Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- adhandbuch:system:authbackends:saml [15.12.2022 12:57] – richard.neubert
+++ adhandbuch:system:authbackends:saml [09.04.2024 08:14] (aktuell) – richard.neubert
@@ Zeile 1: / Zeile 1: @@
-<WRAP hide>{{tag>[proof Admin-Client]}}</WRAP>
+<WRAP>{{tag>gui:Admin-Client func:Authentifizierung}}</WRAP>
-<WRAP 950px>
+<WRAP 1050px>
 ====== Authentifizierung mit SAML einrichten ======
+{{section>:snippets#Achtung Snapshot&noheader}}
 <WRAP info>**Dieser Artikel setzt Kenntnisse zu den folgenden Themen voraus:**\\
@@ Zeile 21: / Zeile 23: @@
 Darüber hinaus müssen die beim IdP registrierten **Externen IDs** der zu authentifizierenden Benutzer und das Attribut bekannt sein, mit dem der IdP erstere abgleichen soll. Dieses Attribut muss für Authentifizierungsanfragen des SPs freigegeben sein.
 ===== Schritt für Schritt =====
-<WRAP tip>**Hinweis:**\\ Bei der Installation legt SimpleSAMLphp automatisch den Benutzer ''admin'' an und speichert das zugehörige Passwort für den Zugang zur Web-Oberfläche in der Datei ''/var/lib/simplesamlphp/secrets.inc.php'' auf dem UCware Server.</WRAP>
+<WRAP tip>**Hinweis:**\\ Bei der Installation legt SimpleSAMLphp automatisch den Benutzer ''admin'' an und speichert das zugehörige Passwort für den Zugang zur Weboberfläche in der Datei ''/var/lib/simplesamlphp/secrets.inc.php'' auf dem UCware Server.</WRAP>
 ==== SimpleSAMLphp vorbereiten ====
@@ Zeile 29: / Zeile 32: @@
 Führen Sie die folgenden Schritte aus:
-  - Um per HTTPS auf SimpleSAMLphp zugreifen zu können, stellen Sie die erforderlichen Locations für den Web-Server bereit und laden diesen neu:\\ <WRAP>
+  - Um per HTTPS auf SimpleSAMLphp zugreifen zu können, stellen Sie die erforderlichen Locations für den Webserver bereit und laden diesen neu:\\ <WRAP>
 <code bash>
 ln -s /etc/nginx/locations.d/03-saml.conf /etc/nginx/https.d/
@@ Zeile 79: / Zeile 82: @@
 ==== SimpleSAMLphp testen ====
-Nachdem die Metadaten zwischen SimpleSAMLphp und IdP erfolgreich ausgetauscht wurden, sollten Sie die Authentifizierung testen. , ausgetauscht sind
+Nach dem erfolgreichen Austausch der Metadaten sollten Sie sich testweise beim IdP authentifizieren.
+Gehen Sie wie folgt vor:
+  - Rufen Sie im Webbrowser die folgende Seite auf:<code>https://ucware.local/simplesamlphp/module.php/core/authenticate.php</code>
+  - Wählen Sie hier den gewünschten IdP aus.
+  - Melden Sie sich mit Ihren Benutzerdaten beim IdP an.
+Wenn Sie erfolgreich authentifiziert werden, wird die Statusseite von SimpleSAMLphp angezeigt. Das Attribut zur Authentifizierung von Benutzern wird hier unter **Ihre Attribute** angezeigt.
+<WRAP tip>**Hinweis:**\\ Übernehmen Sie das Attribut exakt in der hier angezeigten Form zur Einrichtung eines SAML-Backends auf dem UCware Server.</WRAP>
 ==== Authentifizierungs-Backend im Admin-Client einrichten ====
@@ Zeile 85: / Zeile 100: @@
 <WRAP tip>**Hinweis:**\\ Sobald Sie ein Authentifizierungs-Backend vom Typ **SAML** eingerichtet haben, blendet der UCware Server die Eingabemaske für lokale Anmeldungen am UCC- und Admin-Clients standardmäßig aus. Dies gilt auch für Benutzer, die ihre lokalen Zugangsdaten behalten. In diesem Fall lässt sich die Eingabemaske über die URL des Clients mit angehängtem Suffix ''#local'' aufrufen.</WRAP>
-Wenn Sie SimpleSAMLphp konfiguriert haben, können Sie im Admin-Client ein Backend zur Authentifizierung via SAML einrichten.
+Wenn Sie SimpleSAMLphp konfiguriert und getestet haben, können Sie im Admin-Client ein Backend zur Authentifizierung via SAML einrichten.
 Gehen Sie dazu wie folgt vor:
-  - Rufen Sie die Übersichtsseite{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > Authentifizierungs-Backend** auf.
+<WRAP group>
-  - Rufen Sie mit {{adhandbuch:button_plus_blau_30x30.png?nolink|}} die Detailseite **Authentifizierungs-Backend erstellen** auf.
