• Home
• Anmeldung mit externem IDP
• Benutzerdefinierte Datenbankverbindung mit miniOrange zur Authentifizierung

Benutzerdefinierte Datenbankverbindung mit miniOrange zur Authentifizierung

---

Was ist Authentifizierung mithilfe einer benutzerdefinierten Datenbankverbindung?

miniOrange ermöglicht die Verbindung mit einer Datenbank und die Nutzung als Authentifizierungs-Benutzerspeicher, um Single Sign-on (SSO), Multi-Faktor-Authentifizierung usw. für Ihre externen Anwendungen zu ermöglichen. Dabei lässt miniOrange eine benutzerdefinierte Datenbank als Benutzerspeicher für die Authentifizierung fungieren. Benutzer melden sich nur einmal mit ihren benutzerdefinierten Datenbankanmeldeinformationen an und können sich nahtlos per SSO bei den anderen Anwendungen anmelden. Wir entwickeln eine Verbindung zwischen miniOrange und Ihrer Datenbank als Benutzerspeicher.

Was ist eine benutzerdefinierte Datenbank und warum sollte ich miniOrange zur Authentifizierung verwenden?

• Eine benutzerdefinierte Datenbank kann jede beliebige Datenbank sein, die Sie zum Speichern von Benutzerdaten und anderen Benutzerinformationen für Ihre benutzerdefinierte Anwendung zur Authentifizierung oder Anmeldung oder für andere Zwecke verwenden können. miniOrange bietet Verbindungsunterstützung für alle gängigen benutzerdefinierten Datenbanken, wie z. B. MongoDB, MySQL, MS-SQL, Oracle, PostgreSQL, SQL Server usw.
• Das Highlight bei der Verwendung einer benutzerdefinierten Datenbankverbindung für die Authentifizierung und Anmeldung ist, dass Sie müssen Ihre Identitäten nicht verschieben an jeden anderen Ort. Alle Benutzerdaten sind also in Ihrer Datenbank selbst sicher.
• Aktivieren Sie Single Sign-on und MFA zur Authentifizierung bei Ihren benutzerdefinierten Anwendungen oder CRM/HRM/CMS/LMS. wo Benutzer in der Datenbank gespeichert werden und kein Single Sign-On-Protokoll von Natur aus unterstützt wird, wie etwa Wordpress, Moodle, Drupal oder vielmehr eine benutzerdefinierte Anwendung, die die Benutzer speichert.
• miniOrange ermöglicht die Bereitstellung einer sofortigen Benutzererstellung beim SSO-Login und Sie können Benutzer mithilfe einer JSON-/CSV-Datei importieren.
• Konfigurieren Sie mehrere Benutzerspeicher für die Anmeldung bei Ihren Anwendungen mit Unterstützung mehrerer Authentifizierungsprotokolle wie SAML, OAauth usw. für verschiedene Benutzergruppen basierend auf Rollen und Verantwortlichkeiten.

1. Einrichten einer benutzerdefinierten Datenbankverbindung als Benutzerspeicher

• Melden Sie sich bei der miniOrange-Admin-Konsole an.



• Gehe zu Externe Verzeichnisse >> Verzeichnis hinzufügen Taste im nun erscheinenden Bestätigungsfenster nun wieder los.



• Wählen Sie das Verzeichnis aus, das Sie konfigurieren möchten, und geben Sie die erforderlichen Details ein.
• Wähle aus Datenbank Tab.



