Zum Inhalt springen

Konfigurieren von App Builder als Identitätsanbieter in Jitterbit App Builder

App Builder kann sowohl als SAML-Dienstanbieter (SP) als auch als SAML-Identitätsanbieter (IdP) fungieren. Dies ermöglicht es einer Instanz von Viny (dem IdP), Benutzer im Namen einer anderen Instanz (dem SP) zu authentifizieren.

Es sind vier Hauptaufgaben erforderlich:

  1. Ein Signaturzertifikat generieren.
  2. Einen SAML IdP-Sicherheitsanbieter erstellen.
  3. Einen SAML SP-Sicherheitsanbieter erstellen.
  4. Testen

Diese Anweisungen gehen von den folgenden Annahmen aus:

  1. Sie haben mindestens zwei Instanzen von App Builder.
  2. Sie haben Administratorzugriff auf jede App Builder-Instanz.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder IdP-URL https://idp.example.com/Vinyl/ Die Anwendungsstamm-URL der App Builder-Instanz, die als IdP fungiert. Enthält den abschließenden Schrägstrich.
App Builder SP-URL https://sp.example.com/Vinyl/ Die Anwendungsstamm-URL der App Builder-Instanz, die als SP fungiert. Enthält den abschließenden Schrägstrich.
IdP-Sicherheitsanbieter-Name VinylIdP Jeder App Builder-Sicherheitsanbieter erhält einen logischen Namen. Dieser Name wird im Request Redirect Endpoint verwendet (siehe unten).
SP-Sicherheitsanbieter-Name VinylSP Jeder App Builder-Sicherheitsanbieter erhält einen logischen Namen. Dieser Name wird in der Assertion Consumer Service (ACS)-URL verwendet (siehe unten). Dies ist der Name, den Benutzer im Anmeldeformular sehen werden.
Request Redirect Endpoint https://idp.example.com/Vinyl/signin-VinylIdP App Builder stellt automatisch einen Request Redirect Endpoint für SAML IdP-Sicherheitsanbieter bereit. Beachten Sie, dass der Name des IdP-Sicherheitsanbieters (von oben) im Request Redirect Endpoint erscheint.
Assertion Consumer Service-URL https://sp.example.com/Vinyl/signin-VinylSP App Builder stellt automatisch einen Assertion Consumer Service (ACS)-Endpunkt für SAML SP-Sicherheitsanbieter bereit. Beachten Sie, dass der Name des SP-Sicherheitsanbieters im ACS-Endpunkt erscheint.

Generieren eines Signaturzertifikats

In SAML Single Sign-On (SSO) wird Vertrauen über Signaturzertifikate hergestellt. Der Prozess zum Erwerb eines Zertifikats liegt außerhalb des Rahmens dieses Dokuments. Zu Illustrationszwecken zeigen die folgenden Befehle, wie man ein kompatibles Zertifikat mit dem OpenSSL-Befehlszeilenwerkzeug generiert.

Der folgende Befehl generiert einen PEM-kodierten privaten Schlüssel (key.pem) und ein selbstsigniertes Zertifikat (cert.pem):

$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -days 1095 -subj "/CN=idp.example.com/O=App BuilderIdP"

Sie benötigen den Inhalt der Datei cert.pem, um den App Builder SP-Sicherheitsanbieter zu konfigurieren.

Der folgende Befehl generiert ein PKCS#12-Archiv (cert.pfx), das sowohl den privaten Schlüssel als auch das Zertifikat enthält:

$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx

Es wird Sie aufgefordert, ein Passwort einzugeben. Sie benötigen das Passwort, um den App Builder IdP-Sicherheitsanbieter zu konfigurieren.

Schließlich kodiert der folgende Befehl das PKCS#12-Archiv in base64:

$ openssl base64 -in cert.pfx -out cert.txt -A

Sie benötigen den Inhalt der Datei cert.txt, um den App Builder IdP-Sicherheitsanbieter zu konfigurieren.

Erstellen eines SAML IdP-Sicherheitsanbieters

Um einen SAML IdP-Sicherheitsanbieter zu erstellen, melden Sie sich zunächst bei der Instanz von App Builder an, die als IdP fungieren wird.

  1. Navigieren Sie zum IDE
  2. Klicken Sie auf die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Panel Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes an:

    • Name: Name des IdP-Sicherheitsanbieters, z.B. VinylIdP
    • Typ: SAML Identity Provider

  5. Klicken Sie auf die Schaltfläche Speichern

  6. Klicken Sie im Panel Eigenschaften auf die Schaltfläche + Eigenschaft, um jede der folgenden Eigenschaften hinzuzufügen:

    • AssertionConsumerService: URL des Assertion Consumer Service, z.B. https://sp.example.com/Vinyl/signin-VinylSP.
    • Audience: URL des App Builder SP, z.B. https://sp.example.com/Vinyl/.
    • Issuer: URL des App Builder IdP, z.B. https://idp.example.com/Vinyl/.
    • Recipient: URL des Assertion Consumer Service, z.B. https://sp.example.com/Vinyl/signin-VinylSP.
    • SigningCertificate: base64-kodiertes PKCS#12-Archiv (siehe Generieren eines Signaturzertifikats).
    • SigningCertificatePassword: Passwort des Signaturzertifikats (siehe Generieren eines Signaturzertifikats).

