einzuloggen oder  
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützungssymbol
miniOrange E-Mail-Support
Erfolg

Vielen Dank für Ihre Anfrage. Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, senden Sie bitte eine Folge-E-Mail an info@xecurify.com

Search Results:

×

SSO für Apps, die Box als IDP verwenden

Box Single Sign On (SSO) für Ihre Anwendung miniOrange bietet eine gebrauchsfertige Lösung für Ihre Anwendung. Diese Lösung stellt sicher, dass Sie innerhalb weniger Minuten mit Box einen sicheren Zugriff auf Ihre Anwendung einrichten können.

Kostenlose Installationshilfe


miniOrange bietet kostenlose Hilfe durch ein Beratungsgespräch mit unseren Systemingenieuren zur Konfiguration von SSO für verschiedene Apps mit Box als IDP in Ihrer Umgebung mit 30-Tage kostenlose Testversion.

Senden Sie uns hierzu einfach eine E-Mail an idpsupport@xecurify.com um einen Termin zu buchen und wir helfen Ihnen umgehend.



Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für Box Single Sign-On (SSO).

1. Konfigurieren Sie Box als OAuth 2.0-Anbieter in miniOrange.

  • Gehe zu miniOrange Admin-Konsole.
  • Wählen Sie in der linken Navigationsleiste aus IdentitätsanbieterWählen Sie Oauth
    • Box sso

    Box sso

  • Geben Sie die folgenden Werte ein.
    • IdP-Name Benutzerdefinierter Anbieter
    IdP-Anzeigename Wählen Sie einen geeigneten Namen
    OAuth-Autorisierungsendpunkt https://account.box.com/api/oauth2/authorize
    OAuth-Zugriffstoken-Endpunkt https://api.box.com/oauth2/token
    OAuth-Endpunkt zum Abrufen von Benutzerinformationen (optional) https://api.box.com/2.0/users/me
    Kunden-ID Ab Schritt 2
    Kundengeheimnis Ab Schritt 2
    Geltungsbereich root_readwrite

2. Konfigurieren Sie miniOrange als Service Provider (SP) in Box

  • Gehe zu https://app.box.com/developers/console Melden Sie sich bei Ihrem Box-Konto an und klicken Sie auf Neue App erstellen​ Option.
    • SSO für Ihre Anwendung mit Box (App erstellen)

  • ​Auswählen Benutzerdefinierte App ​und klicken Sie auf Weiter.
    • SSO für Ihre Anwendung mithilfe von Box (benutzerdefinierte App)

  • Auswählen Standard-OAuth 2.0 (Benutzerauthentifizierung) ​und klicken Sie auf Weiter.
    • SSO für Ihre Anwendung mit Box (Wählen Sie OAuth 2.0)

  • ​Eintreten Anwendungsname ​und klicken Sie auf App erstellen
    • SSO für Ihre Anwendung mit Box (App erstellen)

  • Sie erhalten eine Bestätigungsnachricht. Klicke auf Sehen Sie sich Ihre App an
    • SSO für Ihre Anwendung mithilfe von Box (App anzeigen)

  • Um die URL umleiten:
    • Gehe zu miniOrange Admin-Konsole.
    • Wählen Sie in der linken Navigationsleiste aus Identitätsanbieter.
      • Box sso

    • Kopieren Sie die Rückruf-URL as URL umleiten für den nächsten Schritt erforderlich.
      • Box sso

  • Scrollen Sie nach unten OAuth 2.0-Umleitungs-URL​ und bearbeiten Sie die URL nach Bedarf. Scrollen Sie dann nach unten zu OAuth 2.0-AnmeldeinformationenAbschnitt.
    • Box

3. Konfigurieren Sie Ihre Anwendung in miniOrange


Hinweis:

Wenn Sie Ihre Anwendung bereits in miniOrange konfiguriert haben, können Sie die folgenden Schritte überspringen.