• Geben Sie die benutzerdefinierte Kennung für den Datenbank-Benutzerspeicher ein. Dies kann jeder für den Benutzerspeicher relevante Name sein.
• Wählen Sie den DB-Typ aus, den wir derzeit unterstützen: -
  
  • MySQL
  • MariaDB
  • OracleDB
  • MS-SQL
  • Postgres-SQL

Datenbanktyp	Verbindungs-URL	Portnummer Standard
MySQL/MariaDB	jdbc:mysql://Hostname:Port/Datenbankname	3306
MS-SQL	jdbc:sqlserver://Hostname:Port/Datenbankname	1433
Postgres SQL	jdbc:postgresql://Hostname:Port/Datenbankname	5432
OracleDB	jdbc:oracle:thin:@Hostname:Port/Datenbankname	1521

• Datenbank Hostname:Port (Sie können dies bei Ihrem Administrator erfragen.) Die Standard-Portnummern finden Sie in den oben angegebenen Standardwerten.
• Der benutzerdefinierte Datenbankname (Datenbankname) ist die Datenbank, in der Ihre Benutzer gespeichert sind.
• Geben Sie den Benutzernamen und das Kennwort des Benutzers ein, der über die Berechtigung zum Zugriff auf die oben genannte Datenbank verfügt.
• Geben Sie den Tabellennamen ein, in dem Benutzer zur Authentifizierung gespeichert werden.
• Geben Sie den Spaltennamen für Benutzernamen (das können E-Mail-Adressen oder eindeutige IDs sein) und Passwörter ein.
• Mit „Attribute hinzufügen“ können wir Attribute aus der Datenbank an jede konfigurierte Anwendung senden. Sie können eine Abfrage schreiben, um die Attribute abzurufen, die das folgende Format haben sollten:
• Zum Beispiel: Wir möchten holen First aus der Tabelle Nutzer Bei einer Where-Klausel und einem Benutzernamen wird das „?“ durch den tatsächlichen Benutzernamen ersetzt, der aus der oben genannten Spalte „Benutzername“ abgerufen wird.
  SELECT '##USERNAME##', username FROM USERS  WHERE USERNAME=?
• Wählen Sie den Hashing-Typ aus, der zum Hashen des Passworts verwendet wird. Wir unterstützen die folgenden Hashing-Typen:
  1. SHA256
  2. SHA512
  3. SHA1
  4. MD5
  5. PHPPASS
  6. BCRYPT
• Bei der Attributzuordnung, können die Attribute aus der Datenbank benutzerdefinierten Attributnamen zugeordnet werden, wenn sie an den Service Provider (SP) gesendet werden.
• Wenn Sie beispielsweise eine E-Mail vom Attribut „E-Mail“ aus der Datenbank erhalten und diese unter dem Attribut „Mail“ im SP senden müssen, müssen Sie „Mail“ im linken Abschnitt „E-Mail“ im rechten Abschnitt zuordnen.

2. Testen der Datenbankverbindung

• Nachdem Sie auf Speichern geklickt haben, klicken Sie auf Wählen Sie -> Verbindung testen. Geben Sie die in der Datenbank (Benutzerspeicher) gespeicherten Anmeldeinformationen des Benutzers ein, um zu testen, ob die Datenbankverbindung korrekt eingerichtet ist.

3. Konfigurieren Sie Ihre Anwendung in miniOrange

• Melden Sie sich bei der miniOrange-Admin-Konsole an.



• Gehe zu Apps > Anwendung hinzufügen .



• In Wählen Sie Anwendungstyp Klicken Sie auf App erstellen Schaltfläche im SAML/WS-FED-Anwendungstyp.



• Suchen Sie im nächsten Schritt in der Liste nach Ihrer Bewerbung, falls Ihre Bewerbung nicht gefunden wird. Suchen nach "Brauch" und Sie können Ihre App über eine benutzerdefinierte SAML-App einrichten.



• Im Grundeinstellungen importieren Sie die SP-Metadaten, indem Sie auf das SP-Metadaten importieren .



• Geben Sie die App Name nach Ihren Wünschen und klicken Sie auf Reichen Sie das wenn Sie eine Metadatendatei haben oder die URL, wenn Sie die Metadaten-URL der Anwendung haben. Sie können beide Informationen aus Ihrer Anwendung abrufen.
• Nachdem Sie die entsprechende Option ausgewählt haben, klicken Sie auf Import.




