• Home
• Anmeldung mit externem IDP
• Einmalige Anmeldung bei MariaDB

Single Sign On (SSO) für Ihre Apps mit MariaDB

---

Anmeldung mit MariaDB als Benutzerspeicher

miniOrange bietet eine gebrauchsfertige Single Sign-On-Lösung mit MariaDBDiese Lösung stellt sicher, dass Sie innerhalb weniger Minuten einen sicheren Zugriff auf jede Ihrer Anwendungen mithilfe von MariaDB-Anmeldeinformationen einrichten können.

Wo ist SSO (Single Sign-On) mit MariaDB anwendbar?

Verschiedene Benutzerspeicher dh CRM/HRM/CMS/LMS, in denen Benutzer gespeichert sind, unterstützen nicht Single Sign-On oder jedes andere Authentifizierungsprotokoll. Hier kommt die miniOrange MariaDB SSO-Lösung ins Spiel und bietet verschiedene SSO-Dienste für diese Art von Anwendungen.

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für SSO für Ihre Apps mit der MariaDB-Datenbank

1. MariaDB als Authentifizierungsquelle einrichten

• Melden Sie sich bei Ihrem miniOrange an Admin-Konsole und navigieren Sie zu Identitätsanbieter >> Identitätsanbieter hinzufügen.



• Unter dem Identitätsanbieter auswählenWählen Datenbank von der Alle Dropdown-Liste.



• Suchen Sie nach MariaDB und wählen Sie es aus der Liste aus.



• Im Verbindungskonfiguration Geben Sie in diesem Abschnitt folgende Details ein:





Feld	Beschreibung
Datenbankkennung	Geben Sie die Datenbankkennung—der Name der Datenbank, die Sie hinzufügen. Es kann ein beliebiger Name sein, der für den Benutzerspeicher relevant ist.
Datenbankhost	Die folgende Tabelle zeigt die Standardwerte und die Syntax für die Felder auf der Konfigurationsseite. Datenbanktyp Datenbankhost Standard-Portnummer Passwort-Hash-Algorithmus MariaDB jdbc:mysql:thin:@ : : / 3306 PHPASS Das Datenbankhost Die URL ist die Verbindungs-URL. Das hostname kann sein localhost oder irgendein Remote-Host. Der Standardport für die MariaDB-Datenbank ist 3306. Das Datenbankname ist die Datenbank, in der die Benutzer zur Authentifizierung gespeichert werden.
Admin Benutzername	Für localhost lautet der Administratorbenutzername typischerweise 'Wurzel'Wenden Sie sich bei einem Remote-Host an Ihren Administrator.
Admin-Passwort	Geben Sie das Administratorpasswort ein, das dem Administratorbenutzernamen entspricht.
Benutzertabelle	Das Benutzertabelle ist die Datenbanktabelle, in der Benutzer zur Authentifizierung gespeichert werden. Zum Beispielin WordPress die Benutzertabelle is wp_users.
Spalte „Benutzername“	Die Spalte „Benutzername“ speichert die Benutzernamen, die zur Authentifizierung verwendet werden. Zum Beispielin WordPress die Spalte „Benutzername“ is user_login.
Spalte „Passwort“	Die Spalte „Passwort“ ist die Spalte, in der die Passwörter der Benutzer gespeichert werden. Zum Beispielin WordPress die Passwortspalte is user_pass.

• Klicken Sie auf Weiter um zum Erweitert Einstellungen für MariaDB.





