Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
adhandbuch:system:authbackends:saml [18.03.2023 14:48] – Externe Bearbeitung 127.0.0.1adhandbuch:system:authbackends:saml [08.04.2025 08:42] (aktuell) silvan.nagl
Zeile 1: Zeile 1:
-<WRAP hide>{{tag>[proof gui:Admin-Client func func:Authentifizierung]}}</WRAP>+<WRAP hide>{{tag>red:newgui red:proof}}</WRAP> 
 +<WRAP>{{tag>gui:Admin-Client func:Authentifizierung func:SAML}}</WRAP>
 <WRAP 1050px> <WRAP 1050px>
  
  
 ====== Authentifizierung mit SAML einrichten ====== ====== Authentifizierung mit SAML einrichten ======
 +
 +{{section>:snippets#Achtung Snapshot&noheader}}
  
 <WRAP info>**Dieser Artikel setzt Kenntnisse zu den folgenden Themen voraus:**\\ <WRAP info>**Dieser Artikel setzt Kenntnisse zu den folgenden Themen voraus:**\\
   * Single Sign-on (SSO)   * Single Sign-on (SSO)
   * Security Assertion Markup Language (SAML)   * Security Assertion Markup Language (SAML)
-  * [[https://simplesamlphp.org/docs|SimpleSAMLphp]]+  * [[https://simplesamlphp.org/docs/stable/index.html|SimpleSAMLphp]]
 </WRAP> </WRAP>
  
Zeile 24: Zeile 27:
 ===== Schritt für Schritt ===== ===== Schritt für Schritt =====
  
-<WRAP tip>**Hinweis:**\\ Bei der Installation legt SimpleSAMLphp automatisch den Benutzer ''admin'' an und speichert das zugehörige Passwort für den Zugang zur Web-Oberfläche in der Datei ''/var/lib/simplesamlphp/secrets.inc.php'' auf dem UCware Server.</WRAP>  +<WRAP tip>**Hinweis:**\\ Bei der Installation legt SimpleSAMLphp automatisch den Benutzer ''admin'' an und speichert das zugehörige Passwort für den Zugang zur Weboberfläche in der Datei ''/var/lib/simplesamlphp/secrets.inc.php'' auf dem UCware Server.</WRAP>  
  
 ==== SimpleSAMLphp vorbereiten ==== ==== SimpleSAMLphp vorbereiten ====
Zeile 30: Zeile 33:
 Führen Sie die folgenden Schritte aus: Führen Sie die folgenden Schritte aus:
  
-  - Um per HTTPS auf SimpleSAMLphp zugreifen zu können, stellen Sie die erforderlichen Locations für den Web-Server bereit und laden diesen neu:\\ <WRAP>+  - Um per HTTPS auf SimpleSAMLphp zugreifen zu können, stellen Sie die erforderlichen Locations für den Webserver bereit und laden diesen neu:\\ <WRAP>
 <code bash> <code bash>
 ln -s /etc/nginx/locations.d/03-saml.conf /etc/nginx/https.d/ ln -s /etc/nginx/locations.d/03-saml.conf /etc/nginx/https.d/
Zeile 62: Zeile 65:
 'idp' => 'https://shibboleth.local/idp/shibboleth', 'idp' => 'https://shibboleth.local/idp/shibboleth',
 ), ),
-</code></WRAP> <WRAP tip>**Hinweis:**\\ Aufbau und Inhalt des Eintrags hängen vom konkreten Anwendungsszenario und insbesondere vom IdP ab. Detaillierte Informationen dazu finden Sie in der [[https://simplesamlphp.org/docs/1.16/index.html|SimpleSAMLphp-Doku]]. Die folgenden Beispiele beziehen sich auf den Austausch mit einem Shibboleth-Server. ''shibboleth.local'' und ''ucware.local'' sind dabei als Platzhalter zu verstehen.</WRAP> +</code></WRAP> <WRAP tip>**Hinweis:**\\ Aufbau und Inhalt des Eintrags hängen vom konkreten Anwendungsszenario und insbesondere vom IdP ab. Detaillierte Informationen dazu finden Sie in der [[https://simplesamlphp.org/docs/stable/index.html|SimpleSAMLphp-Doku]]. Die folgenden Beispiele beziehen sich auf den Austausch mit einem Shibboleth-Server. ''shibboleth.local'' und ''ucware.local'' sind dabei als Platzhalter zu verstehen.</WRAP> 
-  - Speichern Sie die vom Administrator des **IdPs** bereitgestellten Metadaten in der Datei ''/etc/simplesamlphp/metadata/saml20-idp-remote.php''.\\ Metadaten im XML-Format lassen sich unter der folgenden Adresse direkt in SimpleSAMLphp konvertieren:<WRAP><code>https://ucware.local/simplesamlphp/admin/metadata-converter.php</code></WRAP>+  - Speichern Sie die vom Administrator des **IdPs** bereitgestellten Metadaten in der Datei ''/etc/simplesamlphp/metadata/saml20-idp-remote.php''.\\ Metadaten im XML-Format lassen sich unter der folgenden Adresse direkt mit SimpleSAMLphp konvertieren:<WRAP><code>https://ucware.local/simplesamlphp/admin/metadata-converter.php</code></WRAP>
   - Rufen Sie die Metadaten des **SPs** unter der folgenden Adresse ab:<WRAP><code>https://ucware.local/simplesamlphp/module.php/core/frontpage_federation.php</code></WRAP>   - Rufen Sie die Metadaten des **SPs** unter der folgenden Adresse ab:<WRAP><code>https://ucware.local/simplesamlphp/module.php/core/frontpage_federation.php</code></WRAP>
   - Stellen Sie diese Metadaten dem Administrator des IdPs zur Verfügung.   - Stellen Sie diese Metadaten dem Administrator des IdPs zur Verfügung.
Zeile 96: Zeile 99:
 ==== Authentifizierungs-Backend im Admin-Client einrichten ==== ==== Authentifizierungs-Backend im Admin-Client einrichten ====
  