URL	Die URL für die Metadateninformationen erhalten Sie vom Dienstanbieter. Sie können diese URL direkt in das bereitgestellte Eingabefeld einfügen.
Text	Wenn Sie auswählen Text Option, müssen Sie alle Attribute manuell ausfüllen
Reichen Sie das	Wenn Sie die Option „Datei“ auswählen, können Sie die XML-Datei mit allen Informationen direkt hochladen.

• Hier ist eine Beschreibung der einzelnen Felder unter dem Grundeinstellungen Abschnitt bedeutet.
• SP-Entitäts-ID wird verwendet, um Ihre App anhand der von SP empfangenen SAML-Anforderung zu identifizieren. Die SP-Entitäts-ID oder der Aussteller können entweder im URL- oder im String-Format vorliegen.
• ACS-URL or URL des Assertion-Verbraucherdienstes definiert, wohin die SAML-Assertion nach der Authentifizierung gesendet werden soll. Stellen Sie sicher, dass die ACS-URL hat das Format: https://www.domain-name.com/a/[domain_name]/acs.
• Zielgruppen-URI, gibt, wie der Name schon sagt, die gültige Zielgruppe für SAML-Assertion an. Normalerweise ist es dasselbe wie SP-Entitäts-ID. Wenn Zielgruppen-URI Wird vom SP nicht separat angegeben, lassen Sie es leer.
• Einzelne Abmelde-URL – Die URL, an die die Abmeldeanforderung gesendet werden soll und an die Ihre Benutzer nach einmaliger Abmeldung von den Anwendungen weitergeleitet werden sollen.
• Einzelne Abmelde-URL – Die URL, an die die Abmeldeanforderung gesendet werden soll und an die Ihre Benutzer nach einmaliger Abmeldung von den Anwendungen weitergeleitet werden sollen.
• Klicke Nächster, um zum Attributzuordnung Seite. Hier können Sie die Attribute hinzufügen und konfigurieren, die an die App gesendet werden sollen.



• Hier ist eine Beschreibung der einzelnen Felder unter dem Attributzuordnung Abschnitt bedeutet
• NameID definiert, was SP im Betreffelement der SAML-Assertion erwartet. Im Allgemeinen ist NameID der Benutzername der E-Mail-Adresse
• NameID-Format definiert das Format des Inhalts des Betreffelements, d. h. NameID. Beispielsweise definiert das NameID-Format für E-Mail-Adressen, dass die NameID die Form einer E-Mail-Adresse hat, genauer gesagt „addr-spec“. Eine addr-spec hat die Form local-part@domain, hat keine Phrase (wie einen allgemeinen Namen) davor, keinen Kommentar (Text in Klammern) danach und ist nicht von „<“ und „>“ umgeben. Wenn NameID-Format wird nicht extern von SP angegeben, lassen Sie es unspezifiziert.
• Nutze einfach das Attribute hinzufügen in SAML-Assertion an SP gesendet werden. Die Attribute umfassen Profilattribute des Benutzers wie Vorname, Nachname, vollständiger Name, Benutzername, E-Mail, benutzerdefinierte Profilattribute und Benutzergruppen usw.
• In Anmelderichtliniekönnen Sie aus der Dropdown-Liste die spezifische Benutzergruppe auswählen, für die Sie die Richtlinie aktivieren möchten. Geben Sie einen Versicherungsname und Sie können entweder 2-Faktor-Authentifizierung (MFA) or Adaptive Authentifizierung.



• Wählen Sie ein Gruppenname aus der Dropdown-Liste – die Gruppe, die mit dieser App Zugriff auf das SAML SSO haben soll.
• Geben Sie einen Richtliniennamen für die benutzerdefinierte App ein Versicherungsname.
• Wähle aus Typ der Anmeldemethode zur Authentifizierung wie Passwort, Mobiltelefon usw.
• Ermöglichen 2-Faktor/Adaptiv zur Authentifizierung bei Bedarf.
• Klicken Sie auf Gespeichert Schaltfläche zum Hinzufügen einer Richtlinie für Apps (Single Sign-On).
• In Erweiterte Einstellungenkönnen Sie die folgenden Einstellungen konfigurieren -




