Präambel
Die Verbindung der LockSelf-Anwendung mit einem Identitätsverbund erfolgt über das SAMLv2-Protokoll. Es ist daher möglich, die Anwendung mit Ihrem Shibboleth-IDP zu verbinden.
Hinweis: Je nach Installation und verwendeter Shibboleth-Version können die angezeigten Elemente leicht variieren.
Schritt 1: IDP-Metadaten in LockSelf hochladen
Dieser erste Schritt besteht darin, die Metadatendatei von Ihrem IDP abzurufen.
Rufen Sie die URL oder die Metadatendatei ab und tragen Sie sie in der LockSelf-Anwendung ein. Konsultieren Sie dazu diese Dokumentation: Konfiguration der SSO-Verbindung (nur private Cloud).
Schritt 2: Anwendungsmetadaten abrufen
Nachdem Sie Ihre IDP-Metadatendatei in LockSelf hochgeladen haben, können Sie die Anwendungsmetadaten abrufen, die Sie zur Erstellung des Konnektors benötigen, unter der folgenden URL:
(wobei FQDN durch den Domainnamen Ihrer LockSelf-Installation ersetzt wird)
Schritt 3: Die Datei metadata-providers.xml anpassen
Dieser dritte Schritt ermöglicht es, LockSelf zu Ihrer Liste der Service-Provider hinzuzufügen.
Sie müssen das folgende Element in diese Datei einfügen:
<MetadataProvider id="LockSelf"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/lockself-metadata.xml"
disregardTLSCertificate="true"
metadataURL="https://FQDN/saml2/metadata">
</MetadataProvider>- „BackingFile" muss dem Pfad entsprechen, unter dem die Metadaten der LockSelf-Anwendung abgerufen werden können (abgerufen in Schritt 2).
- „MetadataURL" muss der URL für den Zugriff auf die LockSelf-Metadaten entsprechen. FQDN ist durch den für Ihre Installation gewählten Domainnamen zu ersetzen.
Schritt 4: Attribute vorbereiten
Sie müssen nun die Attribute vorbereiten, die der IDP an die Anwendung senden wird. Zur Erinnerung: Die drei zu sendenden Attribute sind:
- firstname (enthält den Vornamen des Benutzers)
- lastname (enthält den Nachnamen des Benutzers)
- mail (enthält die E-Mail-Adresse des Benutzers)
In der Datei attribute-filter.xml müssen Sie diese Attribute erstellen, falls sie noch nicht definiert sind. Zum Beispiel:
<AttributeFilterPolicy>
<AttributeRule attributeID="firstname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="lastname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>Schritt 5: Attribut-Binding
Sobald die Attribute erstellt und verwendbar sind, müssen Sie die Regeln erstellen, die die Attribute eines Benutzers an den von der LockSelf-Anwendung erwarteten Namen binden.
Dazu müssen Sie die Datei attribute-resolver-ldap.xml basierend auf dem folgenden Beispiel anpassen:
<!-- LockSelf -->
<resolver:AttributeDefinition xsi:type="ad:Simple" id="firstname" sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="firstname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="lastname" sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="lastname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="mail" />
</resolver:AttributeDefinition>- „sourceAttributeID" entspricht den Werten Ihres IDP. Dieser Wert muss entsprechend der IDP-Konfiguration angepasst werden.
Schritt 6: Verbindung überprüfen
Sobald diese Schritte abgeschlossen sind, können Sie den Konnektor testen:
-
Schritt 1: Öffnen Sie zum korrekten Testen ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnradsymbol und dann auf „Cache leeren".
-
Schritt 2: Geben Sie auf der SSO-Registerkarte Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
- Wenn dies nicht funktioniert, klicken Sie auf der Anmeldeseite auf die Zahnradsymbole oben rechts und überprüfen Sie, ob im API-URL-Feld /api/ am Ende des dedizierten Domainnamens steht. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
- Wenn dies nicht funktioniert, klicken Sie auf der Anmeldeseite auf die Zahnradsymbole oben rechts und überprüfen Sie, ob im API-URL-Feld /api/ am Ende des dedizierten Domainnamens steht. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
-
Schritt 3: Sie werden zum Shibboleth-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
- Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, wo Sie aufgefordert werden, den PIN-Code für Ihr Konto zu erstellen.
Konsultieren Sie bei Bedarf diese Dokumentation: SSO-Verbindung (Single Sign-On).
Schritt 7: Konnektor aktualisieren
Manchmal muss eine Aktualisierung der Signaturzertifikate bzw. Token-Verschlüsselung am Shibboleth-Konnektor vorgenommen werden.
In diesem Fall müssen Sie die neue IDP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Konsultieren Sie dazu diese Dokumentation: Konfiguration der SSO-Verbindung.
Aktualisiert