+<WRAP column 500px>{{:adhandbuch:system:ac_authbackend_saml_v6.png?direct|}}</WRAP>
-  - Wählen Sie im Drop-down-Menü unter Backend-Typ den Eintrag **SAML**.\\ {{:adhandbuch:administration:saml_backend_anlegen.png?direct|}}
+<WRAP column 500px outdent>
-  - Geben Sie einen Namen für die Anzeige des Backends im Admin-Client ein.
+  - Rufen Sie die Seite{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > Authentifizierungs-Backend** auf.\\ \\
-  - Wählen Sie den **Service Provider** für das Backend aus.\\ Die Optionen im Drop-down-Menü richten sich nach den Einträgen in der **authsources.php**.
+  - Erstellen Sie mit {{adhandbuch:button_plus_blau_30x30.png?nolink|}} ein neues Backend.\\ \\
-  - Geben Sie das **Attribut** ein, mit dem der IdP die **Externe ID** des jeweiligen Benutzers abgleichen soll.
+  - Wählen als **Backend-Typ** den Eintrag **SAML**.\\ \\
-  - Setzen Sie **Erneut validieren** bei Bedarf auf {{:adhandbuch:schalter_ein_alpha.png?nolink|}}.\\ Dadurch werden die eingegebenen Benutzerdaten bei **jeder** Anmeldung über die API (bzw. im UCC-Client) zur Prüfung an den Service Provider weitergereicht. Dies gilt auch, wenn der Benutzer bereits angemeldet ist.
+  - Geben Sie einen **Namen** für das Backend ein.\\ \\
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.
+  - Wählen Sie den gewünschten **Service Provider** aus.\\ <wrap lo>Die verfügbaren Optionen entsprechen den Einträgen in der **authsources.php**.</wrap>\\ \\
+  - Geben Sie das **Attribut** ein, mit dem der IdP die **Externen IDs** der Benutzers abgleichen soll.\\ <wrap lo>Zur korrekten Form das Attributs beachten Sie den Abschnitt [[#SimpleSAMLphp testen]].</wrap>\\ \\
+  - Setzen Sie **Erneut validieren** bei Bedarf auf {{:adhandbuch:schalter_ein_alpha.png?nolink|}}.\\ <wrap lo>Dadurch werden die eingegebenen Benutzerdaten bei **jeder** Anmeldung über die API (bzw. im UCC-Client) zur Prüfung an den Service Provider weitergereicht. Dies gilt auch, wenn der Benutzer bereits angemeldet ist.</wrap>\\ \\
+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_erstellen_blau_alpha.png?nolink|}}.
+</WRAP>
+</WRAP>
@@ Zeile 105: / Zeile 125: @@
 Um die Authentifizierung via SAML für einen Benutzer zu aktivieren, gehen Sie wie folgt vor:
-  - Rufen Sie die Übersichtsseite{{:adhandbuch:menuepunkt_administration_alpha.png?direct|}}**Benutzer & Gruppen > Benutzer** auf.
+<WRAP group>
-  - [[adhandbuch:administration:benutzer:benutzer_erstellen|Erstellen oder bearbeiten]] Sie einen Benutzer.\\ {{:adhandbuch:administration:saml_backend_zuweisen.png?direct|}}
+<WRAP column 500px>{{:adhandbuch:system:saml_backend_zuweisen.png?direct|}}</WRAP>
-  - Wählen Sie dabei das **Backend** aus, das Sie für die Benutzer-Authentifizierung via SAML eingerichtet haben.\\ \\ <WRAP tip>**Hinweis:**\\ Dadurch wird das lokale Benutzerpasswort aus der Datenbank des UCware Servers gelöscht.</WRAP>
+<WRAP column 500px outdent>
-  - Geben Sie die beim IdP registrierte **Externe ID** des Benutzers ein.
+  - Rufen Sie die Seite{{:adhandbuch:menuepunkt_administration_alpha.png?nolink|}}**Benutzer & Gruppen > Benutzer** auf.\\ \\
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.
+  - [[adhandbuch:benutzer_gruppen:benutzer:erstellen|Erstellen oder bearbeiten]] Sie einen Benutzer.\\ \\
+  - Wählen Sie dabei das gewünschte SAML-**Backend** aus.\\ \\ <WRAP tip>**Hinweis:**\\ Dadurch wird das lokale Benutzerpasswort aus der Datenbank des UCware Servers gelöscht.</WRAP>
+  - Geben Sie die beim IdP registrierte **Externe Benutzer ID** ein.\\ \\
+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_erstellen_blau_alpha.png?0x26nolink|}} bzw. {{:adhandbuch:button_speichern_blau_alpha.png?0x26nolink|}}.
+</WRAP>
+</WRAP>
 </WRAP>

Werkzeuge

Navigationsmenüs und Suche

Wikiübergreifende Schnellsuche

Seitenstatus

Seiten-Werkzeuge

Metainformationen zur Seite

Unterschiede