Relaiszustand	Geben Sie die URL ein, zu der der Benutzer nach der Anmeldung bei der Anwendung weitergeleitet werden soll.
Relaisstatus überschreiben	Aktivieren Sie diese Option, um den Standard-Relay-Status des SP zu überschreiben.
Auf Endbenutzer-Dashboard anzeigen	Deaktivieren Sie diese Option, wenn die App nicht für alle Benutzer im Endbenutzer-Dashboard sichtbar sein soll.
Unterzeichnete Anfrage	Aktivieren Sie diese Option, um die vom SP an den IdP gesendete Anforderung zu signieren. Geben Sie das X509-Zertifikat an oder laden Sie das Zertifikat hoch.
Signaturalgorithmus	Wählen Sie den Algorithmus aus, der zum Signieren der SAML-Anfrage/-Antwort verwendet wird.
Behauptung verschlüsseln	Wählen Sie diese Option aus, wenn Sie die Assertion in der SAML-Antwort verschlüsseln und den Algorithmus und das Zertifikat für die Verschlüsselung angeben möchten.
Gültigkeitsdauer der SAML-Authentifizierung	Die Zeit, für die die Authentifizierung als gültig angesehen werden soll und der Benutzer SSO durchführen kann. Danach muss sich der Benutzer erneut anmelden.
Namensformat hinzufügen	Aktivieren Sie dies, um basierend auf dem SP ein benutzerdefiniertes Namensformat auszuwählen.
Namensformat	Wählen Sie das vom SP unterstützte Format aus.
Identitätsquelle	Wählen Sie die Identitätsquelle aus, von der aus die Authentifizierung erfolgen soll. Sie sehen die Liste aller konfigurierten Quellen.
Authentifizierung erzwingen	Aktivieren Sie diese Option, um bei jeder Anforderung zum Zugriff auf die Anwendung eine Authentifizierung zu erzwingen.
Bindung der Abmeldeantwort	Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung von SP gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden.
Vom IdP initiierte Abmeldeanforderungsbindung	Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung vom IdP-Dashboard gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden. HTTP-Umleitung - Eine Abmeldeantwort mit ihrer Signatur HTTP POST - Eine Abmeldeantwort mit eingebetteter Signatur

• Klicken Sie auf Gespeichert. Ihre Bewerbung wurde erfolgreich gespeichert.

Service Provider (SP) konfigurieren

• In der Liste der konfigurierten Apps können Sie die von Ihnen erstellte App finden. Sie können die Wählen Sie >> Metadaten Option vor dieser bestimmten App.



• Klicken Sie auf der Seite „Metadaten“ auf Metadatendetails anzeigen und wählen Sie eine der beiden Metadatenoptionen:



• Wenn Sie verwenden möchten miniOrange als User-Store d. h. Ihre Benutzeridentitäten werden in miniOrange gespeichert. Laden Sie dann die Metadatendatei unter der Überschrift „Erforderliche Informationen, um miniOrange als IDP festzulegen'.
• Wenn Sie Ihre Benutzer über eine beliebige externer Identitätsanbieter wie Active Directory, Okta, OneLogin usw., dann laden Sie die Metadatendatei unter der Überschrift 'FÜR DIE AUTHENTIFIZIERUNG ÜBER EXTERNE IDPS ERFORDERLICHE INFORMATIONEN'

4. Benutzerbereitstellung mit Datenbank

• Navigieren Provisioning zu üben.



• Wähle aus Datenbank Aus dem Dropdown-Menü.
• Überprüfen Sie die Bereitstellungsfunktionen.



• Um die Benutzer aus der Datenbank zu importieren, gehen Sie zu Benutzerbereitstellung, Klicke auf das Benutzer importieren .
• Wähle aus Datenbank aus dem Dropdown-Menü und speichern Sie die Konfiguration.



• Gehe jetzt zum Nutzer >> Benutzerliste und Sie finden alle aus der Datenbank importierten Benutzer.