Benutzeraktivierte Abfrage	Hier können Sie die Abfrage eingeben, um zu prüfen, ob der Benutzer aktiv ist oder nicht. Ejemplo: Wählen Sie user_activated_column aus user_tables, wobei user_name=? und user_activated_column='true' ist.
Abfragezeichenfolgen hinzufügen	Fügen Sie die Abfragezeichenfolgen für die Spalten hinzu, die Sie aus der Datenbank importieren möchten. Dies kann für die Attributzuordnung nützlich sein: Ejemplo: SELECT '##FIRSTNAME##', FIRSTNAME FROM users WHERE USERNAME=?
Passwort-Hash-Algorithmus	Der für MariaDB verwendete Hashing-Typ ist: PHPASS.
Domänenzuordnung	Geben Sie durch Kommas getrennte Domänennamen ein, um diesen Identitätsanbieter auf bestimmte Domänen zu beschränken. Um alle Domänen zuzulassen, lassen Sie das Feld leer.
Für Endbenutzer aktivieren	Aktivieren Sie diese Option, wenn sich Ihre Endbenutzer mit IDP-Anmeldeinformationen in ihr jeweiliges Endbenutzer-Dashboard einloggen sollen.
Benutzer in miniOrange synchronisieren	Benutzer werden in miniOrange beim Anmelden im Endbenutzer-Dashboard erstellt/aktualisiert. Dies gilt nur, wenn die Option „Für Endbenutzer aktivieren“ aktiviert ist.
Fallback-Authentifizierung	Wenn Sie diese Option aktivieren, werden Benutzer aus einer externen Datenbank direkt über den miniOrange IdP authentifiziert, ohne dort angelegt zu werden. Dies ist hilfreich, wenn die Datenbank, aus der die Authentifizierung erfolgt, private oder sensible Benutzerinformationen enthält.

• Klicken Sie auf Weiter um mit dem nächsten Schritt fortzufahren.
• Im Benutzersynchronisierung Registerkarte, geben Sie die SQL-Abfragen ein für Benutzer existiert, Benutzer erstellen, Benutzer aktualisieren und Benutzer löschen Operationen.





Benutzer existiert Abfragen	Geben Sie die SQL-Abfrage ein, um zu prüfen, ob ein Benutzer in der Datenbank existiert. Ejemplo: SELECT COUNT(*) FROM users WHERE username = ?
Benutzerabfragen erstellen	Geben Sie die SQL-Abfrage ein, um einen neuen Benutzer in der Datenbank zu erstellen. Ejemplo: INSERT INTO users (username, password) VALUES (?, ?)
Benutzerabfragen aktualisieren	Geben Sie die SQL-Abfrage ein, um die Benutzerinformationen in der Datenbank zu aktualisieren. Ejemplo: UPDATE users SET password = ? WHERE username = ?
Benutzerabfragen löschen	Geben Sie die SQL-Abfrage ein, um einen Benutzer aus der Datenbank zu löschen. Ejemplo: DELETE FROM users WHERE username = ?

• Gehen Sie zur Attribute Über die Registerkarte können Sie die Attribute für die MariaDB-Datenbank konfigurieren.
• Benutzerdefinierte Attribute sendenWenn Sie diese Option aktivieren, werden beim Login nur die unten konfigurierten Attribute als Attribute gesendet.

  Hinweis: Fügen Sie für jedes Attribut, das Sie aus der Datenbank abrufen möchten, eine Abfragezeichenfolge hinzu.

• Klicken Sie auf Attribute hinzufügen ein neues Attribut hinzufügen.
• Geben Sie die Attributname, der an SP gesendet wurde Dies ist der Attributname, der an den Dienstanbieter gesendet wird.
• Geben Sie die Attributname aus der Datenbank Dies ist der Attributname, der aus der Datenbank abgerufen wird.
• Ejemplo: Vorname → ##VORNAME##, Familienname, Nachname → ##NACHNAME##, Benutzername → ##BENUTZERNAME##, E-Mail → ##E-MAIL##



• Klicken Sie auf Gespeichert um das Attribut zu speichern.
• Klicken Sie auf Gespeichert um die Konfiguration zu speichern.

2. Verbindung testen

• Um zu prüfen, ob eine Verbindung mit der Datenbank besteht oder nicht, Verbindung testen Dies ist erforderlich. Bitte gehen Sie neben der App auf „Aktionen“, klicken Sie auf das Symbol mit den drei Punkten und wählen Sie aus. Verbindung testen.