-<WRAP tip>**Hinweis:**\\ Sobald Sie ein Authentifizierungs-Backend vom Typ **SAML** eingerichtet haben, blendet der UCware Server die Eingabemaske für lokale Anmeldungen am UCC- und Admin-Clients standardmäßig aus. Dies gilt auch für Benutzer, die ihre lokalen Zugangsdaten behalten. In diesem Fall lässt sich die Eingabemaske über die URL des Clients mit angehängtem Suffix ''#local'' aufrufen.</WRAP>+<WRAP tip>**Hinweis:**\\ Sobald Sie ein Authentifizierungs-Backend vom Typ **SAML** eingerichtet haben, blendet der UCware Server die Eingabemaske für [[benutzerhandbuch:anmeldung:sitemap|lokale Anmeldungen]] am UCC- und Admin-Clients standardmäßig aus. Dies gilt auch für Benutzer, die ihre lokalen Zugangsdaten behalten. In diesem Fall lässt sich die Eingabemaske über die URL des Clients mit angehängtem ''#local'' aufrufen.</WRAP>
  
 Wenn Sie SimpleSAMLphp konfiguriert und getestet haben, können Sie im Admin-Client ein Backend zur Authentifizierung via SAML einrichten. Wenn Sie SimpleSAMLphp konfiguriert und getestet haben, können Sie im Admin-Client ein Backend zur Authentifizierung via SAML einrichten.
Zeile 103: Zeile 106:
  
