuilderSP. - Zielgruppe: App Builder SP URL, zB
https://sp.example.com/App Builder/. - Aussteller: App Builder IdP URL, zB
https://idp.example.com/App Builder/. - Empfänger: Assertion Consumer Service URL, zB
https://sp.example.com/App Builder/signin-App BuilderSP. - SigningCertificate: Base64-kodiertes PKCS#12-Archiv (siehe Signaturzertifikat generieren).
- SigningCertificatePassword: Passwort für das Signaturzertifikat (siehe Signaturzertifikat generieren).
- AssertionConsumerService: URL des Assertion Consumer Service, zB
-
Klicken Sie im Bereich Claims auf die Schaltfläche + Claim, um die folgenden Eigenschaften zuzuordnen:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Gruppe:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
Klicken Sie im Bereich Anbieter auf die Schaltfläche Bearbeiten.
- Aktivieren Sie die Option Aktiviert.
- Klicken Sie auf die Schaltfläche Speichern.
Die obigen Schritte beinhalten einen Gruppenanspruch. Der Gruppenanspruch dient der Übergabe der Gruppenmitgliedschaft an den SP. Gruppen werden jedoch nicht standardmäßig übergeben. Um eine Gruppe zu übergeben, müssen Sie sie dem IdP-Sicherheitsanbieter hinzufügen. Beispiel:
- Navigieren Sie zur IDE.
- Klicken Sie auf die Schaltfläche Benutzerverwaltung.
- Klicken Sie auf die Schaltfläche Identitäten.
- Wählen Sie den IdP-Sicherheitsanbieter aus, z. B.
App BuilderIdP5. Klicken Sie im Bereich Anbietergruppen auf die Schaltfläche + Gruppe. - Geben Sie einen Namen ein, z. B.
Administrators7. Wählen Sie die Gruppe aus, z. B.Administrators8. Klicken Sie auf die Schaltfläche Speichern.
Erstellen eines SAML SP-Sicherheitsanbieters
Um einen SAML SP-Sicherheitsanbieter zu erstellen, melden Sie sich zunächst bei der Instanz von App Builder an, die als SP dienen soll.
- Navigieren Sie zur IDE
- Klicken Sie auf die Schaltfläche Sicherheitsanbieter
- Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung
-
Geben Sie Folgendes an:
- Name: Name des SP-Sicherheitsanbieters, zB
App BuilderSP. - Typ: SAML
- Benutzerbereitstellung: Aktivieren Sie dieses Kontrollkästchen, um die Benutzerbereitstellung zu aktivieren.
- Im Anmeldeformular anzeigen: Aktivieren Sie diese Option, um den Authentifizierungsanbieter im Anmeldeformular anzuzeigen.
- Name: Name des SP-Sicherheitsanbieters, zB
-
Klicken Sie auf die Schaltfläche Speichern
-
Klicken Sie im Bereich Eigenschaften auf die Schaltfläche + Eigenschaft, um die folgenden Eigenschaften hinzuzufügen:
- Zielgruppe: App Builder SP URL, zB
https://sp.example.com/App Builder/. - Aussteller: App Builder IdP URL, zB
https://idp.example.com/App Builder/. - Empfänger: Assertion Consumer Service URL, zB
https://sp.example.com/App Builder/signin-App BuilderSP. - RequestRedirectEndpoint: Request-Redirect-Endpoint, zB
https://idp.example.com/App Builder/signin-App BuilderIdP. - Signaturzertifikat: PEM-codiertes Zertifikat (siehe Signaturzertifikat generieren).
- Zielgruppe: App Builder SP URL, zB
-
Klicken Sie im Bereich Ansprüche auf die Schaltfläche + Anspruch, um die folgenden Eigenschaften zuzuordnen:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Gruppe:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
Klicken Sie im Bereich Anbieter auf die Schaltfläche Bearbeiten
- Aktivieren Sie die Option Aktiviert
- Klicken Sie auf die Schaltfläche Speichern
Die obigen Schritte umfassen einen Gruppenanspruch. Der Gruppenanspruch wird verwendet, um Ansprüche Sicherheitsanbietergruppen zuzuordnen. Sicherheitsanbietergruppen werden jedoch standardmäßig nicht App Builder Sicherheitsgruppen zugeordnet. So ordnen Sie eine Sicherheitsanbietergruppe einer App Builder Sicherheitsgruppe zu:
- Navigieren Sie zur IDE
- Klicken Sie auf die Schaltfläche Benutzerverwaltung
- Klicken Sie auf die Schaltfläche Identitäten
- Wählen Sie den SP-Sicherheitsanbieter aus, z. B.
App BuilderSP5. Klicken Sie im Bereich Anbietergruppen auf die Schaltfläche + Gruppe. - Geben Sie einen Namen ein, z. B.
Administrators7. Wählen Sie die Gruppe aus, z. B.Administrators8. Klicken Sie auf die Schaltfläche Speichern.
Prüfen
Starten Sie zum Testen zunächst einen Browser im Inkognito-/Privatmodus.
- Navigieren Sie zur App Builder SP URL, zB
https://sp.example.com/App Builder/. - Klicken Sie im Anmeldeformular auf die Option zur Anmeldung mit dem App Builder SP, z. B.
App BuilderSP. Sie werden zum App Builder IdP-Anmeldeformular weitergeleitet. - Melden Sie sich bei der App Builder IdP-Instanz an. Sie werden zurück zum App Builder SP geleitet.
Wenn der Test erfolgreich war, werden Sie bei der App Builder SP-Instanz angemeldet.
Fehlerbehebung
Option „Anmelden mit …“ fehlt im Anmeldeformular
Wenn die Option „Anmelden mit …“ im Anmeldeformular fehlt, ist der App Builder SP-Sicherheitsanbieter entweder nicht aktiviert oder die Option Im Anmeldeformular anzeigen wurde nicht aktiviert.
404-fehler „Nicht gefunden“ nach dem Klicken auf „Anmelden mit …“
Wenn Sie eine 404 Not Found Wenn nach dem Klicken auf die Schaltfläche „Anmelden mit …“ im Anmeldeformular ein Fehler auftritt, kann dies darauf hinweisen, dass der App Builder IdP-Sicherheitsanbieter nicht aktiviert, falsch benannt oder falsch konfiguriert ist. Um Dienstunterbrechungen zu vermeiden, deaktiviert App Builder den Sicherheitsanbieter zur Laufzeit, wenn eine Fehlkonfiguration erkannt wird.