• Geben Sie die Anmeldedaten des Benutzers ein, die in der Benutzertabelle der entsprechenden Datenbank gespeichert sind, um zu testen, ob die Verbindung korrekt hergestellt wurde. Klicken Sie auf Test um zu überprüfen, ob die Verbindung erfolgreich war oder nicht.
  
  
  
  
• Wenn der Verbindungstest erfolgreich ist, können Sie loslegen.
• Falls der Verbindungstest fehlschlägt, überprüfen Sie bitte Ihre Konfiguration erneut oder kontaktieren Sie Ihren Administrator. Ein weiterer möglicher Grund könnte sein, dass Sie die falschen Anmeldeinformationen eingeben. Verbindung testen.

3. Benutzerbereitstellung

• Navigieren Provisioning zu üben.



• Wähle aus Datenbank Aus dem Dropdown-Menü.
• Überprüfen Sie die Bereitstellungsfunktionen.



• Um die Benutzer aus der Datenbank zu importieren, gehen Sie zu Benutzerbereitstellung, Klicke auf das Benutzer importieren .
• Wähle aus Datenbank aus dem Dropdown-Menü und speichern Sie die Konfiguration.



• Gehe jetzt zum Nutzer >> Benutzerliste und Sie finden alle aus der Datenbank importierten Benutzer.

4. Konfigurieren Sie Ihre Anwendung in miniOrange

• Einloggen um miniOrange Admin-Konsole.
• Zurück Nach Apps >> Anwendung hinzufügen.

• SAML-Anwendung
• OAuth-Anwendung
• JWT-Anwendung

• Wählen Sie unter Anwendung auswählen SAML/WS-FED von der Alle Apps Dropdown-Liste.



• Im nächsten Schritt suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … Original und Sie können Ihre App einrichten über Benutzerdefinierte SAML-App. Klicken Sie auf Senden Sie eine neue App-Anfrage wenn Sie einen neuen SSO-Antrag einreichen möchten.



• Unter dem Plug-and-Play-Betrieb Über die Registerkarte können Sie die folgenden Einstellungen konfigurieren.

  Anzeigename (erforderlich)	Geben Sie die Anzeigename für Ihre App nach Ihren Vorlieben.
  SP-Unternehmens-ID oder Aussteller (erforderlich)	Dient zur Identifizierung Ihrer App anhand der vom Service Provider (SP) empfangenen SAML-Anfrage. Die SP-Entitäts-ID oder der Aussteller kann entweder als URL oder im String-Format vorliegen.
  ACS-URL oder Assertion Consumer Service-URL (erforderlich)	Legt fest, wohin die SAML-Assertion nach der Authentifizierung gesendet werden soll. Stellen Sie sicher, dass die ACS-URL folgendes Format hat: https://www.domain-name.com/a/[domain_name]/acs
  Zielgruppen-URL	Wie der Name schon sagt, legt dieses Feld die gültige Zielgruppe für die SAML-Assertion fest. Diese entspricht in der Regel der SP-Entitäts-ID. Falls die Zielgruppen-URL nicht separat vom Service Provider (SP) angegeben wird, lassen Sie das Feld leer.
  Einzelne Abmelde-URL	Die URL, an die die Abmeldeanfrage verarbeitet werden soll und zu der Ihre Benutzer nach einer einmaligen Abmeldung von den Anwendungen weitergeleitet werden sollen.
  Logo der Upload-App	Laden Sie ein Logo für Ihre Anwendung hoch.




• Klicken Sie auf Weiter auf dem Sprung Erweiterte EinstellungenKonfigurieren Sie die folgenden Einstellungen.

