SAML2 Provider
SAML2 Szolgáltatót külön is felvehetünk a Padmin-ban, nemcsak az Azure provider kiegészítéseként.
Először azonban az Azure Portál-on kell létrehoznunk a SAML2 providert.
SAML2 autentikáció beállítása Azure-ban
Az Azure-ban lehetőség van SAML2 autentikációjú app-ot létrehozni. Ehhez továbbra is az Azure Active Directory szekcióban kell lennünk:
- Bal oldalt a Kezelés menüpontjainál válasszuk a Vállalati alkalmazások lehetőséget (SAML2 csak ilyen típusú app-nak adható)
- A fent megjelent új opciók közül válasszuk ezt: Új alkalmazás
3. A jobb oldali panelen nevezzük el az alkalmazásunkat (hagyjuk meg a 3. opciót), majd Létrehozás:
4. Kis idő után létrejön az applikáció, adjunk hozzá felhasználókat (az SSO típusú app-al csak az tud majd belépni, akit ide felveszünk).
5. Bal oldalt vállaszuk az Egyszeri bejelentkezés (Single sign-on) pontot:
6. Majd: SAML:
7. A SAML alapkonfiguráció pontban állítsuk be ezeket a változókat: Azonosító, Válasz URL,Bejelentkezési URL a PASSMAN_URL/api/authorize/saml2/PROVIDER_NAME -re.
8. Az Attribútumok és jogcímek pontban győződjünk meg róla, hogy a name vagy Egyedi felhasznói azonosító (UPN) meg van-e adva.
Ha a name van megadva, akkor győződjünk meg arról, hogy upn formátumban kapjuk vissza.
SAML2 autentikáció beállítása Padmin-ban
1. Menjünk ide: System Settings / Authentication
2. A NEW gomb segítségével adjunk hozzá egy SAML2 providert:
4. Töltsük ki a Ki/ bejelentkezési URL-t, és az Azure szolgáltatás azonosítóját.
Az értékek Azure-ból tudjuk kimásolni:
5. Töltsük le a tanúsítványt:
A SAML-aláíró tanúsítvány pontból töltsük le a Tanúsítvány (base64) állományt.
Annak tartalmát húzzuk rá pl. egy megnyitott Notepad(++) lapra.
Végül a törzs-szöveget (fejlécek nélkül) másoljuk be a Padmin-ban található IdP Signature certificate* mezőbe.
6. Töltsük ki a 'név adatokat' is:
A Padminban bekért ezen 5 adat mindegyike megtalálható az Azure szerkesztési nézetében:
Attribútumok és jogcímek szekció / szerkesztés
További jogcímek / Jogcím neve listában:
A Padminban a UPN SAML2 attribute name* mezőbe az utolsó előtti sorban látható jogcímet: user.principalname értékét másoljuk (ami valójában egy URL)
Az Authentication group-ban megadott csoporttagság alapján fog validálni a PassMan bejelentkezés.
Belépni azok a felhasználók tudnak majd, akik a Group SAML attribute name mezőben megadott csoport(ok)nak a tagjai.
Csoportok kezelése Azure-ban
Azure-ban a csoportok kezeléséhez látogassuk meg a Csoportok menüpontot.
Új csoportot is létrehozhatunk, de a meglévőkre (ha vannak) is kattinthatunk.
A kiválasztott csoport felhasználóit a Tagok menüpontban érhetjük el
Új felhasználó csoportba léptetése céljából: Tagok hozzáadása
Majd a jobb oldali beuszó panel-en hozzáadunk egy felhasználót. A lap alján található Kijelölés gomb adja majd hozzá.
A tagok listája immár bővült a hozzáadott felhasználóval.
Ha minden kötelező mezőt kitöltöttünk, úgy a SAVE gombbal mentsük el az új Providert. Innentől a Padmin megőrzi az adatait.