Shibboleth-Anbindung

Vorbemerkung

Die Anbindung der LockSelf-Anwendung an einen Identitätsverbund erfolgt über das Protokoll SAMLv2. Es ist daher möglich, die Anwendung mit Ihrem Shibboleth-IdP zu verbinden.

Bitte beachten Sie, dass je nach Installation und verwendeter Shibboleth-Version die angebotenen Elemente leicht abweichen können.

Schritt 1: Die IdP-Metadaten in LockSelf hochladen

Dieser erste Schritt besteht darin, die Metadatendatei aus Ihrem IdP abzurufen.

Rufen Sie die URL oder die Metadatendatei ab und tragen Sie sie in die LockSelf-Anwendung ein. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung (nur Private Cloud).

Schritt 2: Die Metadaten der Anwendung abrufen

Sobald Ihre IdP-Metadatendatei in LockSelf hochgeladen wurde, können Sie die Metadaten der Anwendung abrufen, die Ihnen zum Erstellen des Konnektors dienen, und zwar unter folgender URL:

https://FQDN/saml2/metadata

(wobei FQDN den Domainnamen Ihrer LockSelf-Installation ersetzt)

Schritt 3: Die Datei metadata-providers.xml anpassen

Dieser dritte Schritt ermöglicht es, LockSelf zu Ihrer Liste der Service Provider hinzuzufügen.

Sie müssen daher das folgende Element in diese Datei einfügen:

<MetadataProvider id="LockSelf"
  xsi:type="FileBackedHTTPMetadataProvider"
  backingFile="%{idp.home}/metadata/lockself-metadata.xml"
  disregardTLSCertificate="true"
  metadataURL="https://FQDN/saml2/metadata">
</MetadataProvider>
  • „BackingFile" muss dem Pfad entsprechen, unter dem die Metadaten der LockSelf-Anwendung abgerufen werden können (in Schritt 2 abgerufen)
  • „MetadataURL" muss der Zugriffs-URL zu den LockSelf-Metadaten entsprechen. FQDN ist durch den für Ihre Installation gewählten Domainnamen zu ersetzen

Schritt 4: Die Attribute vorbereiten

Sie müssen nun die Attribute vorbereiten, die vom IdP an die Anwendung gesendet werden. Zur Erinnerung: Die drei zu sendenden Attribute sind:

  • firstname (enthält den Vornamen des Benutzers)
  • lastname (enthält den Nachnamen des Benutzers)
  • mail (enthält die E-Mail-Adresse des Benutzers)

In der Datei attribute-filter.xml müssen Sie diese Attribute erstellen, falls sie nicht definiert sind. Zum Beispiel:

<AttributeFilterPolicy>
  <AttributeRule attributeID="firstname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="lastname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="mail">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
</AttributeFilterPolicy>

Schritt 5: Bind der Attribute

Sobald die Attribute erstellt und nutzbar sind, müssen Sie die Regeln erstellen, mit denen die Attribute eines Benutzers an den von der LockSelf-Anwendung erwarteten Namen gebunden (Bind) werden.

Dazu müssen Sie die Datei attribute-resolver-ldap.xml bearbeiten und sich am folgenden Beispiel orientieren:

<!-- LockSelf -->
<resolver:AttributeDefinition xsi:type="ad:Simple" id="firstname" sourceAttributeID="givenName">
  <resolver:Dependency ref="myLDAP" />
  <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="firstname" />
</resolver:AttributeDefinition>

<resolver:AttributeDefinition xsi:type="ad:Simple" id="lastname" sourceAttributeID="sn">
  <resolver:Dependency ref="myLDAP" />
  <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="lastname" />
</resolver:AttributeDefinition>

<resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
  <resolver:Dependency ref="myLDAP" />
  <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="mail" />
</resolver:AttributeDefinition>
  • „sourceAttributeID" entspricht den Werten aus Ihrem IdP. Sie müssen diesen Wert je nach Konfiguration dieses IdP anpassen

Schritt 6: Die Verbindung überprüfen

Sobald diese Schritte ausgeführt sind, können Sie den Konnektor testen:

  • Schritt 1: Um korrekt testen zu können, öffnen Sie ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnrad und dann auf „Cache leeren".
  • Schritt 2: Geben Sie auf der Registerkarte SSO Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
  • Schritt 3: In diesem Schritt werden Sie zum Shibboleth-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
  • Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, das Sie auffordert, den Ihrem Konto zugeordneten PIN-Code zu erstellen.

Sehen Sie bei Bedarf in dieser Dokumentation nach: Die SSO-Anmeldung (Single Sign-On).

Schritt 7: Den Konnektor aktualisieren

Mitunter muss eine Aktualisierung der Signatur-/Token-Verschlüsselungszertifikate am Shibboleth-Konnektor durchgeführt werden.

In diesem Fall müssen Sie die neue IdP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung.

Aktualisiert