  Unterzeichnete Anfrage	Aktivieren Sie diese Option, um die vom Service Provider (SP) gesendete SAML-Anfrage zu signieren. Stellen Sie das X.509-Zertifikat bereit oder laden Sie es hoch.
  Antwort unterschreiben	Aktivieren Sie diese Option, wenn die gesamte SAML-Antwort signiert werden soll.
  Unterschreiben Sie die Behauptung	Aktivieren Sie diese Option, wenn nur die Assertion innerhalb der SAML-Antwort signiert werden soll.
  Signaturalgorithmus	Wählen Sie den Algorithmus aus, der zum Signieren der SAML-Anfrage/-Antwort verwendet wird.
  Behauptung verschlüsseln	Wählen Sie diese Option aus, wenn Sie die Assertion in der SAML-Antwort verschlüsseln und den Algorithmus und das Zertifikat für die Verschlüsselung angeben möchten.
  Relaiszustand	Geben Sie die URL ein, zu der der Benutzer nach der Anmeldung bei der Anwendung weitergeleitet werden soll.
  Relaisstatus überschreiben	Aktivieren Sie diese Option, um den Standard-Relay-Status des SP zu überschreiben.
  Bindung der Abmeldeantwort	Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung von SP gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden.
  IdP-initiierte Abmeldeanforderungsbindung:	Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung vom IdP-Dashboard gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden. HTTP-Umleitung - Eine Abmeldeantwort mit ihrer Signatur HTTP POST - Eine Abmeldeantwort mit eingebetteter Signatur
  Gültigkeitsdauer der SAML-Authentifizierung	Die Zeit, für die die Authentifizierung als gültig angesehen werden soll und der Benutzer SSO durchführen kann. Danach muss sich der Benutzer erneut anmelden.
  Gemeinsame Identität aktivieren	Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.




• Klicken Sie auf Weiter auf dem Sprung Anmeldeoptionen Registerkarte. Hier können Sie die folgenden Einstellungen konfigurieren:

  Primärer Identitätsanbieter	Wählen Sie die Identitätsquelle aus, von der aus die Authentifizierung erfolgen soll. Sie sehen die Liste aller konfigurierten Quellen.
  Authentifizierung erzwingen	Aktivieren Sie diese Option, um bei jeder Anforderung zum Zugriff auf die Anwendung eine Authentifizierung zu erzwingen.
  Auf Endbenutzer-Dashboard anzeigen	Deaktivieren Sie diese Option, wenn die App nicht für alle Benutzer im Endbenutzer-Dashboard sichtbar sein soll.




• Klicken Sie auf Weiter auf dem Sprung Attribute Registerkarte. Hier können Sie die Attribute hinzufügen und konfigurieren, die an die App gesendet werden sollen.

  NameID	Die NameID ist die eindeutige Kennung des authentifizierten Benutzers in der SAML-Assertion. Sie ermöglicht dem Dienstanbieter, den Benutzer zu erkennen und einem Konto zuzuordnen. In der Regel handelt es sich bei der NameID um einen Benutzernamen oder eine E-Mail-Adresse.
  NameID-Format	Legt fest, welcher Identifikatortyp (z. B. E-Mail, persistent, temporär) in der NameID verwendet wird, damit der Service Provider (SP) den Benutzer korrekt zuordnen kann. Falls der SP kein bestimmtes Format anfordert, kann der Identity Provider (IdP) dieses nicht spezifizieren und einen Standardwert verwenden.
  Namensformat hinzufügen	Das Namensformat definiert, wie Attributnamen in einer SAML-Assertion dargestellt werden (z. B. als einfache Zeichenketten oder URIs). Es hilft dem Service Provider (SP), die Attributbenennung korrekt zu interpretieren und gewährleistet die Konsistenz zwischen Identity Provider (IdP) und SP.
  Mehrwertige Attribute aktivieren	Aktiviert: Kommas (,) und Semikolons (;) werden als Trennzeichen behandelt, sodass das Attribut in eine übersichtliche Liste aufgeteilt wird. Beispiel: roles = ['admin', 'editor', 'viewer']. Deaktiviert: Kommas und Semikolons werden nicht als Trennzeichen behandelt, daher bleibt das Attribut als eine zusammenhängende Zeichenkette erhalten. Beispiel: roles = "admin;editor;viewer".
  Attributzuordnung	Sie können Attribute hinzufügen, die in der SAML-Assertion an den Service Provider (SP) gesendet werden sollen. Zu diesen Attributen gehören Benutzerprofilattribute wie Vorname, Nachname, vollständiger Name, Benutzername, E-Mail-Adresse, benutzerdefinierte Profilattribute und Benutzergruppen usw.