  • Wählen Sie unter Anwendung auswählen SAML/WS-FED von der Alle Apps Dropdown-Liste.
    • SAML-Anwendung auswählen

  • Im nächsten Schritt suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … Original und Sie können Ihre App einrichten über Benutzerdefinierte SAML-App. Klicken Sie auf Senden Sie eine neue App-Anfrage wenn Sie einen neuen SSO-Antrag einreichen möchten.
    • Benutzerdefinierte Anwendung suchen

  • Unter dem Grundlagen Über die Registerkarte können Sie die folgenden Einstellungen konfigurieren.
    Anzeigename (erforderlich) Geben Sie die Anzeigename für Ihre App nach Ihren Vorlieben.
    SP-Unternehmens-ID oder Aussteller (erforderlich) Dient zur Identifizierung Ihrer App anhand der vom Service Provider (SP) empfangenen SAML-Anfrage. Die SP-Entitäts-ID oder der Aussteller kann entweder als URL oder im String-Format vorliegen.
    ACS-URL oder Assertion Consumer Service-URL (erforderlich) Legt fest, wohin die SAML-Assertion nach der Authentifizierung gesendet werden soll. Stellen Sie sicher, dass die ACS-URL folgendes Format hat: https://www.domain-name.com/a/[domain_name]/acs
    Zielgruppen-URL Wie der Name schon sagt, legt dieses Feld die gültige Zielgruppe für die SAML-Assertion fest. Diese entspricht in der Regel der SP-Entitäts-ID. Falls die Zielgruppen-URL nicht separat vom Service Provider (SP) angegeben wird, lassen Sie das Feld leer.
    Einzelne Abmelde-URL Die URL, an die die Abmeldeanfrage verarbeitet werden soll und zu der Ihre Benutzer nach einer einmaligen Abmeldung von den Anwendungen weitergeleitet werden sollen.
    Logo der Upload-App Laden Sie ein Logo für Ihre Anwendung hoch.
    • Unter „Grundeinstellungen“ die Details eingeben

  • Klicken Sie auf Weiter auf dem Sprung Erweiterte EinstellungenKonfigurieren Sie die folgenden Einstellungen.
    Unterzeichnete Anfrage Aktivieren Sie diese Option, um die vom Service Provider (SP) gesendete SAML-Anfrage zu signieren. Stellen Sie das X.509-Zertifikat bereit oder laden Sie es hoch.
    Antwort unterschreiben Aktivieren Sie diese Option, wenn die gesamte SAML-Antwort signiert werden soll.
    Unterschreiben Sie die Behauptung Aktivieren Sie diese Option, wenn nur die Assertion innerhalb der SAML-Antwort signiert werden soll.
    Signaturalgorithmus Wählen Sie den Algorithmus aus, der zum Signieren der SAML-Anfrage/-Antwort verwendet wird.
    Behauptung verschlüsseln Wählen Sie diese Option aus, wenn Sie die Assertion in der SAML-Antwort verschlüsseln und den Algorithmus und das Zertifikat für die Verschlüsselung angeben möchten.
    Relaiszustand Geben Sie die URL ein, zu der der Benutzer nach der Anmeldung bei der Anwendung weitergeleitet werden soll.
    Relaisstatus überschreiben Aktivieren Sie diese Option, um den Standard-Relay-Status des SP zu überschreiben.
    Bindung der Abmeldeantwort Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung von SP gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden.
    IdP-initiierte Abmeldeanforderungsbindung: Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung vom IdP-Dashboard gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden.
    • HTTP-Umleitung - Eine Abmeldeantwort mit ihrer Signatur
    • HTTP POST - Eine Abmeldeantwort mit eingebetteter Signatur
    Gültigkeitsdauer der SAML-Authentifizierung Die Zeit, für die die Authentifizierung als gültig angesehen werden soll und der Benutzer SSO durchführen kann. Danach muss sich der Benutzer erneut anmelden.
    Gemeinsame Identität aktivieren Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.
    • Wechseln Sie zu den erweiterten Einstellungen

  • Klicken Sie auf Weiter auf dem Sprung Anmeldeoptionen Registerkarte. Hier können Sie die folgenden Einstellungen konfigurieren:
    Primärer Identitätsanbieter Wählen Sie die Identitätsquelle aus, von der aus die Authentifizierung erfolgen soll. Sie sehen die Liste aller konfigurierten Quellen.
    Authentifizierung erzwingen Aktivieren Sie diese Option, um bei jeder Anforderung zum Zugriff auf die Anwendung eine Authentifizierung zu erzwingen.
    Auf Endbenutzer-Dashboard anzeigen Deaktivieren Sie diese Option, wenn die App nicht für alle Benutzer im Endbenutzer-Dashboard sichtbar sein soll.
    • Gehen Sie zu den Anmeldeoptionen und klicken Sie auf die Schaltfläche „Weiter“.

