Benutzerauthentifizierung mit SAML 2.0

Folgen

Die Benutzeranmeldung im FotoWeb kann per SAML 2.0 an einen IdentityProvider, wie z.B. AD FS, angebunden werden.

Diese Art der Authentifizierung kann parallel mit einer lokalen Anmeldung (z.B. Nicht-AD User) realisiert werden oder exklusiv mit automatischem Single-Sign-On.

Die exemplarische Einrichtung eines AD FS für FotoWeb ist hier dargestellt: 

https://learn.fotoware.com/On-Premises/FotoWeb/01_Managing_users_and_groups/Configuring_Authentication_Providers_and_Single_Sign-On_in_FotoWare/04_SAML_Authentication/03_FotoWeb_Authentication_with_Active_Directory_Federation_Services_(ADFS)

 

Application Parameter

Recipient URL

https://<HOSTNAME>/fotoweb/auth/saml20/consume/

Destination URL

https://<HOSTNAME>/fotoweb/auth/saml20/consume/

Audience URL / Issuer ID

https://<HOSTNAME>/fotoweb/

ADFS Service URL

https://<HOSTNAME>/fotoweb/auth/saml20/consume/

Identifier

https://<HOSTNAME>/fotoweb/

Method

POST

 

FotoWeb

Die Konfiguration erfolgt per

OperationsCenter > FotoWeb > Site Configuration > Settings > Single-Sign On

 

x.509 Zertifikat inkl. Beginn/End Certificate
Endpoint URL oftmals diese Struktur https://ADFSDOMAIN/adfs/ls/
Logout URL

optional

Standard-Gruppen Wenn gewünscht, kann man hier eine oder mehrere Gruppen zu den internen FotoWeb Gruppen hinzufügen, in die automatisch jeder Benutzer über SAML zugewiesen wird.

 

Attribut Mapping

Damit die vom IdentityProvider übermittelten Daten auf die zugehörigen FotoWeb Felder gemappt werden können, muss entweder der IdentityProvider oder das FotoWeb angepasst werden.

Wir empfehlen dieses Mapping im FotoWeb (ServiceProvider) zu erledigen. 

Die SAML Attributnamen sind nachfolgend in Kurz- und Langschreibweise beispielhaft angegeben.

Im Notfall kann dies auch bei einem ersten Test aus der Debug-Ansicht im FotoWeb ausgelesen werden.

FotoWeb SAML Attributname (Beispiele)
E-Mail

emailaddress
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

First Name

givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Last Name

surname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Username

upn
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

Member Of (Groups)

Group
http://schemas.xmlsoap.org/claims/Group

Feld X

Attribut Y

 

Die Gruppenzugehörigkeit muss bei mehr als einer Gruppenmitgliedschaft auf "List" eingestellt werden. Zudem muss geprüft werden, wie die Liste formatiert ist und dies angegeben werden.

Es können weitere Felder aus dem IdentityProvider in die Benutzerfelder im FotoWeb gemappt werden.

https://learn.fotoware.com/On-Premises/FotoWeb/01_Managing_users_and_groups/Configuring_Authentication_Providers_and_Single_Sign-On_in_FotoWare/04_SAML_Authentication/SAML_-_FotoWeb_Attribute_Mapping

 

Zuweisung der SAML Gruppennamen zu FotoWeb Gruppen

Dies erfolgt ausschließlich in der Web-Administration des FotoWeb - nicht im OperationsCenter.

Der Gruppenname kann hierbei aus dem kompletten AD-Pfad bestehen oder nur den Gruppennamen bestehen. Das ist im Zweifelsfall in einem ersten Test zu ermitteln.

SAMLGroupName.png

https://learn.fotoware.com/On-Premises/FotoWeb/01_Managing_users_and_groups/Configuring_Authentication_Providers_and_Single_Sign-On_in_FotoWare/04_SAML_Authentication/02_Managing_groups_using_SAML

 

Debugging

Das FotoWeb meldet bei einem Fehler eine Error-Seite mit einem Hinweis und der SAML Payload-Ausgabe. Dieser Link ist unten links über den "Debug" Link erreichbar.

 

 

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.