• Klicken Sie auf Weiter auf dem Sprung Richtlinien Registerkarte. Sie müssen Anwendung speichern Zuerst muss die Richtlinie für die Anwendung konfiguriert werden.



• Nachdem die Anwendung gespeichert wurde, können Sie die Richtlinie für diese Anwendung konfigurieren.



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie die Gruppenname und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
  • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
  • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
  • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
  • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Sobald die Richtlinie erfolgreich hinzugefügt wurde, wird sie in der Liste angezeigt.



• Im Metadaten Klicken Sie auf einen der beiden Tabs:
• Klicken Sie auf miniOrange als IDP Wenn Sie miniOrange als Benutzerspeicher verwenden möchten, werden Ihre Benutzeridentitäten in miniOrange gespeichert.
• Klicken Sie auf Externe Quelle als IdP Wenn Sie Ihre Benutzer authentifizieren möchten über jede externe Identität Anbieter wie Active Directory, Okta, OneLogin usw. oder andere benutzerdefinierte Identitätsanbieter.





• Nutze einfach das Metadaten herunterladen, Zertifikat herunterladen, Metadaten-URL kopieren oder Zertifikat kopieren basierend auf Ihren Anforderungen.
• In ähnlicher Weise können Sie die Werte von SAML-Anmelde-URL, SAML-Abmelde-URL, IDP-Entitäts-ID oder Aussteller, IDP-Abmelde-URL, Metadaten-URL von hier gemäß Ihren Metadatenanforderungen.

• Wählen Sie unter Anwendung auswählen OAuth/OpenID von der Alle Apps Dropdown-Liste.



• Suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … oauth und Sie können Ihre App einrichten über OAuth2/OpenID Connect.



• Im Plug-and-Play-Betrieb Geben Sie die folgenden Details ein:

  Display Name	Geben Sie die Display Name (d. h. der Name dieser Anwendung).
  URL umleiten	Geben Sie die URL umleiten. Stellen Sie sicher, dass es diesem Format entspricht: https://<mycompany.domain-name.com>
  Kunden-ID	Automatisch generiert. Klicken Sie auf das Kopiersymbol, um es in Ihrer Anwendung zu verwenden.
  Kundengeheimnis	Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und verwenden Sie das Zwischenablagesymbol, um es zu kopieren.
  Betreff (optional)	Wählen Sie ein Attribut aus der Dropdown-Liste aus.
  Beschreibung (optional)	Fügen Sie bei Bedarf eine Beschreibung hinzu.
  App-Logo hochladen (optional)	Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.

• Klicken Sie auf Gespeichert.



• Sie werden zum. Weitergeleitet Richtlinien .



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie die Gruppenname und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
• Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
• Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
• Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
• Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Die Richtlinie wird angezeigt, sobald sie erfolgreich hinzugefügt wurde.



• Sie können an der go Erweitert , um andere Einstellungen zu ändern, z. B. die Ablaufzeit für Zugriffs-, JWT- und Aktualisierungstoken.
• Ablauf des Zugriffstokens: Wie lange der bereitgestellte Zugriffstoken ab Erstellung gültig sein soll. [In Stunden] Nach Ablauf muss ein neuer Zugriffstoken generiert werden.
• Ablauf des JWT-Tokens: Wie lange das generierte JWT-Token gültig sein soll. [In Stunden]
• Ablauf des Aktualisierungstokens: Wie lange das generierte Aktualisierungstoken gültig sein soll. [In Tagen] Sie müssen nach der angegebenen Anzahl von Tagen ein neues Aktualisierungstoken generieren.
• Gemeinsame Identität aktivieren: Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.