  • Klicken Sie auf Weiter auf dem Sprung Attribute Registerkarte. Hier können Sie die Attribute hinzufügen und konfigurieren, die an die App gesendet werden sollen.
    NameID Die NameID ist die eindeutige Kennung des authentifizierten Benutzers in der SAML-Assertion. Sie ermöglicht dem Dienstanbieter, den Benutzer zu erkennen und einem Konto zuzuordnen. In der Regel handelt es sich bei der NameID um einen Benutzernamen oder eine E-Mail-Adresse.
    NameID-Format Legt fest, welcher Identifikatortyp (z. B. E-Mail, persistent, temporär) in der NameID verwendet wird, damit der Service Provider (SP) den Benutzer korrekt zuordnen kann. Falls der SP kein bestimmtes Format anfordert, kann der Identity Provider (IdP) dieses nicht spezifizieren und einen Standardwert verwenden.
    Namensformat hinzufügen Das Namensformat definiert, wie Attributnamen in einer SAML-Assertion dargestellt werden (z. B. als einfache Zeichenketten oder URIs). Es hilft dem Service Provider (SP), die Attributbenennung korrekt zu interpretieren und gewährleistet die Konsistenz zwischen Identity Provider (IdP) und SP.
    Mehrwertige Attribute aktivieren

    Aktiviert: Kommas (,) und Semikolons (;) werden als Trennzeichen behandelt, sodass das Attribut in eine übersichtliche Liste aufgeteilt wird. Beispiel: roles = ['admin', 'editor', 'viewer'].

    Deaktiviert: Kommas und Semikolons werden nicht als Trennzeichen behandelt, daher bleibt das Attribut als eine zusammenhängende Zeichenkette erhalten. Beispiel: roles = "admin;editor;viewer".
    Attributzuordnung Sie können Attribute hinzufügen, die in der SAML-Assertion an den Service Provider (SP) gesendet werden sollen. Zu diesen Attributen gehören Benutzerprofilattribute wie Vorname, Nachname, vollständiger Name, Benutzername, E-Mail-Adresse, benutzerdefinierte Profilattribute und Benutzergruppen usw.
    • Navigieren Sie zum Tab „Attribute“ und ordnen Sie die Attribute zu.

  • Klicken Sie auf Weiter auf dem Sprung Richtlinien Registerkarte. Sie müssen Anwendung speichern Zuerst muss die Richtlinie für die Anwendung konfiguriert werden.
    • Speichern Sie die Anwendung im Abschnitt „Richtlinien“.

  • Nachdem die Anwendung gespeichert wurde, können Sie die Richtlinie für diese Anwendung konfigurieren.
    • Gehen Sie zu Richtlinien und weisen Sie der Gruppe eine Gruppe zu.

  • Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
    • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
      • Gruppenzuordnung konfigurieren

    • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
    • Geben Sie die Gruppenname und klicken Sie auf Gruppe erstellen.
      • Erstelle eine neue Gruppe

    • Klicken Sie auf Weiter.
    • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
    • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
      • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
      • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.
    • Details zur Anmelderichtlinie hinzufügen

  • Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
  • Sobald die Richtlinie erfolgreich hinzugefügt wurde, wird sie in der Liste angezeigt.
    • Mehrere Anmelderichtlinien hinzufügen

  • Im Metadaten Klicken Sie auf einen der beiden Tabs:
    • Klicken Sie auf miniOrange als IDP Wenn Sie miniOrange als Benutzerspeicher verwenden möchten, werden Ihre Benutzeridentitäten in miniOrange gespeichert.
    • Klicken Sie auf Externe Quelle als IdP Wenn Sie Ihre Benutzer authentifizieren möchten über jede externe Identität Anbieter wie Active Directory, Okta, OneLogin usw. oder andere benutzerdefinierte Identitätsanbieter.
      • Wählen Sie miniOrange als IdP aus.

