SAML authenticatie (ADFS 2.0)


Introductie

Het is mogelijk om authenticatie op basis van SAML (security assertion markup language) in te stellen.

Dit artikel geeft de instellingen in mijnrooster weer als ook de "ADFS 2.0" instellingen.


Dit artikel behandeld de volgende onderwerpen:

.

Schematisch werking van authenticatie procedure


Basis Configuratie

Voor het uitvoeren van de basis configuratie zijn er uitstekende handleidingen bij Microsoft verkrijgbaar waar mee u in no-time de ADFS Identity Provider heeft opgezet.

Bron Microsoft: http://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides%28v=ws.10%29.aspx


Connectie opzetten met mijnrooster

Deze beschrijving omvat enkel de “laatste stappen” van het configuratie proces. Hierbij wordt er van uitgegaan dat de klant de basis configuratie reeds heeft uitgevoerd.


1. Configureer domain identifier

De eerste stap bij het opzetten van een verbinding met mijnrooster is het configureren van de “relying party trust” waarmee wordt aangegeven welk domeinen met elkaar dienen te communiceren voor het uitwisselen van informatie.

a) Selecteer “Relying Party Trust” en creëer een nieuw entry
b) In de popup scherm selecteert u "Identifiers"
c) Voer onder “Display name” een naam naar keus
d) Onder Relying Party Identifier voert u uw mijnrooster domein in. B.v. https://bedrijfsnaam.mijnrooster.nl en voegt u deze toe.
e) Klik vervolgens op “apply”


2. Configureer de “Endpoint”

De “endpoint” beschrijft het pad naar uw mijnrooster omgeving. De eindgebruiker wordt hierheen gerouteerd na een succesvol authenticatie proces.

a) Selecteer de in de voorgaande stap gecreëerde entry en selecteer de tab “Endpoints”
b) Voeg in het scherm een entry toe
c) Selecteer als binding “POST”
d) Voeg onder URL de retour link naar uw mijnrooster omgeving. B.V. https://bedrijfsnaam.mijnrooster.nl/authenticate_extern/ en klik op “ok” en “apply”


3. Configureer het beveiligingscertificaat

Het beveiligingscertificaat dient ter beveiliging van de verbinding tussen de mijnrooster applicatie en uw ADFS server. Dit certificaat dient geldig en geregistreerd te zijn bij een “Certificate Authority”. Let op: dit certificaat heeft in een later stadium weer nodig!

a) Selecteer de in de voorgaande stappen gecreëerde entry en selecteer de tab “Signature”
b) Selecteer “add” en voeg hierin uw certificaat.

c) Selecteer vervolgens de tab “Advanced” en selecteer "SHA1" als hash algoritme.


4. Claims configureren

Onder “claims” wordt bepaald welke informatie wordt uitgewisseld en hoe deze wordt vertaald tussen beide omgevingen.

a) Selecteer de in de voorgaande stappen gecreëerde entry en selecteer “Edit claim rules".
b) Selecteer de tab “Issuance Transform Rule"
c) Voeg hierin een nieuwe entry
d) Selecteer "Active Directoy" als Attribute store
e) Voor mijnrooster is de E-mail Address attribute voor zowel LDAP als Outgoing Claim type voldoende. 

Let op

Let hierop dat het email adres in active directory overeen komt met het email adres welke in mijnrooster wordt gebruikt.

Sla deze wijzigingen op.

5. Instellingen mijnrooster

Het inregelen van de  SAML-SSO in Mijnrooster gaat via helpdesk@mijnrooster.nl. Na inregelen van ADFS dienen de volgende gegevens aangeleverd worden:

  1. ADFS SSO url (login address for ADFS)
  2. Logout address (optional landing page when logging out)
  3. Certificate

Note: “Certificaat” is de hash-code van het certificaat. Indien deze niet voorhanden is kan deze op de volgende manier worden achterhaald. 

Select Windows button +R
type MMC and click enter
click File and select add/remove snap-ins
Select Certificates and add
Select Computer account and local computer
Select the Personal certificate store
Browse to the certificates and export the Token-Signing certificate

a. Right-click the certificate and select View Certificate.
b. Select the Details tab.
c. Click Copy to File….
The Certificate Export Wizard launches.
d. Select Next.
e. Ensure No, do not export the private key is select, and then click Next.
f. Select Base-64 encoded X.509 (.CER), and then click Next.
g. Select where you want to save the file and give it a name. Click Next.
h. Select Finish.

6. Configuratie voor browsers en intranet

a) Indien u een link aanbiedt aan uw gebruikers op b.v. uw intranet of gebruikers desktop dan is dit de standaard URL die voor de versie geldt. Na instelling van de SSO, zal de normale URL automatisch doorlinken naar de SAML-SSO pagina die in ADFS is ingesteld.
b) Saml werkt uitstekend met Internet-explorer daar deze geen authenticatie meer vereist na het inloggen op een pc welke is gekoppeld aan het Active Directory Domein. Hiervoor dient echter zowel de urls van het intranet als uw omgeving bij mijnrooster in de trusted list onder de Internet Explorer Options te worden opgenomen.
c) De overige browsers vereisen mogelijk een login op het domein alvorens men kan inloggen op uw mijnrooster applicatie.
d) Voor het werken met Chrome dient er een extra stap te worden genomen daar deze standard geen windows authenticatie ondersteund. Zie hiervoor de onderstaande link.

IIS aanpassing om Chrome te laten werken: https://exitcodezero.wordpress.com/2013/05/30/adfs-authentication-issues-with-chrome-and-firefox/