• Wechseln Sie auf die Anmeldeoptionen Tab.

  Primärer Identitätsanbieter	Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
  SSO-Flows	Wählen Sie den gewünschten SSO-Flow aus der Dropdown-Liste aus, z. B. miniOrange als IDP, miniOrange als Brokerden miniOrange als Broker mit Discovery Flow.
  Auf dem Endbenutzer-Dashboard anzeigen	Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.
  Authentifizierung erzwingen	Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
  Erlaubte Abmelde-URIs	Klicken Sie auf den Link „Zulässige Abmelde-URIs“, um eine Liste mit Weiterleitungs-URIs nach der Abmeldung hinzuzufügen. Benutzer werden nach einer erfolgreichen Abmeldung von miniOrange zu einer dieser URIs weitergeleitet.
  Single Logout aktiviert	Aktivieren Sie diese Option, um beim Abmelden von dieser App Abmeldeanforderungen an andere Anwendungen zu senden.
  Anmelde-URL	Sie können Benutzerattribute in die Anmelde-URL einfügen, indem Sie Platzhalter wie {{username}}, {{primaryEmail}}, {{customAttribute1}} usw. verwenden. Diese Platzhalter werden während des vom Identitätsanbieter initiierten SSO-Ablaufs dynamisch durch die tatsächlichen Benutzerwerte ersetzt. Sie können eine URL mit den folgenden Attributen generieren: Benutzername, primäre E-Mail-Adresse, alternative E-Mail-Adresse, Vorname, Name, primäre Telefonnummer und benutzerdefiniertes Attribut1. Die URL könnte so lauten login.com/{{username}}/?primaryEmail={{primaryEmail}} Abfrageparameterformat: https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}} Pfadparameterformat: https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}




• Wechseln Sie auf die Attribute Tab.
• Option „Mehrwertige Attribute aktivieren“:



• Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und in ein mehrwertiges Attribut basierend auf ihrer Positionierung.
• Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
• Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
• Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
• In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.
• Erforderliche App-Details abrufen / App-Informationen aktualisieren:
• Gehen Sie zur Apps Abschnitt aus dem Seitenmenü. Suchen Sie in der Liste der konfigurierten Apps die von Ihnen erstellte App. Klicken Sie auf das Drei-Punkte-Symbol neben der App und wählen Sie die Bearbeiten .



• Sie können alle oben genannten Details bearbeiten, falls Sie sie ändern möchten.



• OAuth-Endpunkte:
• Autorisierungsendpunkt [ https://<your-company-name>.xecurify.com/moas/idp/openidsso ]
• Dieser Endpunkt wird verwendet, um den Endbenutzer mit seinen miniOrange-Anmeldeinformationen zu authentifizieren. Dadurch werden die Benutzer authentifiziert und eine Antwort an die Umleitungs-URL zurückgegeben, basierend auf den in der Anfrage übergebenen Parametern. [Hauptsächlich der Autorisierungscode]
• Dieser Endpunkt akzeptiert die folgenden Parameter:
• Client-ID: client_id der Anwendung, wie in den vorherigen Schritten konfiguriert
• Umleitungs-URI: Die Rückruf-URL, an die Sie die Antwort zurückgeben möchten
• Umfang: Umfang der Autorisierung oder Zugriffsebene. Sie können einen oder mehrere durch „+“ getrennte Bereiche senden. Beispiel: „E-Mail+OpenID“. Wir unterstützen die folgenden Bereiche:
• Email: gibt die E-Mail-Adresse des Benutzers in der Antwort zurück
• Profil: gibt Benutzerprofilinformationen in der Antwort zurück
• OpenID: Gibt das ID-Token mit den Benutzerprofildetails zurück.
• Dadurch werden der Autorisierungscode und die Statusparameter in der Antwort zurückgegeben.
• Token-Endpunkt [ https://<your-company-name>.xecurify.com/moas/rest/oauth/token ]
• Dieser Endpunkt gibt Folgendes zurück:
• ID-Token ​Enthält Benutzerattribute und Signaturen, die Sie mit dem bereitgestellten öffentlichen Zertifikat validieren müssen.