      Externe Quelle als IdP auswählen

    • Nutze einfach das Metadaten herunterladen, Zertifikat herunterladen, Metadaten-URL kopieren oder Zertifikat kopieren basierend auf Ihren Anforderungen.
    • In ähnlicher Weise können Sie die Werte von SAML-Anmelde-URL, SAML-Abmelde-URL, IDP-Entitäts-ID oder Aussteller, IDP-Abmelde-URL, Metadaten-URL von hier gemäß Ihren Metadatenanforderungen.
  • Wählen Sie unter Anwendung auswählen OAuth/OpenID von der Alle Apps Dropdown-Liste.
    • Wählen Sie OAuth/OpenID als App-Typ aus

  • Suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … oauth und Sie können Ihre App einrichten über OAuth2/OpenID Connect.
    • Suche nach benutzerdefinierter OAuth-App

  • Im Grundlagen Geben Sie die folgenden Details ein:
    Display Name Geben Sie die Display Name (d. h. der Name dieser Anwendung).
    URL umleiten Geben Sie die URL umleiten. Stellen Sie sicher, dass es diesem Format entspricht: https://<mycompany.domain-name.com>
    Kunden-ID Automatisch generiert. Klicken Sie auf das Kopiersymbol, um es in Ihrer Anwendung zu verwenden.
    Kundengeheimnis Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und verwenden Sie das Zwischenablagesymbol, um es zu kopieren.
    Betreff (optional) Wählen Sie ein Attribut aus der Dropdown-Liste aus.
    Beschreibung (optional) Fügen Sie bei Bedarf eine Beschreibung hinzu.
    App-Logo hochladen (optional) Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.
  • Klicken Sie auf Gespeichert.
    • Geben Sie die OAuth-App-Details ein und klicken Sie auf die Schaltfläche „Speichern“.

  • Sie werden zum. Weitergeleitet Richtlinien .
    • Gehen Sie zu „Richtlinien“ und fügen Sie eine Richtlinie hinzu.

  • Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
    • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
      • Gruppenzuordnung konfigurieren

    • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
    • Geben Sie die Gruppenname und klicken Sie auf Gruppe erstellen.
      • Erstelle eine neue Gruppe

    • Klicken Sie auf Weiter.
    • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
    • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
      • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
      • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.
    Details zur Anmelderichtlinie hinzufügen

  • Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
  • Die Richtlinie wird angezeigt, sobald sie erfolgreich hinzugefügt wurde.
    • Richtlinie erfolgreich hinzugefügt

  • Sie können an der go Erweitert , um andere Einstellungen zu ändern, z. B. die Ablaufzeit für Zugriffs-, JWT- und Aktualisierungstoken.
    • Ablauf des Zugriffstokens: Wie lange der bereitgestellte Zugriffstoken ab Erstellung gültig sein soll. [In Stunden] Nach Ablauf muss ein neuer Zugriffstoken generiert werden.
    • Ablauf des JWT-Tokens: Wie lange das generierte JWT-Token gültig sein soll. [In Stunden]
    • Ablauf des Aktualisierungstokens: Wie lange das generierte Aktualisierungstoken gültig sein soll. [In Tagen] Sie müssen nach der angegebenen Anzahl von Tagen ein neues Aktualisierungstoken generieren.
    • Gemeinsame Identität aktivieren: Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.
    Erweiterte Einstellungen für den Ablauf von Tab-Tokens

