Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security
SAML ist eine Methode zum Austausch von Informationen zwischen einem Service-Provider und einem Identitätsanbieter. Ein Service-Provider ist der Anbieter eines Drittanbieterdienstes, mit dem sich Benutzer verbinden, z. B. Salesforce oder Microsoft. Ein Identitätsanbieter wie AuthPoint authentifiziert Benutzer, wenn sie sich bei einem Dienst oder einer Anwendung anmelden.
In AuthPoint wird AuthPoint per SAML-Ressourcen mit einem Service-Provider verbunden. Fügen Sie SAML-Ressourcen hinzu und definieren Sie Authentifizierungsregeln für die Ressourcen, damit sich Benutzer authentifizieren müssen, bevor sie eine Verbindung zu diesen Diensten und Anwendungen herstellen können.
Wenn Sie SAML-Ressourcen hinzufügen, empfehlen wir, dass Sie auch eine IdP-Portal-Ressource hinzufügen. Das IdP-Portal ist eine Portalseite, die den Benutzern eine Liste der verfügbaren SAML-Ressourcen anzeigt. Weitere Informationen finden Sie unter IdP-Portal konfigurieren.
Siehe die AuthPoint-Integrationsleitfäden für Schritte zur Konfiguration von AuthPoint MFA für bestimmte Anwendungen und Dienste.
Datenfluss der SAML-Authentifizierung
Dieses Diagramm zeigt den Datenfluss einer MFA-Transaktion für eine SAML-Ressource mit der Push-Authentifizierungsmethode.
Wenn der Benutzer versucht, sich bei einer Anwendung anzumelden, die eine Authentifizierung erfordert, erscheint die AuthPoint-Authentifizierungsseite. Um sich anzumelden, geben die Benutzer ihr AuthPoint-Passwort ein (falls erforderlich) und wählen eine Authentifizierungsmethode. In diesem Beispiel wählen die Benutzer die Authentifizierung mit einer Push-Benachrichtigung. AuthPoint sendet eine Push-Benachrichtigung an das Mobilgerät der Benutzer, dass die Benutzer die Authentifizierung und Anmeldung genehmigen.
Authentifiziert sich ein Benutzer an einer SAML-Ressource, erhält er eine Aufforderung, seinen Standort zu teilen. Diese Aufforderung wird angezeigt, selbst wenn Ihr AuthPoint-Konto keine Geofence- oder Geokinetik-Regelobjekte verwendet.
Authentifizierung für eine Anwendung eines Drittanbieters konfigurieren
Bevor Sie eine SAML-Ressource hinzufügen, müssen Sie die SAML-Authentifizierung für Ihren Drittanbieter-Service-Provider konfigurieren. Dazu müssen Sie die AuthPoint-Metadaten von der Seite Zertifikatsverwaltung in der AuthPoint-Verwaltungsoberfläche erhalten.
Die AuthPoint-Metadaten versorgen Ihre Ressource mit Informationen, die notwendig sind, um AuthPoint zu identifizieren und eine vertrauenswürdigen Beziehung zwischen dem Drittanbieter-Service-Provider und dem Identitätsanbieter (AuthPoint) herzustellen.
Einige Service-Provider benötigen die Metadaten-Datei zur Konfiguration der Authentifizierung, während andere nur die Metadaten-URL benötigen. Welche Sie benötigen, hängt vom externen Anbieter des Drittanbieter-Service-Providers ab.
- Wählen Sie im AuthPoint-Navigationsmenü Ressourcen.
- Klicken Sie auf Zertifikat.
- Klicken Sie auf der Seite Zertifikatsverwaltung neben dem AuthPoint Zertifikat, das Sie mit Ihrer Ressource verknüpfen wollen, auf
und wählen Sie eine Option zum Herunterladen der Metadaten, zum Kopieren der Metadaten-URL, zum Herunterladen des Zertifikats oder zum Kopieren des Fingerabdrucks, je nachdem, was der Service-Provider für Ihre Ressourcen verlangt.Die AuthPoint-Metadaten versorgen Ihre Ressource mit den notwendigen Informationen, um AuthPoint als vertrauenswürdigen Identitätsanbieter zu identifizieren. Dies ist für die SAML-Authentifizierung erforderlich.
- Importieren Sie die AuthPoint-Metadaten-Datei in den Service-Provider und holen Sie sich die Service-Provider-Entitäts-ID und Assertionsverbraucherdienst vom Service-Provider. Diese Werte sind notwendig, um die SAML-Ressource in AuthPoint zu konfigurieren. Die Schritte zur Konfiguration spezifischer SAML-Ressourcen finden Sie in den AuthPoint-Integrationsleitfäden.
Hinzufügen einer SAML-Ressource in AuthPoint
Hinzufügen einer SAML-Ressource in der AuthPoint-Verwaltungsoberfläche:
- Wählen Sie im AuthPoint-Navigationsmenü Ressourcen.
