Startseite » Was ist SAML und wie funktioniert es?

Was ist SAML-Authentifizierung?

Security Assertion Markup Language (SAML) ist der De-facto-Open-Standard, der für den Austausch von Authentifizierungs- und Autorisierungsdetails zwischen dem Service Provider und dem Identity Provider verwendet wird. Der Austausch der Details erfolgt über digital signierte XML-Dokumente, die Benutzerdaten enthalten. Central Server On-Premises bietet Unterstützung für die SAML-2.0-Authentifizierung. Durch die Aktivierung dieser Funktion können sich Benutzer über einen Single-Sign-On-(SSO)-Dienst, der SAML-Authentifizierung unterstützt, auf ihren Desktops und Mobilgeräten (Central Server Mobile App) bei Central Server anmelden.

Inhaltsverzeichnis

  1. Glossar
  2. Wie funktioniert die SAML-Authentifizierung?
  3. Voraussetzungen

Glossar:

Service Provider - Die Anwendung, die einen bestimmten Dienst bereitstellt und Benutzer anhand von durch SSO angeforderten Sicherheitsassertionen authentifiziert und autorisiert. Zum Beispiel: CRM, Endpoint Server usw.

Identity Provider - Die Instanz, die die Anmeldeinformationen des Benutzers verwaltet und pflegt. Zum Beispiel: Okta, OneLogin usw.

Single-Sign-On-Dienst - Ein vom Identity Provider bereitgestellter Dienst mit einem zentralisierten Anmeldesystem, bei dem der Benutzer seine Anmeldeinformationen einmal eingibt, woraufhin die Authentifizierungs- und Autorisierungsdetails an verschiedene Service Provider weitergegeben werden, um dem Benutzer Zugriff zu gewähren.

Der Hauptvorteil von SSO besteht darin, dass die Authentifizierung zentralisiert ist, wodurch Benutzer sich nicht mehrere Passwörter merken müssen, um auf verschiedene Anwendungen zuzugreifen.

Wie funktioniert die SAML-Authentifizierung?

Wenn ein Benutzer versucht, sich anzumelden, um auf den Service Provider zuzugreifen, wird der Benutzer zur SSO-Anmeldeseite weitergeleitet. Nach Eingabe der Anmeldeinformationen übermittelt das SSO die Informationen an den Service Provider. Anschließend entscheidet der Service Provider auf Grundlage der vom SSO bereitgestellten Authentifizierungs- und Autorisierungsdetails, ob dem Benutzer Zugriff gewährt wird oder nicht.

Voraussetzungen:

  • Da die IdP-Weiterleitung über den HTTPS-Port erfolgt, muss der HTTPS-Port offen bleiben. Die ACS-URL wird ausschließlich mit HTTPS generiert.
  • Der Identity Provider sollte HTTP-POST-Bindung unterstützen.
  • Zertifikate des Identity Providers dürfen nicht manipuliert, verschlüsselt oder abgelaufen sein und sollten im Base64-Format codiert sein.

Klicken Sie unten, um die SAML-Authentifizierungseinstellungen zwischen Central Server zu konfigurieren

Von Central Server bereitgestellte Daten, die im IdP eingegeben werden müssen

Gehen Sie nach der Anmeldung zur Registerkarte Admin und wählen Sie SAML-Authentifizierung. Hier finden Sie die von Central Server bereitgestellten Details, die auf der IdP-Seite eingegeben werden müssen.Details zum Service Provider

  • Entity ID 
    Eine Entity ID ist ein global eindeutiger Bezeichner, der zur Darstellung Ihrer Central Server-Instanz verwendet wird.

  • Assertion Consumer Service URL (ACS-URL) 
    Die ACS-URL oder Reply-URL ist ein Endpunkt, der auf Ihre Central Server-Instanz verweist und dem IdP mitteilt, wohin die SAML-Antwort gesendet werden soll. Die ACS-URL muss in der IdP-Konfiguration verwendet werden.
     