  • Wechseln Sie auf die Anmeldeoptionen Tab.
    Primärer Identitätsanbieter Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
    SSO-Flows Wählen Sie den gewünschten SSO-Flow aus der Dropdown-Liste aus, z. B. miniOrange als IDP, miniOrange als Brokerden miniOrange als Broker mit Discovery Flow.
    Auf dem Endbenutzer-Dashboard anzeigen Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.
    Authentifizierung erzwingen Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
    Erlaubte Abmelde-URIs Klicken Sie auf den Link „Zulässige Abmelde-URIs“, um eine Liste mit Weiterleitungs-URIs nach der Abmeldung hinzuzufügen. Benutzer werden nach einer erfolgreichen Abmeldung von miniOrange zu einer dieser URIs weitergeleitet.
    Single Logout aktiviert Aktivieren Sie diese Option, um beim Abmelden von dieser App Abmeldeanforderungen an andere Anwendungen zu senden.
    Anmelde-URL

    Sie können Benutzerattribute in die Anmelde-URL einfügen, indem Sie Platzhalter wie {{username}}, {{primaryEmail}}, {{customAttribute1}} usw. verwenden. Diese Platzhalter werden während des vom Identitätsanbieter initiierten SSO-Ablaufs dynamisch durch die tatsächlichen Benutzerwerte ersetzt.

    Sie können eine URL mit den folgenden Attributen generieren: Benutzername, primäre E-Mail-Adresse, alternative E-Mail-Adresse, Vorname, Name, primäre Telefonnummer und benutzerdefiniertes Attribut1.

    Die URL könnte so lauten login.com/{{username}}/?primaryEmail={{primaryEmail}}

  • Abfrageparameterformat: https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}}
  • Pfadparameterformat: https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}
    		•
    • Navigieren Sie zum Tab „Anmeldeoptionen“.

  • Wechseln Sie auf die Attribute Tab.
    • Option „Mehrwertige Attribute aktivieren“:
      • Mehrwertige Attribute aktivieren

    • Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und in ein mehrwertiges Attribut basierend auf ihrer Positionierung.
    • Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
    • Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
    • Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
    • In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.
    • Erforderliche App-Details abrufen / App-Informationen aktualisieren:
    • Gehen Sie zur Apps Abschnitt aus dem Seitenmenü. Suchen Sie in der Liste der konfigurierten Apps die von Ihnen erstellte App. Klicken Sie auf das Drei-Punkte-Symbol neben der App und wählen Sie die Bearbeiten .
      • Anwendung bearbeiten

    • Sie können alle oben genannten Details bearbeiten, falls Sie sie ändern möchten.
      • OAuth-Endpunkte

    • OAuth-Endpunkte:
      • Autorisierungsendpunkt [ https://<your-company-name>.xecurify.com/moas/idp/openidsso ]
        • Dieser Endpunkt wird verwendet, um den Endbenutzer mit seinen miniOrange-Anmeldeinformationen zu authentifizieren. Dadurch werden die Benutzer authentifiziert und eine Antwort an die Umleitungs-URL zurückgegeben, basierend auf den in der Anfrage übergebenen Parametern. [Hauptsächlich der Autorisierungscode]
        • Dieser Endpunkt akzeptiert die folgenden Parameter:
          • Client-ID: client_id der Anwendung, wie in den vorherigen Schritten konfiguriert
          • Umleitungs-URI: Die Rückruf-URL, an die Sie die Antwort zurückgeben möchten
          • Umfang: Umfang der Autorisierung oder Zugriffsebene. Sie können einen oder mehrere durch „+“ getrennte Bereiche senden. Beispiel: „E-Mail+OpenID“. Wir unterstützen die folgenden Bereiche:
            • E-Mail: gibt die E-Mail-Adresse des Benutzers in der Antwort zurück
            • Profil: gibt Benutzerprofilinformationen in der Antwort zurück
            • OpenID: Gibt das ID-Token mit den Benutzerprofildetails zurück.
        • Dadurch werden der Autorisierungscode und die Statusparameter in der Antwort zurückgegeben.
      • Token-Endpunkt [ https://<your-company-name>.xecurify.com/moas/rest/oauth/token ]
        • Dieser Endpunkt gibt Folgendes zurück:
        • ID-Token ​Enthält Benutzerattribute und Signaturen, die Sie mit dem bereitgestellten öffentlichen Zertifikat validieren müssen.
          • iss https-URI, die den Aussteller angibt
          unten Kennung des Benutzers beim Herausgeber
          aud client_id des anfragenden Clients
          Nuntius der vom Client empfangene Nonce-Parameterwert
          exp Ablaufzeit dieses Tokens
          siehe unten Zeitpunkt der Ausgabe dieses Tokens
          Authentifizierungszeit Zeitpunkt der Authentifizierung
          at_hash die erste Hälfte eines Hashs des Zugriffstokens
        • Zugriffstoken: 1 Stunde gültig und kann bis zum Ablauf zum Zugriff auf Benutzerinformationen oder andere Endpunkte verwendet werden.
        • Dieser Endpunkt akzeptiert die folgenden Parameter in der Anforderung:
          • Client-ID: Client-ID der Anwendung, wie in den vorherigen Schritten konfiguriert.
          • Client-Geheimnis: client_secret der Anwendung, wie im vorherigen Schritt konfiguriert.
          • Redirect_url: Die Rückruf-URL, an die die Antwort gepostet werden soll.
          • Code: Der vom Autorisierungsendpunkt empfangene Autorisierungscode.
          • Grant-Typ: Die OAuth-Berechtigung, die Sie für die Anforderung verwenden möchten.
      • Benutzerinformationsendpunkt [ https://<your-domain>.xecurify.com/moas/api/oauth/getuserinfo ] Nur im Fall von OAuth erforderlich
        • Mit dieser API können Benutzerprofilinformationen mit einem dem Benutzer zugewiesenen Zugriffstoken abgerufen werden. Eine GET-Anfrage wird an den Benutzerinfo-Endpunkt gesendet.
        • Sie müssen den Zugriffstoken im Autorisierungsheader senden, um die Benutzerdetails zu erhalten.
      • OpenID Single Logout Endpoint [ https://<your-domain>.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri ]:
        • Dieser Endpunkt entfernt die aktive Benutzersitzung vom miniOrange IDP und leitet den Benutzer zur im Parameter post_logout_url angegebenen URL weiter.
      OAuth-Endpunkte anzeigen

