SAML: Einrichten der Benutzer-Authentifizierung über einen SAML-Identitätsanbieter

Die Registerkartentitelzeile, die oben auf dem /appliance-Bildschirm angezeigt wird, bei hervorgehobener SAML-Registerkarte.

Konfigurieren Sie Ihr B Series Appliance so, dass sich Benutzer über SAML an der /appliance-Schnittstelle authentifizieren können.

Um die SAML-Authentifizierung verwenden zu können, brauchen Sie einen Identitätsanbieter wie Okta, OneLogin, Azure AD oder ADFS.

Seite des Sicherheitsanbieters zur Konfiguration der SAML-Anmeldung am B Series Appliance

Beginnen Sie beim Einrichten der Verbindung mit dem Abschnitt Serviceanbieter-Einstellungen. Wenn Ihr Identitätsanbieter (IDP) Ihnen das Hochladen von Metadaten des Serviceanbieters (SP) erlaubt, klicken Sie auf Metadaten des Serviceanbieters herunterladen. Dann erhalten Sie eine XML-Datei, die Sie beim Erstellen der Anwendung auf Ihren IDP hochladen können. Kopieren Sie alternativ die Entitäts-ID und SSO-URL und fügen Sie sie in Ihrem IDP ein.

Die Entitäts-ID heißt in Ihrem Identitätsanbieter womöglich Zielgruppen-URI.

SAML-Payload-Verschlüsselung ist standardmäßig deaktiviert, Sie können jedoch einen privaten Schlüssel generieren oder hochladen, um sie zu aktivieren. Damit das B Series Appliance einen privaten Schlüssel und ein Zertifikat generiert, wählen Sie Privaten Schlüssel generieren und klicken Sie auf Änderungen speichern. Klicken Sie auf auf SP-Zertifikat herunterladen und laden Sie das generierte Zertifikat auf Ihren Identitätsanbieter hoch. Um den privaten Schlüssel und das Zertifikat selbst bereitzustellen, wählen Sie Privaten Schlüssel hochladen, wählen Sie die Zertifikatdatei und geben Sie bei Bedarf deren Passwort ein. Sie müssen dasselbe Zertifikat auf Ihren Identitätsanbieter hochladen.

Nachdem Sie die Anwendung auf Ihrem Identitätsanbieter gespeichert haben, haben Sie vielleicht die Möglichkeit, deren Metadaten herunterzuladen. Ist dies der Fall, laden Sie diese Datei über die Schaltfläche Identitätsanbieter-Metadaten hochladen in Ihr B Series Appliance hoch. Kopieren Sie alternativ die Entitäts-ID und Einzelanmeldungsdienst-URL im Abschnitt Identitätsanbieter-Einstellungen in Ihrem B Series Appliance ein.

Die Entitäts-ID heißt womöglich Identitätsanbieter-Aussteller oder Aussteller-URL, und die Einzelanmeldungsdienst-URL heißt womöglich SAML 2.0-Endpunkt.

Über die Protokoll-Bindung wird festgelegt, ob ein HTTP-POST erfolgt oder oder der Benutzer an die Anmelde-URL weitergeleitet wird. Belassen Sie dies auf HTTP-Weiterleitung, sofern Ihr Identitätsanbieter nicht anderes erfordert. Außerdem müssen Sie das Zertifikat des Identitätsanbieters angeben, das Sie bei diesem herunterladen können.

Ordnen Sie unter Benutzerbereitstellungseinstellungen den Benutzernamen, den Anzeigenamen und die E-Mail-Adresse den jeweiligen Attributen auf Ihrem Identitätsanbieter zu.

Klicken Sie auf Änderungen speichern, um die SAML-Konfiguration zu übernehmen.

Nun sehen Benutzer auf der /appliance-Anmeldeseite unter der Schaltfläche Anmelden den Link SAML-Authentifizierung verwenden. Benutzer, die der auf Ihrem Identitätsanbieter erstellten Anwendung zugewieseb wurden, können sich über diesen Link anmelden. Wenn sie noch nicht auf dem Identitätsanbieter angemeldet sind, werden sie zur Anmelden auf dem Identitätsanbieter weitergeleitet, ehe sie wieder zum /appliance zurückgeleitet werden.