iss	https-URI, die den Aussteller angibt
unten	Kennung des Benutzers beim Herausgeber
aud	client_id des anfragenden Clients
Nuntius	der vom Client empfangene Nonce-Parameterwert
exp	Ablaufzeit dieses Tokens
siehe unten	Zeitpunkt der Ausgabe dieses Tokens
Authentifizierungszeit	Zeitpunkt der Authentifizierung
at_hash	die erste Hälfte eines Hashs des Zugriffstokens

• Zugriffstoken: 1 Stunde gültig und kann bis zum Ablauf zum Zugriff auf Benutzerinformationen oder andere Endpunkte verwendet werden.
• Dieser Endpunkt akzeptiert die folgenden Parameter in der Anforderung:
• Client-ID: Client-ID der Anwendung, wie in den vorherigen Schritten konfiguriert.
• Client-Geheimnis: client_secret der Anwendung, wie im vorherigen Schritt konfiguriert.
• Redirect_url: Die Rückruf-URL, an die die Antwort gepostet werden soll.
• Code: Der vom Autorisierungsendpunkt empfangene Autorisierungscode.
• Grant-Typ: Die OAuth-Berechtigung, die Sie für die Anforderung verwenden möchten.
• Benutzerinformationsendpunkt [ https://<your-domain>.xecurify.com/moas/api/oauth/getuserinfo ] Nur im Fall von OAuth erforderlich
• Mit dieser API können Benutzerprofilinformationen mit einem dem Benutzer zugewiesenen Zugriffstoken abgerufen werden. Eine GET-Anfrage wird an den Benutzerinfo-Endpunkt gesendet.
• Sie müssen den Zugriffstoken im Autorisierungsheader senden, um die Benutzerdetails zu erhalten.
• OpenID Single Logout Endpoint [ https://<your-domain>.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri ]:
• Dieser Endpunkt entfernt die aktive Benutzersitzung vom miniOrange IDP und leitet den Benutzer zur im Parameter post_logout_url angegebenen URL weiter.

• Wählen Sie unter Anwendung auswählen JWT von der Alle Apps Dropdown-Liste.



• Suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … jwt und Sie können Ihre App einrichten über JWT-App.



• Sie können die folgenden Details in der Anwendung konfigurieren:

  Display Name	Geben Sie die Display Name (d. h. der Name dieser Anwendung)
  URL umleiten	Geben Sie die URL umleiten (d. h. der Endpunkt, an den Sie Ihr JWT-Token senden/posten möchten). Sie können mehrere Weiterleitungs-URLs hinzufügen, indem Sie sie mit einem ';' trennen. Z. B. abc.com;xyz.com
  Kunden-ID	Das Kunden-ID wird im Feld unten angezeigt. Klicken Sie auf das Zwischenablagesymbol, um es zu kopieren.
  Kundengeheimnis	Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und kopieren Sie es über das Zwischenablagesymbol. Dies wird im HS256-Signaturalgorithmus zur Generierung der Signatur verwendet.
  Beschreibung (optional)	Fügen Sie bei Bedarf eine Beschreibung hinzu.
  App-Logo hochladen (optional)	Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.




• Klicken Sie auf Gespeichert.
• Sie werden zum. Weitergeleitet Richtlinien .



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie den Gruppennamen ein und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
  • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
  • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
  • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
  • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Die Richtlinie wird angezeigt, sobald sie erfolgreich hinzugefügt wurde.