  • Wählen Sie unter Anwendung auswählen JWT von der Alle Apps Dropdown-Liste.
    • Wählen Sie die JWT-App aus dem Dropdown-Menü aus.

  • Suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … jwt und Sie können Ihre App einrichten über JWT-App.
    • JWT-Anwendung durchsuchen

  • Sie können die folgenden Details in der Anwendung konfigurieren:
    Display Name Geben Sie die Display Name (d. h. der Name dieser Anwendung)
    URL umleiten Geben Sie die URL umleiten (d. h. der Endpunkt, an den Sie Ihr JWT-Token senden/posten möchten). Sie können mehrere Weiterleitungs-URLs hinzufügen, indem Sie sie mit einem ';' trennen. Z. B. abc.com;xyz.com
    Kunden-ID Die Kunden-ID wird im Feld unten angezeigt. Klicken Sie auf das Zwischenablagesymbol, um es zu kopieren.
    Kundengeheimnis Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und kopieren Sie es über das Zwischenablagesymbol. Dies wird im HS256-Signaturalgorithmus zur Generierung der Signatur verwendet.
    Beschreibung (optional) Fügen Sie bei Bedarf eine Beschreibung hinzu.
    App-Logo hochladen (optional) Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.
    • Geben Sie die Details der JWT-App ein.

  • Klicken Sie auf Gespeichert.
  • Sie werden zum. Weitergeleitet Richtlinien .
    • Gehen Sie zu „Richtlinien“ und fügen Sie eine Richtlinie hinzu.

  • Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
    • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
      • Gruppenzuordnung konfigurieren

    • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
    • Geben Sie den Gruppennamen ein und klicken Sie auf Gruppe erstellen.
      • Erstelle eine neue Gruppe

    • Klicken Sie auf Weiter.
    • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
    • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
      • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
      • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.
    • Details zur Anmelderichtlinie hinzufügen

  • Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
  • Die Richtlinie wird angezeigt, sobald sie erfolgreich hinzugefügt wurde.
    • Richtlinie erfolgreich hinzugefügt

