Suomi
  • SAML
  • SSO
  • Identity Provider

Yksinkertaista SAML-sovelluksen integrointi kehittäjille

Opi, mitä SAML on, miten toteutetaan SSO ja nopeita vaiheita integroida SAML-sovellukset identiteetin tarjoajana (IdP) tai palveluntarjoajana (SP).

Ran
Ran
Product & Design

Lopeta viikkojen tuhlaaminen käyttäjien tunnistautumiseen
Julkaise turvallisia sovelluksia nopeammin Logtolla. Integroi käyttäjien tunnistautuminen minuuteissa ja keskity ydintuotteeseesi.
Aloita
Product screenshot

Kertakirjautuminen (SSO) on keskeistä nykyaikaisissa sovelluksissa, ja SAML mahdollistaa turvallisen, käyttäjäystävällisen todennuksen yrityksen identiteettijärjestelmissä. Tämä opas yksinkertaistaa SAML:ia kehittäjille ja suunnittelijoille selkeillä vaiheilla ja käytännön esimerkeillä auttaen sinua toteuttamaan sen tehokkaasti.

Mitä ovat SAML SSO ja SAML-sovellukset?

Security Assertion Markup Language (SAML) on XML-pohjainen standardi, jota käytetään todennus- ja valtuutustietojen vaihtoon kahden avaintoimijan välillä: Identity Provider (IdP) ja Service Provider (SP). Se on yleinen ratkaisu kertakirjautumiseen (SSO) organisaatioissa, tehden elämästä helpompaa yrityskäyttäjille sallimalla sisäänkirjautumisen kerran ja pääsyn useisiin sovelluksiin.

Identity Provider (IdP) vastaa käyttäjätietojen, kuten käyttäjätunnusten ja salasanojen, hallinnasta ja vahvistamisesta. Kun käyttäjä yrittää käyttää suojattua palvelua, IdP vahvistaa heidän identiteettinsä ja lähettää tämän vahvistuksen palvelulle.

  • Esimerkki: Kuvittele, että työskentelet suuressa yrityksessä, joka käyttää Microsoftin Azure AD:tä työntekijöiden tilien hallintaan. Kun haluat kirjautua Salesforcen sisään, Azure AD toimii IdP:nä. Se tarkistaa kirjautumistietosi ja kertoo Salesforce:lle, että sinulla on valtuutus käyttää sitä.

Service Provider (SP) on sovellus tai palvelu, johon käyttäjät todellisuudessa yrittävät päästä. Se luottaa IdP: hen todennuksen raskaaseen työtaakkaan.

  • Esimerkki: Jatkaen yllä olevaa skenaariota, Salesforce on SP. Se luottaa Microsoft Azure AD:han (IdP) vahvistaakseen sinun henkilöllisyytesi. Kun Azure AD puoltaa sinua, Salesforce päästää sinut sisään.

Kun puhutaan "SAML-sovelluksesta", viitataan yleensä SP:hen.

Käyttäen SAML-protokollaa, voit asettaa palvelusi IdP:ksi tukemaan sovellusten integraatioita (kuten Azure Ad / Google Workspace); tai SP:ksi (kuten Salesforce / Slack) tukemaan SSO:ta käyttäjille.

SAML-lauseke on SAML-protokollan ydin. Se on digitaalinen "muistilappu", jonka IdP luo ja lähettää SP:lle, joka sanoo: "Olen vahvistanut tämän käyttäjän henkilöllisyyden." Seuraavaksi käsitellään, miten prosessi toimii sekä IdP: lle että SP: lle.

Kun toimit SAML-identiteetin tarjoajana

Kun palvelusi toimii IdP:nä, mahdollistat SAML-todennuksen useille sovelluksille. Tämä sallii käyttäjien käyttää erilaisia palveluita yhdellä yritysidentiteetillä.

as_saml_identity_provider_idp.png

Tässä on tyypillinen SAML SSO-työnkulku IdP:lle:

  1. Käyttäjä yrittää käyttää sovellusta (SP), kuten Salesforcea.
  2. Sovellus ohjaa käyttäjän IdP: heesi todennusta varten.
  3. Käyttäjä syöttää kirjautumistietonsa IdP:n sisäänkirjautumissivulla.
  4. IdP tarkistaa tiedot.
  5. Jos tiedot vahvistetaan, IdP lähettää SAML-lausekkeen takaisin SP:lle.
  6. SP käsittelee lausetta, vahvistaa sen kelpoisuuden ja myöntää pääsyn käyttäjälle.

