Im Menü „Saml-Authentifizierung“ werden die Saml2-Schnittstellen für die Kontobereitstellung und -authentifizierung konfiguriert. Saml-Schnittstellen werden mandantenspezifisch konfiguriert, d. h. in einer Multi-Mandant-Konfiguration können mehrere Schnittstellen konfiguriert werden. Auf dem Tab „Mandanten > Authentifizierungsmethoden“ gibt es eine Checkbox „SAML-Authentifizierung“ und ein Feld „SAML-Entitäts-ID“, das ausgefüllt werden muss.
Beschreibung
|
Einstellungen |
Was bewirkt diese Einstellung? |
|---|---|
|
Test mode |
Dies sollte nur für Tests verwendet werden, wenn der IdP ein von http://172.17.0.112:8081/simplesaml erstellter IdP ist. |
|
Validierung ignorieren |
Dies sollte nur auf "true" gesetzt werden, wenn der konfigurierte IdP ein SAMLArtifact oder SAMLResponse sendet, das keine Signatur enthält.Andernfalls wird die Signatur des SAMLArtifacts oder der SAMLResponse mit dem konfigurierten Zertifikat validiert. |
|
Algorithmusprüfung aktivieren |
Wird verwendet, um den Keystore Algorithmus zu überprüfen (RSA oder DSA). |
|
SAML-Anfrage senden |
Basierend auf diesem Parameter wird der samlRequest an den IDP gesendet (dies muss für ADFS3.0 deaktiviert werden). |
|
Multiple IdPs |
Es kann mehr als eine IdentityProvider-Einstellung konfiguriert werden (eine pro Anwendung/EinheitID). In diesem Fall muss dieser Parameter auf true gesetzt werden, damit das System unterschiedliche Einstellungen für verschiedene Anwendungen zurückgibt. Die zu verwendende Einstellung wird durch die EntityID bestimmt, die die Anwendung dem ILS zur Verfügung stellt. Für die Einstellung des ILS selbst muss der neue Parameter useForIls auf true gesetzt werden (sonst kennt der ILS seine eigene EntityID nicht). |
|
Konto-Bereitstellung aktivieren |
|
|
Fallback provider URL |
Spezifizierung des SAML2 Providers als Fallback, falls die Authentifizierung gegen den ersten IdP fehlschlägt. |
|
Fallback-Emittenten-URL |
|
|
Fallback redirection URL |
|
|
Fallback key store path IdP |
|
|
Fallback key store alias IdP |
|
|
SP meta data file path |
|
|
SP assertion consumer service URL |
|
|
SP single logout service URL |
|
|
Entitäten, die den Authentifizierungskontext verwenden |
Wenn die EntityID in dieser Whitelist vorhanden ist, wird der optionale SAML AuthnReq-Authentifizierungskontext vor dem Senden nicht in die Authentifizierungsanforderung aufgenommen. Die Whitelist ist Komma-separiert. |
|
SAML-Profil-Identifikator-Attribut |
Datenbankname des imc-Attributs in der Tabelle PERSON, das zur Identifizierung eines Benutzers während der SAML-Kontobereitstellung verwendet wird. |
|
Mapping |
|
|
Default client |
Standard-Client-ID einer Person bei ihrer Erstellung, wenn in der SAML-Antwort keine angegeben ist. |
|
Import ohne Selbstregistrierung |
Wenn der Wert angekreuzt/true ist, werden Personen automatisch angelegt und es wird keine Seite zur Selbstregistrierung angezeigt. |
|
Bestehenden Benutzer aktualisieren |
Wenn der Wert auf ticked/true gesetzt ist, werden bereits existierende Personen mit den Attributen aus der SAML2-Antwort aktualisiert. |
|
Nicht zugeordnete Felder ignorieren |
Bestimmt, ob alle durch Mapping-Elemente spezifizierten Quellfelder in der Importdatei erwartet und importiert werden. Ticked:true: In der Importquelle übermittelte Attribute, für die kein Mapping definiert ist, werden ignoriert. Unticked/false: Ist für ein Attribut, das mit den Importdaten übermittelt wird, kein Mapping definiert, wird eine Ausnahme geworfen. |
|
Ist Reference |
Bestimmt, ob alle durch Mapping-Elemente spezifizierten Quellfelder in der Importdatei erwartet und importiert werden. Ticked/True: Die Mapping-Elemente bestimmen, welche Felder importiert werden. In der Importdatei zusätzlich befindliche Spalten werden ignoriert, falls der Parameter ignoreEmptyFields spezifiziert und auf "true" gesetzt ist. Unticked/false: Nur die in der Importdatei enthaltenen Spalten werden importiert, sofern sie im Mapping definiert sind. Durch Mapping-Elemente zusätzlich spezifizierte Attribute werden ignoriert. |