Vorbemerkung
Die Anbindung der LockSelf-Anwendung an einen Identitätsverbund erfolgt über das Protokoll SAMLv2. Es ist daher möglich, die Anwendung mit Ihrem Shibboleth-IdP zu verbinden.
Bitte beachten Sie, dass je nach Installation und verwendeter Shibboleth-Version die angebotenen Elemente leicht abweichen können.
Schritt 1: Die IdP-Metadaten in LockSelf hochladen
Dieser erste Schritt besteht darin, die Metadatendatei aus Ihrem IdP abzurufen.
Rufen Sie die URL oder die Metadatendatei ab und tragen Sie sie in die LockSelf-Anwendung ein. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung (nur Private Cloud).
Schritt 2: Die Metadaten der Anwendung abrufen
Sobald Ihre IdP-Metadatendatei in LockSelf hochgeladen wurde, können Sie die Metadaten der Anwendung abrufen, die Ihnen zum Erstellen des Konnektors dienen, und zwar unter folgender URL:
(wobei FQDN den Domainnamen Ihrer LockSelf-Installation ersetzt)
Schritt 3: Die Datei metadata-providers.xml anpassen
Dieser dritte Schritt ermöglicht es, LockSelf zu Ihrer Liste der Service Provider hinzuzufügen.
Sie müssen daher das folgende Element in diese Datei einfügen:
<MetadataProvider id="LockSelf"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/lockself-metadata.xml"
disregardTLSCertificate="true"
metadataURL="https://FQDN/saml2/metadata">
</MetadataProvider>
- „BackingFile" muss dem Pfad entsprechen, unter dem die Metadaten der LockSelf-Anwendung abgerufen werden können (in Schritt 2 abgerufen)
- „MetadataURL" muss der Zugriffs-URL zu den LockSelf-Metadaten entsprechen. FQDN ist durch den für Ihre Installation gewählten Domainnamen zu ersetzen
Schritt 4: Die Attribute vorbereiten
Sie müssen nun die Attribute vorbereiten, die vom IdP an die Anwendung gesendet werden. Zur Erinnerung: Die drei zu sendenden Attribute sind:
- firstname (enthält den Vornamen des Benutzers)
- lastname (enthält den Nachnamen des Benutzers)
- mail (enthält die E-Mail-Adresse des Benutzers)
In der Datei attribute-filter.xml müssen Sie diese Attribute erstellen, falls sie nicht definiert sind. Zum Beispiel:
<AttributeFilterPolicy>
<AttributeRule attributeID="firstname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="lastname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Schritt 5: Bind der Attribute
Sobald die Attribute erstellt und nutzbar sind, müssen Sie die Regeln erstellen, mit denen die Attribute eines Benutzers an den von der LockSelf-Anwendung erwarteten Namen gebunden (Bind) werden.
Dazu müssen Sie die Datei attribute-resolver-ldap.xml bearbeiten und sich am folgenden Beispiel orientieren:
<!-- LockSelf -->
<resolver:AttributeDefinition xsi:type="ad:Simple" id="firstname" sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="firstname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="lastname" sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="lastname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="mail" />
</resolver:AttributeDefinition>
- „sourceAttributeID" entspricht den Werten aus Ihrem IdP. Sie müssen diesen Wert je nach Konfiguration dieses IdP anpassen
Schritt 6: Die Verbindung überprüfen
Sobald diese Schritte ausgeführt sind, können Sie den Konnektor testen:
-
Schritt 1: Um korrekt testen zu können, öffnen Sie ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnrad und dann auf „Cache leeren".
-
Schritt 2: Geben Sie auf der Registerkarte SSO Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
- Falls dies nicht funktioniert, klicken Sie auf der Anmeldeseite oben rechts auf die Zahnräder und prüfen Sie, ob im Feld API-URL am Ende des dedizierten Domainnamens tatsächlich /api/ eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
- Falls dies nicht funktioniert, klicken Sie auf der Anmeldeseite oben rechts auf die Zahnräder und prüfen Sie, ob im Feld API-URL am Ende des dedizierten Domainnamens tatsächlich /api/ eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
-
Schritt 3: In diesem Schritt werden Sie zum Shibboleth-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
- Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, das Sie auffordert, den Ihrem Konto zugeordneten PIN-Code zu erstellen.
Sehen Sie bei Bedarf in dieser Dokumentation nach: Die SSO-Anmeldung (Single Sign-On).
Schritt 7: Den Konnektor aktualisieren
Mitunter muss eine Aktualisierung der Signatur-/Token-Verschlüsselungszertifikate am Shibboleth-Konnektor durchgeführt werden.
In diesem Fall müssen Sie die neue IdP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung.
Aktualisiert