  7. Im Claims-Panel klicken Sie auf die Schaltfläche + Claim, um jede der folgenden Eigenschaften zuzuordnen:

    • Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    • Gruppe: http://schemas.xmlsoap.org/claims/Group

  8. Im Provider-Panel klicken Sie auf die Schaltfläche Bearbeiten

  9. Aktivieren Sie die Option Aktiviert
  10. Klicken Sie auf die Schaltfläche Speichern

Die obigen Schritte beinhalten einen Gruppenanspruch. Der Gruppenanspruch wird verwendet, um die Gruppenmitgliedschaft an den SP zu übermitteln. Gruppen werden jedoch standardmäßig nicht übermittelt. Um eine Gruppe zu übermitteln, müssen Sie sie zum IdP-Sicherheitsanbieter hinzufügen. Zum Beispiel:

  1. Navigieren Sie zur IDE
  2. Klicken Sie auf die Schaltfläche Benutzerverwaltung
  3. Klicken Sie auf die Schaltfläche Identitäten
  4. Wählen Sie den IdP-Sicherheitsanbieter aus, z. B. VinylIdP
  5. Im Provider Groups-Panel klicken Sie auf die Schaltfläche + Gruppe
  6. Geben Sie einen Namen an, z. B. Administratoren
  7. Wählen Sie die Gruppe aus, z. B. Administratoren
  8. Klicken Sie auf die Schaltfläche Speichern

Erstellen eines SAML SP-Sicherheitsanbieters

Um einen SAML SP-Sicherheitsanbieter zu erstellen, melden Sie sich zunächst bei der Instanz von App Builder an, die als SP dienen wird.

  1. Navigieren Sie zur IDE
  2. Klicken Sie auf die Schaltfläche Sicherheitsanbieter
  3. Im Benutzerauthentifizierung-Panel klicken Sie auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes an:

    • Name: SP-Sicherheitsanbieter-Name, z. B. VinylSP.
    • Typ: SAML
    • Benutzerbereitstellung: Aktivieren Sie die Benutzerbereitstellung.
    • Im Anmeldeformular anzeigen: Aktivieren Sie die Anzeige des Authentifizierungsanbieters im Anmeldeformular.

  5. Klicken Sie auf die Schaltfläche Speichern

  6. Im Eigenschaften-Panel klicken Sie auf die Schaltfläche + Eigenschaft, um jede der folgenden Eigenschaften hinzuzufügen:

    • Audience: App Builder SP-URL, z. B. https://sp.example.com/Vinyl/.
    • Issuer: App Builder IdP-URL, z. B. https://idp.example.com/Vinyl/.
    • Recipient: Assertion Consumer Service-URL, z. B. https://sp.example.com/Vinyl/signin-VinylSP.
    • RequestRedirectEndpoint: Request Redirect Endpoint, z. B. https://idp.example.com/Vinyl/signin-VinylIdP.
    • SigningCertificate: PEM-kodiertes Zertifikat (siehe Generieren eines Signierungszertifikats).

  7. Im Claims-Panel klicken Sie auf die Schaltfläche + Claim, um jede der folgenden Eigenschaften zuzuordnen:

    • Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    • Gruppe: http://schemas.xmlsoap.org/claims/Group

  8. Im Provider-Panel klicken Sie auf die Schaltfläche Edit.

  9. Aktivieren Sie die Option Enabled.
  10. Klicken Sie auf die Schaltfläche Save.

Die obigen Schritte beinhalten einen Gruppenanspruch. Der Gruppenanspruch wird verwendet, um Ansprüche den Sicherheitsanbietergruppen zuzuordnen. Sicherheitsanbietergruppen sind jedoch standardmäßig nicht den App Builder-Sicherheitsgruppen zugeordnet. Um eine Sicherheitsanbietergruppe einer App Builder-Sicherheitsgruppe zuzuordnen:

  1. Navigieren Sie zur IDE.
  2. Klicken Sie auf die Schaltfläche User Management.
  3. Klicken Sie auf die Schaltfläche Identities.
  4. Wählen Sie den SP-Sicherheitsanbieter, z. B. VinylSP.
  5. Im Provider Groups-Panel klicken Sie auf die Schaltfläche + Group.
  6. Geben Sie einen Namen ein, z. B. Administrators.
  7. Wählen Sie die Gruppe, z. B. Administrators.
  8. Klicken Sie auf die Schaltfläche Save.

Test

Um zu testen, starten Sie zunächst einen Browser im Inkognito-/Privatmodus.

  1. Navigieren Sie zur App Builder SP-URL, z. B. https://sp.example.com/Vinyl/.
  2. Klicken Sie im Anmeldeformular auf die Option, sich mit dem App Builder SP anzumelden, z. B. VinylSP. Sie werden zum Anmeldeformular des App Builder IdP weitergeleitet.
  3. Melden Sie sich bei der App Builder IdP-Instanz an. Sie werden zurück zur App Builder SP weitergeleitet.

Wenn der Test erfolgreich war, sind Sie in der Instanz des App Builder SP angemeldet.

Fehlerbehebung

"sign in with..."-Option fehlt im Anmeldeformular

Wenn die Option "Sign in with..." im Anmeldeformular fehlt, ist der App Builder SP-Sicherheitsanbieter entweder nicht aktiviert oder die Option Show On Login Form wurde nicht aktiviert.

404-Fehler nach dem Klicken auf "sign in with..."

Wenn Sie nach dem Klicken auf die Schaltfläche "Sign in with..." im Anmeldeformular einen 404 Not Found-Fehler erhalten, kann dies darauf hindeuten, dass der App Builder IdP-Sicherheitsanbieter nicht aktiviert, falsch benannt oder falsch konfiguriert ist. Um eine Störung des Dienstes zu verhindern, wird App Builder den Sicherheitsanbieter zur Laufzeit deaktivieren, wenn eine Fehlkonfiguration festgestellt wird.