 <WRAP group> <WRAP group>
-<WRAP column 500px>{{:adhandbuch:system:authbackends:saml_backend_anlegen.png?direct|}}</WRAP> +<WRAP column 450px>{{:adhandbuch:system:ac_authbackend_saml.png?direct|}}</WRAP> 
-<WRAP column 500px outdent> +<WRAP column 550px outdent> 
-  - Rufen Sie die Seite{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > Authentifizierungs-Backend** auf.\\ \\ +  - Rufen Sie die Seite{{:adhandbuch:ac_leistenicon_system.png?nolink|}}**System > Authentifizierungs-Backend** auf.\\ \\ 
-  - Erstellen Sie mit {{adhandbuch:button_plus_blau_30x30.png?nolink|}} ein neues Backend.\\ \\ +  - Erstellen Sie mit {{:adhandbuch:ac_button_plus_blau.png?nolink|}} ein neues Backend.\\ \\ 
-  - Wählen als **Backend-Typ** den Eintrag **SAML**.\\ \\+  - Wählen Sie als **Backend-Typ** den Eintrag **SAML**.\\ \\
   - Geben Sie einen **Namen** für das Backend ein.\\ \\   - Geben Sie einen **Namen** für das Backend ein.\\ \\
-  - Wählen Sie den gewünschten **Service Provider** aus.\\ <wrap lo>Die verfügbaren Optionen entsprechen den Einträgen in der **authsources.php**.</wrap>\\ \\ +  - Wählen Sie den gewünschten **Service Provider** aus.\\ \\ <WRAP lo>Die verfügbaren Optionen entsprechen den Einträgen in der **authsources.php**.\\ \\ </WRAP> 
-  - Geben Sie das **Attribut** ein, mit dem der IdP die **Externen IDs** der Benutzers abgleichen soll.\\ <wrap lo>Zur korrekten Form das Attributs beachten Sie den Abschnitt [[#SimpleSAMLphp testen]].</wrap>\\ \\ +  - Geben Sie das **Attribut** ein, mit dem der IdP die **Externen IDs** der Benutzers abgleichen soll.\\ \\ <WRAP lo>Zur korrekten Form das Attributs beachten Sie den Abschnitt [[#SimpleSAMLphp testen]].\\ \\ </WRAP> 
-  - Setzen Sie **Erneut validieren** bei Bedarf auf {{:adhandbuch:schalter_ein_alpha.png?nolink|}}.\\ <wrap lo>Dadurch werden die eingegebenen Benutzerdaten bei **jeder** Anmeldung über die API (bzw. im UCC-Client) zur Prüfung an den Service Provider weitergereicht. Dies gilt auch, wenn der Benutzer bereits angemeldet ist.</wrap>\\ \\ +  - Setzen Sie **Erneut validieren** bei Bedarf auf {{:adhandbuch:ac_schalter_an.png?nolink|}}.\\ \\ <WRAP lo>Dadurch werden die eingegebenen Benutzerdaten bei **jeder** Anmeldung über die API (bzw. im UCC-Client) zur Prüfung an den Service Provider weitergereicht. Dies gilt auch, wenn der Benutzer bereits angemeldet ist.\\ \\ </WRAP> 
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.+  - Setzen Sie **Im Webbrowser öffnen** bei Bedarf auf {{:adhandbuch:ac_schalter_an.png?nolink|}}.\\ \\ <WRAP lo>Dadurch wird die Anmeldeseite des SSO-Systems immer im Webbrowser geöffnet. Dies gilt auch für Benutzer des nativen UCC-Clients.\\ \\ </WRAP> 
 +  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:ac_button_erstellen.png?nolink|}}.
 </WRAP> </WRAP>
 </WRAP> </WRAP>
Zeile 124: Zeile 128:
  
 <WRAP group> <WRAP group>
-<WRAP column 500px>{{:adhandbuch:system:authbackends:saml_backend_zuweisen.png?direct|}}</WRAP> +<WRAP column 450px>{{:adhandbuch:system:saml_backend_zuweisen.png?direct|}}</WRAP> 
-<WRAP column 500px outdent>\\ +<WRAP column 550px outdent> 
-  - Rufen Sie die Seite{{:adhandbuch:menuepunkt_administration_alpha.png?direct|}}**Benutzer & Gruppen > Benutzer** auf.\\ \\+  - Rufen Sie die Seite{{:adhandbuch:ac_leistenicon_benutzer_gruppen.png?nolink|}}**Benutzer & Gruppen > Benutzer** auf.\\ \\
   - [[adhandbuch:benutzer_gruppen:benutzer:erstellen|Erstellen oder bearbeiten]] Sie einen Benutzer.\\ \\   - [[adhandbuch:benutzer_gruppen:benutzer:erstellen|Erstellen oder bearbeiten]] Sie einen Benutzer.\\ \\
   - Wählen Sie dabei das gewünschte SAML-**Backend** aus.\\ \\ <WRAP tip>**Hinweis:**\\ Dadurch wird das lokale Benutzerpasswort aus der Datenbank des UCware Servers gelöscht.</WRAP>    - Wählen Sie dabei das gewünschte SAML-**Backend** aus.\\ \\ <WRAP tip>**Hinweis:**\\ Dadurch wird das lokale Benutzerpasswort aus der Datenbank des UCware Servers gelöscht.</WRAP> 
   - Geben Sie die beim IdP registrierte **Externe Benutzer ID** ein.\\ \\   - Geben Sie die beim IdP registrierte **Externe Benutzer ID** ein.\\ \\
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:ac_button_erstellen.png?nolink|}} bzw. {{:adhandbuch:ac_button_speichern.png?nolink|}}.
 </WRAP> </WRAP>
 </WRAP> </WRAP>