- Klicken Sie auf Ressource hinzufügen.
Die Seite Ressource hinzufügen wird geöffnet.
- Wählen Sie in der Dropdown-Liste Typ die Option SAML.
- Geben Sie in das Textfeld Name einen Namen für die Ressource ein.
- Wählen Sie in der Dropdown-Liste Anwendungstyp die entsprechende Anwendung aus oder wählen Sie Andere wenn die Anwendung nicht aufgeführt ist. Für die anderen Anwendungstypen können Sie den Relay-Zustand, die benutzerdefinierten Attribute und ein benutzerdefiniertes Bild zur Anzeige für diese Anwendung im IdP-Portal angeben.
Sie können auf den Link Integrationsleitfaden klicken, um ein Hilfethema mit den Schritten zum Einrichten Ihrer Anwendung zu öffnen. Dieser Link ist kontextabhängig.
- (Optional) Wenn Sie den Anwendungstyp Andere gewählt haben, können Sie für diese SAML-Ressource den Parameter Relay-Zustand angeben.
- Geben Sie in die Textfelder Service-Provider-Entitäts-ID und Assertionsverbraucherdienst die Werte des Service-Providers der Anwendung ein.
- Wählen Sie aus der Dropdown-Liste Benutzer-ID aus, welches Attribut der Benutzer-ID an den Service-Provider gesendet werden soll. Der Service-Provider vergleicht das Attribut Benutzer-ID des AuthPoint-Benutzers mit dem Benutzernamen in Ihrer Anwendung. Diese Werte müssen übereinstimmen.
Salesforce erfordert beispielsweise einen Benutzernamen in einem E-Mail-Format, das eine Domäne enthält. Da der Name des AuthPoint-Benutzers keine Domäne enthält, muss Ihre Benutzer-ID eine E-Mail sein, die mit dem Salesforce-Benutzernamen übereinstimmt.
- (Optional) Klicken Sie auf Datei auswählen um ein Zertifikat vom Service-Provider hochzuladen. Wenn Sie ein Zertifikat hochladen, können Sie den Schalter Verschlüsselung aktiviert wählen, um die Verschlüsselung für die SAML-Kommunikation zu aktivieren oder zu deaktivieren.
- Wählen Sie aus der Dropdown-Liste AuthPoint Zertifikat das AuthPoint-Zertifikat aus, das mit Ihrer Ressource verknüpft werden soll. Dies muss das gleiche Zertifikat sein, für das Sie die Metadaten im folgenden Abschnitt heruntergeladen haben Authentifizierung für eine Anwendung eines Drittanbieters konfigurieren .
- Falls zutreffend, füllen Sie bitte alle weiteren für die Anwendung erforderlichen Felder aus.
- (Optional) Wenn Sie den Anwendungstyp Andere gewählt haben, können Sie für diese SAML-Ressource mindestens ein benutzerdefiniertes Attribut angeben. Dies ist für bestimmte Anwendungen erforderlich. Um ein benutzerdefiniertes Attribut hinzuzufügen:
- Klicken Sie auf Attribut hinzufügen.
Das Fenster Attribut hinzufügen wird geöffnet. - Geben Sie den Attributnamen ein. Dieser Wert unterscheidet zwischen Groß- und Kleinschreibung.
- Wählen Sie in der Dropdown-Liste Wert holen von den für dieses benutzerdefinierte Attribut anzuwendenden Wert. Wenn es sich um einen statischen Wert handelt, wählen Sie Festwert und geben Sie den anzuwendenden Festwert an.
- Klicken Sie auf Speichern.
- Klicken Sie auf Attribut hinzufügen.
- (Optional) Wenn Sie den Anwendungstyp Andere gewählt haben, können Sie ein benutzerdefiniertes Bild hochladen, das für diese Anwendung im IdP-Portal angezeigt werden soll. Um ein Bild hochzuladen, ziehen Sie eine Bilddatei von Ihrem Computer in das entsprechende Feld, oder klicken Sie auf Eine Datei für den Import auswählen und wählen Sie die Bilddatei. Die hochzuladende Bilddatei muss die folgenden Anforderungen erfüllen:
- Maximale Dateigröße — 1 MB
- Maximale Breite — 750 Pixel
- Maximale Höhe — 500 Pixel
- Maximale Breite — 200 Pixel
- Minimale Höhe — 150 Pixel
- Klicken Sie auf Speichern.
- Fügen Sie die SAML-Ressource zu Ihren bestehenden Authentifizierungsregeln hinzu, oder fügen Sie neue Authentifizierungsregeln für die SAML-Ressource hinzu. Die Authentifizierungsregeln legen fest, bei welchen Ressourcen sich Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind. Weitere Informationen finden Sie unter Über AuthPoint-Authentifizierungsregeln.