Kun toimit SAML-palveluntarjoajana

Jos palvelusi on SP, integroituudut eri identiteettitarjoajiin tarjotaksesi käyttäjillesi SSO-valmiudet. Tämä sallii yrityskäyttäjien eri organisaatioista tai vuokralaisista käyttää sovellustasi turvallisesti ja tehokkaasti.

as_saml_service_provider_sp.png

Tässä on työnkulku SP-aloitetulle SSO:lle:

  1. Käyttäjä yrittää kirjautua sovellukseesi.
  2. Sovelluksesi luo SAML-pyynnön ja ohjaa käyttäjän IdP:n sisäänkirjautumissivulle.
  3. Käyttäjä kirjautuu sisään IdP:ssä (tai ohittaa tämän vaiheen, jos hän on jo kirjautunut sisään).
  4. IdP vahvistaa käyttäjän henkilöllisyyden ja, kun se on vahvistettu, pakkaa käyttäjän tiedot SAML-lausekkeeseen.
  5. IdP lähettää lausekeen takaisin sovellukseesi.
  6. Palvelusi tarkistaa lausekkeen. Jos se on voimassa, käyttäjä saa pääsyn sovellukseesi.

Keskeiset parametrit SAML SSO:ssa

Jotta SAML SSO -integrointi olisi onnistunut, sekä IdP: ien että SP: ien on jaettava tietyt parametrit. Tässä ovat olennaiset asiat:

IdP:n parametrit

  1. IdP Entity ID: Uniikki tunniste IdP: lle SAML-viestinnässä, kuten digitaalinen nimitagi.
  2. SSO URL: Kirjautumispäätepiste (URL), johon SP ohjaa käyttäjät todennusta varten.
  3. X.509-sertifikaatti: Julkinen avain, jota käytetään SAML-lausekkeen allekirjoittamiseen varmistusta varten. Tämä on "sinetti", joka vahvistaa aitouden.

Vinkki: Jos IdP: si tarjoaa SAML Metadata URL:n, asiat helpottuvat. Tämä URL sisältää kaikki tarvittavat tiedot (kuten sertifikaatit, SSO-URL:t ja IdP Entity ID) yhdessä paikassa. Se minimoi virheiden riskin manuaalisesta kopioimisesta ja liittämisestä sekä poistaa manuaalisen sertifikaattitiedostojen päivittämisen vaivan.

SP:n parametrit

  1. SP Entity ID: SP:n uniikki tunniste, samanlainen kuin IdP Entity ID.
  2. Assertion Consumer Service (ACS) URL: Tämä on SP-päätepiste, johon SP odottaa vastaanottavansa SAML-lausekkeen IdP:ltä.
  3. RelayState (Valinnainen): Käytetään tiedon välittämiseen SAML-prosessin aikana, kuten URL-osoitteeseen, jolle käyttäjä alun perin yritti päästä.

SAML-attribuuttien kartoitus ja salaus

  1. NameID-muoto: Määrittää käyttäjän tunnisteen muodon (esim. sähköpostiosoite tai käyttäjätunnus).
  2. SAML-attribuutit: Nämä ovat lisätietoja käyttäjästä, kuten roolit, sähköpostiosoitteet tai osasto, jotka IdP lähettää SP:lle.
  • Esimerkki: Jos IdP:n allekirjoittama SAML-lauseke sisältää sähköposti ([email protected]), rooli (admin) ja osasto (engineering), SP voi käyttää rooli-kenttää myöntääkseen hallinnointioikeudet tai osasto-kenttää ryhmitelläkseen käyttäjän oikeaan tiimiin. Jotta saadaan nämä olennaiset käyttäjätiedot, sekä IdP:n että SP:n on päätettävä, miten attribuutit kartoitetaan. Esimerkiksi IdP voi määrittää "osasto"-kentän team-nimellä, kun taas SP odottaa sen olevan ryhmä. Asianmukainen kartoitus takaa sujuvan viestinnän.
  1. SALAUKSETTU LAUSEKE (VALINNAINEN): Herkkien todennistietojen suojaamiseksi SAML-lausekkeet voidaan salata.
  • IdP:n rooli: Salatakaa lauseke SP:n julkisella avaimella.
  • SP:n rooli: Pura lauseke omalla yksityisellä avaimellaan lukeakseen käyttäjätiedot.

Nyt sinun pitäisi olla tarvittavat tiedot, jotta voit perustaa SAML-yhteyden. Integroidaksesi Salesforce (palveluntarjoaja) Azure AD:n kanssa (identiteettitarjoaja), seuraa näitä vaiheita:

  • Hae IdP Entity ID, SSO URL ja sertifikaatti Azure AD:stä ja määritä ne Salesforceen.
  • Toimita Salesforce:n SP Entity ID ja ACS URL Azure AD:lle.

