Installation
Zertifikat
Das SAML-Zertifikat muss ein "global vertrauenswürdiges Zertifikat" sein, das online abgerufen und überprüft werden kann, oder es sollte auf dem Rechner im Bereich "vertrauenswürdige Personen" installiert sein.
1. Server stoppen
Öffnen Sie zuerst den IIS-Manager auf dem Microsoft
Klicken Sie zuerst auf 'aquaAPIPool' und beenden Sie ihn mit der Schaltfläche auf der rechten Seite. Beenden Sie danach 'aquaFileServerPool', 'aquaWebservicePool' und 'aquaWebNGAppPool'. Ihr Server ist jetzt gestoppt.
2. Einrichtung
2.1 Service Provider zur SAML-Instanz hinzufügen
Um nach erfolgreichem SAML-Login auf aqua umleiten zu können, ist es erforderlich, aqua als Service Provider zu Ihrer SAML-Instanz hinzuzufügen. Bitte fragen Sie Ihren SAML-Administrator oder schauen Sie im Benutzerhandbuch Ihres SAML-Servers nach, wenn Sie nicht wissen, wie Sie dies für Ihren SAML-Server tun können. Nachfolgend finden Sie die entsprechenden URLs von aqua, um Ihre SAML-Instanz zu konfigurieren. AssertionConsumerService ist ein obligatorischer Parameter für SAML, damit SAML den Ort für die Weiterleitung nach erfolgreicher Anmeldung kennt. SingleLogoutService ist optional und wird nur benötigt, wenn SAML in der Lage sein soll, einen bestimmten Benutzer von aqua abzumelden.
AssertionConsumerService | http(s)://<aquawebServerUrl>/aquawebng/Account/saml2-acs |
SingleLogoutService | http(s)://<aquawebServerUrl>/aquawebng/Account/saml2-logout |
Bitte laden Sie außerdem die IdP-Metadatendatei Ihrer SAML-Instanz herunter und speichern Sie diese in einem lokalen Ordner auf dem Aqua-Backend-Server und dem Aqua-Webserver. Diese wird für die Konfiguration von Aqua Backend und Aqua Web benötigt. Eine Beispiel-IdP-Metadatendatei finden Sie hier.
2.2 Backend konfigurieren
Öffnen Sie die Datei Web.config von aqua Backend. Sie befindet sich normalerweise hier:C:\Programme\andagon GmbH\aqua For IIS\Web\WebserviceBitte fügen Sie die folgenden Einstellungen im Abschnitt hinzu
SAML.FederationMetadataPath | Pfad zur IdP-Metadaten-Datei, die von Ihrer SAML-Instanz abgerufen werden muss (die Metadaten-Datei spezifiziert wichtige Eigenschaften Ihres SAML-IdP, z. B. den SingleSignOnService oder Zertifikate) |
SAML.UsernameAttribute | Definiert das Attribut der SAML-Antwort, das den aqua-Benutzernamen liefert (siehe Abschnitt 2.2 für ein Beispiel, wo dieses Attribut zu finden ist, „uid“ ist nur ein Beispiel) |
Beispiel:
Web.config speichern und schließen
2.3 aqua Web konfigurieren
Öffnen Sie die Datei aquaWebNG.config von aqua Web. Sie befindet sich normalerweise hier:
C:\Program Files\andagon GmbH\aquaWebNG\aquaWebNG
Bitte fügen Sie die folgenden Einstellungen im Abschnitt hinzu:
SAML.FederationMetadataPath | Pfad zur IdP-Metadaten-Datei, die von Ihrer SAML-Instanz abgerufen werden muss (die Metadaten-Datei spezifiziert wichtige Eigenschaften Ihres SAML-IdP, z. B. den SingleSignOnService oder Zertifikate) |
SAML.AquaSPEntityId | Definiert die Entity-ID des Dienstanbieters in Ihrer SAML-Instanz |
Beispiel:
3. aqua Server starten
Nach der Konfiguration können Sie Ihren aqua-Server starten. Gehen Sie zurück zum IIS-Manager und starten Sie
'aquaAPIPool',
'aquaFileServerPool',
'aquaWebservicePool'
and 'aquaWebNGAppPool'.
4. SAML-Antwort debuggen
Um die SAML-Antwort richtig zu debuggen, können Sie das Tool saml decode verwenden und die Liste der AttributeStatements durchgehen, um das gewünschte Attributfeld zu finden.
Bitte beachten Sie, dass der Desktop-Client SAML nicht unterstützt.
Bitte beachten Sie, dass der Sync Configuration Client keine Benutzernamen unterstützt, die Sonderzeichen enthalten, insbesondere das Symbol „@“.
Last updated