  • Klicken Sie auf Erweitert Tab.
  • Geben Sie bei Bedarf die folgenden Details ein:
    Zugangstoken Geben Sie das Zugriffstoken ein, das nach der Anmeldung eines Benutzers an Ihre Umleitungs-URL gesendet wird. Anhand dieses Tokens erkennt Ihre App, dass der Benutzer auf bestimmte Funktionen zugreifen darf.
    Ablauf des ID-Tokens (in Min.) Legen Sie fest, wie lange (in Minuten) das ID-Token gültig sein soll. Nach Ablauf dieser Zeit muss sich der Benutzer erneut anmelden, um ein neues Token zu erhalten.
    Betreff Wählen Sie aus, welche Informationen (z. B. die E-Mail-Adresse des Benutzers) zur Identifizierung im Token verwendet werden sollen. So erkennt Ihre App, welcher Benutzer angemeldet ist.
    Signaturalgorithmus Wählen Sie Ihren Signaturalgorithmus aus der Dropdown-Liste aus.
    Die Abmelde-URL Ihrer Anwendung Geben Sie die Webadresse ein, an die Benutzer nach der Abmeldung weitergeleitet werden sollen.
    Gemeinsame Identität aktivieren Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.
    • Wechseln Sie zur Registerkarte „Erweitert“.

  • Signaturalgorithmen für JWT

      • RSA-SHA256

      • Asymmetrisch, verwendet einen Satz privater und öffentlicher Schlüssel zum Generieren und Validieren der Signatur, die im JWT-Token enthalten ist.
      • Der private Schlüssel wird zum Generieren der Signatur auf der IDP-Seite verwendet.
      • Der öffentliche Schlüssel wird verwendet, um die Signatur auf der SP-Seite zu überprüfen.
      • Den öffentlichen Schlüssel hierzu stellen wir zur Verfügung.

      HS256

      • Symmetrisch, verwendet den gleichen geheimen Schlüssel zum Generieren und Validieren der Signatur
      • Der geheime Schlüssel kann in diesem Fall auf der App-Konfigurationsseite konfiguriert werden.
  • Wechseln Sie zu Anmeldeoptionen Tab.
    Primärer Identitätsanbieter Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
    Authentifizierung erzwingen Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
    Benutzerzuordnung aktivieren Aktivieren Sie diese Option, wenn die App bei der Antwort anzeigen soll, welcher Benutzer angemeldet ist.
    Auf Endbenutzer-Dashboard anzeigen Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.
    • Navigieren Sie zum Tab „Anmeldeoptionen“.

  • Wechseln Sie zu Attribute Tab.
    • Option „Mehrwertige Attribute aktivieren“:
      • Mehrwertige Attribute aktivieren

    • Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und basierend auf seiner Positionierung in ein mehrwertiges Attribut umgewandelt.
    • Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
    • Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
    • Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
    • In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.
  • Navigieren Endpunkte und kopieren Sie die folgenden Details:
    • Navigieren Sie zu Endpunkte und kopieren Sie URLs.

    • Single Sign-On-URL:
      • Diese URL wird verwendet, um die Benutzerauthentifizierung zum Abrufen des JWT-Tokens zu initiieren.
      • Nehmen Sie redirect_uri als einen der Abfrageparameter.
      • Nach erfolgreicher Authentifizierung auf der IDP-Seite wird im IDP eine aktive Benutzersitzung erstellt und der Benutzer mit dem JWT-Token zum Redirect_uri weitergeleitet.
    • Single-Logout-URL:
      • Diese URL wird verwendet, um den Benutzer vom IDP abzumelden, indem die aktive Benutzersitzung entfernt wird.
      • Nehmen Sie redirect_uri als einen der Abfrageparameter.
      • Nach dem Entfernen der aktiven Benutzersitzung leitet der IDP den Benutzer zum Redirect_uri weiter.
    • Antwort-URL für vom IdP initiierte Abmeldung:
      • Diese URL wird verwendet, um die Abmeldung einzuleiten, falls die JWT-Benutzeranmeldung über IDP initiiert wurde [Benutzer hat sich beim Dashboard angemeldet
        und dann vom Dashboard aus den Login für die App initiiert.]
      • Nachdem sich der Benutzer vom IDP abgemeldet hat, wird er zur Anmeldeseite des IDP-Dashboards weitergeleitet.