Logto tekee SAML-integraatiosta yksinkertaisen

Logto voi toimia joko IdP:nä tai SP:nä tukeakseen SAML SSO:ta sovelluksissasi.

Logton käyttö SAML IdP:nä

Logto sallii muiden sovellusten luottaa siihen liittoutuneen identiteetin todennuksessa ja tukee monivaiheista autentikointia (MFA) turvallisuuden parantamiseksi.

  1. Luo Logto-sovellus Siirry Logto-konsoliin > Sovellukset ja luo uusi SAML-sovellus.
  2. Määritä SAML-parametrit Määritä sovellus palveluntarjoajan (SP) Assertion Consumer Service URL:llä ja SP Entity ID:llä.
  3. Anna metadata URL Logto tarjoaa IdP Metadata URL:n, jota SP:t voivat käyttää ohjelmallisesti saadakseen olennaisia tietoja, kuten SSO URL:t ja sertifikaatit.
  4. Laajennettu konfiguraatio (Valinnainen)
  • Voit luoda useita uusia sertifikaatteja sormenjälkineen ja asettaa vanhentumispäiviä, mutta vain yksi sertifikaatti voi olla aktiivinen kerrallaan.
  • Muokkaa Name ID -muoto sopimaan liiketoimintasi vaatimuksiin.
  • Ota käyttöön SAML-lausekkeen salaus kopioimalla ja liittämällä x509-sertifikaatti palveluntarjoajastasi salataksesi lausekkeet.
  1. Karttojen attribuutit (Valinnainen) Mukauta helposti, miten käyttäjäattribuutit jaetaan palveluntarjoajien (SP) kanssa.

logto_saml_apps_saml_providers.png

Lisätietoja saat täällä: SAML-sovellus

Logton käyttö SAML SP:nä

Logto integroituu myös mihin tahansa yritys IdP:hen SAML- tai OIDC-protokollien kautta. Olipa kyseessä SP-aloitettu SSO yhtenäisille kirjautumissivuille tai IdP-aloitettu SSO-konfiguraatio, prosessi on suoraviivainen.

  1. Luo yritysliitäntä Siirry Logto-konsoliin > Yrityksen SSO ja luo uusi yritysliitäntä. Valitse SAML protokollastandardiksi.
  2. Määritä SAML-parametrit Anna joko metadata URL tai metadata XML-tiedosto IdP:stäsi. Jos metatietoja ei ole saatavilla, vaihda manuaaliseen konfiguraatioon antamalla IdP Entity ID, SSO URL ja lataamalla allekirjoitussertifikaatti.
  3. Jaa ACS URL ja SP Entity ID Toimita Logton ACS URL ja SP Entity ID IdP:llesi, jotta integraatiosetup saadaan päätökseen.
  4. Karttojen attribuutit (Valinnainen) Määritä käyttäjätietojen kartoitukset, kuten sähköpostiosoitteet tai nimet, varmistaaksesi, että tiedot välitetään oikein IdP:n ja Logton välillä.
  5. Lisää yrityksen sähköpostidomaineja SSO-kokemuksesi tab:issa yritysliitännälle lisää yksi tai useampi sähköpostidomain. Tämä varmistaa, että vain käyttäjät määritetyillä domaineilla voivat todennistaa SSO:n kautta.
  6. Ota käyttöön IdP-aloitettu SSO (Valinnainen) Ota käyttöön IdP-aloitettu SSO vain, jos yritysasiakkaasi sitä vaativat. Tämä ominaisuus sallii käyttäjien sisäänpyyntiä sovelluksiisi suoraan IdP:n ohjauspaneelista.

logto-enterprise-saml-sso.png

Lisätietoja saat täältä: Yrityksen SSO dokumentaatio.

Päätelmät

SAML tarjoaa standardisoidun, turvallisen tavan SSO:lle, mikä tekee todennuksesta sujuvamman. Logto yksinkertaistaa prosessia, riippumatta siitä, asetatko sen IdP:ksi tai SP:ksi. Sen käyttäjäystävällisen käyttöliittymän ja tuen avulla sekä pilvi että avoimen lähdekoodin versiot tekevät Logtosta SAML-integroinnin monimutkaisuuksien poistamisen. Vain muutaman parametrin määrittämisellä voit yhdistää palvelusi mihin tahansa SAML IdP:hen tai SP:hen ja keskittyä rakentamaan hienoja kokemuksia käyttäjillesi.