• Klicken Sie auf Erweitert Tab.
• Geben Sie bei Bedarf die folgenden Details ein:

  Zugangstoken	Geben Sie das Zugriffstoken ein, das nach der Anmeldung eines Benutzers an Ihre Umleitungs-URL gesendet wird. Anhand dieses Tokens erkennt Ihre App, dass der Benutzer auf bestimmte Funktionen zugreifen darf.
  Ablauf des ID-Tokens (in Min.)	Legen Sie fest, wie lange (in Minuten) das ID-Token gültig sein soll. Nach Ablauf dieser Zeit muss sich der Benutzer erneut anmelden, um ein neues Token zu erhalten.
  Betreff	Wählen Sie aus, welche Informationen (z. B. die E-Mail-Adresse des Benutzers) zur Identifizierung im Token verwendet werden sollen. So erkennt Ihre App, welcher Benutzer angemeldet ist.
  Signaturalgorithmus	Wählen Sie Ihren Signaturalgorithmus aus der Dropdown-Liste aus.
  Die Abmelde-URL Ihrer Anwendung	Geben Sie die Webadresse ein, an die Benutzer nach der Abmeldung weitergeleitet werden sollen.
  Gemeinsame Identität aktivieren	Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.




• Signaturalgorithmen für JWT

RSA-SHA256

• Asymmetrisch, verwendet einen Satz privater und öffentlicher Schlüssel zum Generieren und Validieren der Signatur, die im JWT-Token enthalten ist.
• Der private Schlüssel wird zum Generieren der Signatur auf der IDP-Seite verwendet.
• Der öffentliche Schlüssel wird verwendet, um die Signatur auf der SP-Seite zu überprüfen.
• Den öffentlichen Schlüssel hierzu stellen wir zur Verfügung.



HS256

• Symmetrisch, verwendet den gleichen geheimen Schlüssel zum Generieren und Validieren der Signatur
• Der geheime Schlüssel kann in diesem Fall auf der App-Konfigurationsseite konfiguriert werden.
• Wechseln Sie zu Anmeldeoptionen Tab.

  Primärer Identitätsanbieter	Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
  Authentifizierung erzwingen	Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
  Benutzerzuordnung aktivieren	Aktivieren Sie diese Option, wenn die App bei der Antwort anzeigen soll, welcher Benutzer angemeldet ist.
  Auf Endbenutzer-Dashboard anzeigen	Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.




• Wechseln Sie zu Attribute Tab.
• Option „Mehrwertige Attribute aktivieren“:



• Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und basierend auf seiner Positionierung in ein mehrwertiges Attribut umgewandelt.
• Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
• Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
• Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
• In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.
• Navigieren Endpunkte und kopieren Sie die folgenden Details:



• Single Sign-On-URL:
  • Diese URL wird verwendet, um die Benutzerauthentifizierung zum Abrufen des JWT-Tokens zu initiieren.
  • Nehmen Sie redirect_uri als einen der Abfrageparameter.
  • Nach erfolgreicher Authentifizierung auf der IDP-Seite wird im IDP eine aktive Benutzersitzung erstellt und der Benutzer mit dem JWT-Token zum Redirect_uri weitergeleitet.
• Single-Logout-URL:
  • Diese URL wird verwendet, um den Benutzer vom IDP abzumelden, indem die aktive Benutzersitzung entfernt wird.
  • Nehmen Sie redirect_uri als einen der Abfrageparameter.
  • Nach dem Entfernen der aktiven Benutzersitzung leitet der IDP den Benutzer zum Redirect_uri weiter.
• Antwort-URL für vom IdP initiierte Abmeldung:
  • Diese URL wird verwendet, um die Abmeldung einzuleiten, falls die JWT-Benutzeranmeldung über IDP initiiert wurde [Benutzer hat sich beim Dashboard angemeldet
    und dann vom Dashboard aus den Login für die App initiiert.]
  • Nachdem sich der Benutzer vom IDP abgemeldet hat, wird er zur Anmeldeseite des IDP-Dashboards weitergeleitet.

Externe Referenzen

• Was ist Identity Brokering?
• Erfahren Sie mehr über SSO