    Hinweis: Schritte zum Ändern der Standard-ACS-URL:
    1. Öffnen Sie <Installation_directory>/UEMS_CentralServer/conf/websettings.conf 
    2. Geben Sie in einer neuen Zeile saml.fqdn.name=FQDN_Name ein 
    3. Speichern Sie die Datei websettings.conf
    Zum Beispiel: saml.fqdn.name=dc.com
    4. Starten Sie den Central Server-Server neu
    5. Konfigurieren Sie die SAML-Authentifizierung erneut 

    wobei FQDN_Name der neue FQDN ohne Port ist. 
    Sowohl die Entity ID als auch die Assertion Consumer URL sind in den Metadata-XML-Dateien enthalten.

Für Central Server vom IdP erforderliche Daten

Gehen Sie nach der Anmeldung an der Produktkonsole zur Registerkarte Admin und wählen Sie SAML-Authentifizierung. Unten müssen Sie die Details des IdP eingeben.Details zum Identity Provider

  • Name ID 
    Die Name ID wird verwendet, um den Benutzer, der sich anmelden möchte, eindeutig zu identifizieren — sie kann entweder der Benutzername oder die E-Mail-ID sein.
    Hinweis: Bei Domänenbenutzern sollte der Benutzername in folgendem Format vorliegen: domain\username. Dies wird von einigen IdPs möglicherweise nicht unterstützt.
  • Anmelde-URL
    Die Anmelde-URL ist ein Endpunkt, der auf Ihren IdP verweist und Central Server mitteilt, wohin die SAML-Anforderung gesendet werden soll. 
     
  • Zertifikat
    Ein Zertifikat des IdP, das von Central Server verwendet wird, um zukünftige SAML-Anforderungen vom IdP zu überprüfen. 
     

Hinweis: Die Federation-Metadata-XML-Datei des IdP, die die oben genannten Informationen enthält, kann in Central Server hochgeladen werden.

SAML-Zu-beachtende-Punkte
  • Um sich erfolgreich über SAML anzumelden, muss der Benutzer sowohl im IdP als auch in Central Server vorhanden sein.
  • Die SAML-Authentifizierung funktioniert möglicherweise nicht in Browsern, die vom Identity Provider nicht unterstützt werden.
  • SAML Single Logout wird derzeit nicht unterstützt.
  • Wenn sich der FQDN ändert, ändert sich auch die ACS-URL. Das bedeutet, dass die ACS-URL im Identity Provider erneut manuell aktualisiert werden muss.
  • Der in der ACS-URL angegebene FQDN und Port müssen zur Konfiguration der Central Server Mobile App für die SAML-Authentifizierung verwendet werden.
  • In den SAML-Authentifizierungseinstellungen von Central Server kann die Name ID entweder als Benutzername oder E-Mail-ID ausgewählt werden. Dieselbe Option sollte im Identity Provider zur Authentifizierung der Benutzer ausgewählt werden.
  • Allen Konten sollte eine eindeutige E-Mail-ID zugeordnet sein, die mit Central Server verknüpft ist.
  • Die Metadatendatei bei der Konfiguration des Identity Providers muss diese drei Parameter enthalten — SSO-URL, SSO-Signaturzertifikat; SSO-Bindungsprotokoll
  • Wenn der Benutzer versucht, über die Mobile App auf Secure Gateway Server zuzugreifen, beschränken die Sicherheitsprotokolle von Secure Gateway Server den Benutzer darauf, sich über die SAML-Authentifizierung anzumelden. Als Workaround greifen Sie auf die FQDN/IP-Adresse des internen Servers zu, um sich in der Mobile App über SAML anzumelden.

Hinweis: Alle für Central Server besprochenen Schritte zur SAML-Konfiguration und -Authentifizierung gelten auch für Patch Manager Plus und Vulnerability Manager Plus.

Vertraut von