Benutzerverwaltung über SAML
Last updated
Last updated
Anstatt deine vDC-Nutzer und -gruppen in unserem Web-Interface zu verwalten, kannst du auch einfach einen bestehenden Identity Provider (IDP) wie z.B. Azure AD verwenden. So können deine Nutzer ihr bestehendes Passwort verwenden und du kannst alle Nutzer zentral an einer einzigen Stelle verwalten.
Als Beispiel stellen wir hier die Konfiguration mit einem Azure AD vor. Das lässt sich aber mit kleinen Abweichungen auf andere IDPs übertragen.
Der größte Teil der Konfiguration findet in deinem Azure AD statt. Wähle darum im Azure-Web-Portal den Service Azure Active Directory aus.
Im Service Azure Active Directory erstellst du jetzt eine neue Enterprise Application. Den Namen kannst du beliebig wählen, in diesem Beispiel heißt er levigo vDC.
Nachdem du die Enterprise Application erstellt hast, musst du dieser Application Benutzer und/oder Gruppen zuweisen. Diese Nutzer sind dann grundsätzlich berechtigt, sich an unserem Web-Portal anzumelden.
Eine Empfehlung von uns: Lege eine Gruppe von Benutzern in deinem AD an, die du für die Anmeldung erlauben willst. Das erleichtert dir das Zuweisen von Benutzern zum vDC. Später kannst du dann außerdem unser Web-Portal so konfigurieren, dass du Benutzer nicht einzeln importieren musst. Dazu erklären wir später mehr.
Wir haben eine Gruppe mit dem Namen vdc.AllowLogin erstellt.
Nur Benutzer in dieser Gruppe sind dann überhaupt in der Lage, sich an unserem Portal anzumelden. Wenn du neue Benutzer berechtigen willst, musst du sie dann nur dieser Gruppe zuweisen.
Im nächsten Schritt richtest du die eigentliche SAML-Verbindung ein. Dazu benötigst du aus unserem Web-Portal ein Metadata-File. Starte dazu die SAML-Konfiguration in unserem Web-Portal.
Als Entity-ID kannst du einen beliebigen, eindeutigen String benutzen. Dieser lässt sich aber später nicht mehr ändern! Du kannst z.B. die Login-Seite zu deinem vDC benutzen, also https://cloud.dwmc3.net/tenant/DeineOrganistation.
Wenn du deine Entity-ID gespeichert hast, kannst du das Metadata-File unter dem Menüpunkt Administration - SAML herunterladen.
Diese Datei lädst du dann in deinem Azure-Portal in der vorher angelegten Enterprise Application im Menüpunkt Single-Sign-on - SAML hoch.
Im nächsten Dialog kannst du noch Details zur SAML-Authentifizierung in Azure konfigurieren. Der Identifier (Entity ID), die Reply URL (Assertion Consumer Service URL) und die Logout Url sind bereits aus dem Metadata-File vorausgefüllt. Wenn du im Feld Sign On URL noch die Login-Seite zu deiner Organisation in unserem Web-Portal angibst, dann taucht das Portal auch in Azure als Applikation für deine Benutzer auf. Wenn du als Identifier bereits diese URL benutzt hast, kannst du sie einfach in das entsprechende Feld kopieren.
Als letzte Konfiguration musst du noch die Attributes & Claims anlegen. Das sind die Attribute, die das Azure AD via SAML an unser Web-Portal übergibt. Das gibt dir die Möglichkeit, die Gruppennamen bei uns zu verwenden oder sogar Rollenzuweisungen direkt aus dem AD auszulesen. Wenn du alle Claims angelegt hast, sollte die Auflistung in etwa so aussehen wie in unserem Beispiel.
Ein Claim besteht aus einem Name, einem Namespace und einem Source Attribute. Aus der Tabelle kannst du die jeweiligen Werte kopieren und in deine Konfiguration übernehmen.
Jetzt musst du noch einen Group Claim hinzufügen.
Wenn du später eigene Anpassungen an den Claims vornimmst, musst du den nächsten Schritt nochmal wiederholen. Sonst fragt unser Web-Portal andere Attribute ab, als es sollte.
Abschließend musst du das Azure AD mit unserem Web-Portal verknüpfen. Lade dazu aus der SSO-Konfiguration bei Azure die Federation Metadata XML herunter.
Diese Datei lädst du anschließend in unserem Web-Portal in der SAML-Konfiguration wieder hoch.
Jetzt ist deine SAML-Konfiguration abgeschlossen und deine Benutzer können sich jetzt grundsätzlich mit ihrem üblichen AD-Account an unserem Web-Portal anmelden. Jedoch müsstest du jetzt noch jeden Benutzer einzeln importieren und ihm eine Rolle zuweisen, damit er die korrekten Berechtigungen erhält. Um diesen Schritt zu vereinfachen, kannst du jetzt auf die vorher angelegte Gruppe vdc.AllowLogin zurückgreifen.
Importiere die Gruppe in deine Organisation und weise ihr die Rolle NoRole zu. Diese Rolle hat keine Berechtigungen und erlaubt deinen Benutzern nur, sich am Web-Portal anzumelden. Das Menü findest du unter Administration - Groups. Hier kannst du auch anderen Gruppen Rollen zuweisen, um die Nutzer entsprechend zu berechtigen.
Damit ist die Konfiguration jetzt wirklich abgeschlossen. Benutzer in den von dir definierten Gruppen können sich jetzt an unserem Web-Portal anmelden und erhalten die Gruppen- und Rollen-Zuweisung via SAML.
| Name | Namespace | Source Attribute |
|---|---|---|
emailaddress
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
user.mail
givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
user.givenname
name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
user.userprincipalname
surname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
user.surname
UserName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims
user.mail
Roles
http://schemas.xmlsoap.org/ws/2005/05/identity
user.assignedroles