4. Anmeldung über die IDP-Auswahlseite (optional)

  • Nutze einfach das Konfigurieren Sie mehrere IDPs (Identity Provider) und Geben Sie den Benutzern die Möglichkeit, den IDP auszuwählen ihrer Wahl zur Authentifizierung.
    Beispiel: Es könnten mehrere AD-Domänen sein, die zu verschiedenen Abteilungen oder mehreren Okta-Organisationen gehören.

    • Einige Anwendungsfälle, in denen Kunden mehrere IDPs konfigurieren -

  • Angenommen, Sie haben ein Produkt, das viele Ihrer Kunden verwenden, und jeder Kunde hat seine eigene eindeutiger IDP Sie möchten also, dass sie sich auch bei Ihrem Produkt per SSO anmelden und dabei nur ihren vorhandenen IDP verwenden. miniOrange bietet eine zentrale Möglichkeit, ganz einfach eine Verbindung mit allen IDPs herzustellen und SSO in Ihre Anwendung zu integrieren.
  • Angenommen, Sie bieten einen Kurs für mehrere Universitäten an, von denen jede einen eigenen SAML- und OAuth-Protokoll-unterstützten IDP hat, wie Shibboleth, ADFS, CAS, usw. Sie können Single Sign-On (SSO) für Ihre Studienbewerbung bei allen diesen Universitäten bereitstellen, indem Sie sie über eine einzige von miniOrange bereitgestellte Plattform integrieren.
  • Dies ist der Endpunkt, der von Ihrer SAML-Anwendung aus aufgerufen werden soll -
    • Für Cloud IDP - https://login.xecurify.com/moas/discovery?customerId=<customer_id>
    Für On-Premise-IDP - https://yourdomain.com/discovery?customerId=<customer_id>

  • Kopieren Sie den Kundenschlüssel von Admin-Konsole->Einstellungen -> und ersetzen Sie es durch hier. Sobald die Konfiguration im SP erfolgt ist und Sie die Anmeldung vom Service Provider aus einleiten, wird ein Benutzer zur IDP-Auswahlseite weitergeleitet, auf der alle für dieses Konto konfigurierten IDPs aufgelistet sind.

    • Sie können den Screenshot unten sehen von IDP-Auswahlseite mit einer Liste der Binnenvertriebenen.


    Hinweis: Um den IDP in der Dropdown-Liste anzuzeigen, gehen Sie zur Registerkarte „Identitätsanbieter“ > neben Ihrem konfigurierten IDP > Wählen Sie > „Bearbeiten“, hier Aktivieren Sie „Benutzern IdP anzeigen“ .

    Wählen Sie Ihren IDP (Identity Provider) zur Anmeldung

  • Sie haben auch die Möglichkeit, das Erscheinungsbild und Design dieser Seite zu ändern. Melden Sie sich bei der miniOrange-Admin-Konsole an. Navigieren Sie zu Anpassung -> Branding-Konfiguration. Siehe den Screenshot unten als Referenz-

    • Anpassen der Anmeldeseite für die IDP-Auswahl

  • Sie können den Titel dieser Seite anpassen.
  • Ändern Sie das Logo und das Favicon für diese Seite.
  • Ändern Sie die Hintergrund- und Schaltflächenfarbe für diese Seite über die Administrator-Benutzeroberfläche.

Externe Referenzen

Möchten Sie eine Demo planen?

Demo anfordern
  



Unsere anderen Identity & Access Management-Produkte

Single Sign-On

Nahtlose Anmeldung der Mitarbeiter- und Kundenidentität bei Cloud- oder On-Premise-Apps

Mehr erfahren

Multi-Faktor-Authentifizierung

Sicherer Zugriff für Identitäten mit einer zusätzlichen Authentifizierungsebene

Mehr erfahren

Adaptive Authentifizierung

Blockieren oder gewähren Sie den Benutzerzugriff basierend auf IP, Gerät, Zeit und Standort

Mehr erfahren

Lebenszyklus-Management

Verwalten und automatisieren Sie die Bereitstellung und Debereitstellung von Benutzern für Apps.

Mehr erfahren