GeoShop SAMLAdapter Benutzerhandbuch

GeoShop SAMLAdapter Benutzerhandbuch
		Weiter

Die Dokumentation darf nur mit Erlaubnis der infoGrips GmbH vervielfältigt werden.

01.09.2022

Zusammenfassung

Diese Dokumentation beschreibt die Installation und Konfiguration des GeoShop SAMLAdpater.

Inhaltsverzeichnis

1. Einleitung

1.1. Überblick
1.2. Begriffe
1.3. Aufbau dieser Dokumentation
1.4. Konventionen

2. Aktivierung und Konfiguration des SAMLAdapter

2.1. Überblick
2.2. Aktivierung des SAMLAdapter
2.3. Konfiguration des SAMLAdapter
2.4. Konfiguration des Login Skript
2.5. GeoShop Neustart

3. Metadatenaustausch

4. Hinweise zur Sicherheit

A. Anpassen des LOAD_USER Skript

1. Einfaches Beispiel (simple.cfg)
2. Erweitertes Beispiel (extended.cfg)
3. Fehlersuche

B. Erstellen von Private Key und Zertifikat

1. Einleitung

1.1. Überblick

Über den GeoShop Modul SAMLAdapter kann die interaktive Authentifizierung von GeoShop Client Benutzern an einen externen SAML IdP (SAML Identity Provider) ausgelagert werden. Die Kommunikation zwischen SAMLAdapter und dem IdP erfolgt über das SAML (Secure Assertion Meta Language) Protokoll. Die Kommunikation zwischen dem SAMLAdapter und dem IdP wird durch den gegenseitigen Austausch von Zertifikaten gesichert.

Ablauf einer SAML Authentifizierung:

Der Browser des Benutzers ruft die Adresse GEOSHOP_BASE_URL/SAMLAdapter?SAMLRequest=AuthnRequest auf.
Der SAMLAdapter erstellt einen mit seinem Zertifikat signierten SAML AuthnRequest und leitet den Browser an IDP_SIGNON_URL weiter.
Der IdP prüft die Signatur des AuthnRequest. Falls die Überprüfung erfolgreich war, zeigt der IdP dem Benutzer eine Login Maske an.
Der Benutzer gibt seinen IdP Benutzernamen und das IdP Passwort ein.
Der IdP erstellt eine SAML Response und füllt darin die gewünschten Benutzerattribute ab. Die Response Meldung wird mit dem Zertifikat des IdP signiert und an GEOSHOP_BASE_URL/SAMLAdapter?Response=<Resonse>... übermittelt.
Der SAMLAdapter überprüft die Signatur der SAML Response. Falls die Überprüfung erfolgreich ist, loggt sich der GeoShop Client ein.
Die vom IdP übermittelten Benutzerattribute werden vom Login Skript im GeoShop dekodiert.
Der Login Skript überprüft zur Sicherheit nochmals, ob die Signatur ursprünglich vom IdP kam.
Der Login Skript generiert aufgrund der SAML Attribute einen temporären GeoShop Benutzer.
Der Browser loggt sich unter dem generierten GeoShop Benutzer im GeoShop ein.

1.2. Begriffe

SAML	Security Assertion Meta Language. OASIS Standard für den Austausch von Identitäts Daten (z.B. Name, Vorname, EMail, etc.).
IdP	Identity Provider. Dienst im Netz, welcher die Benutzerinformationen in einer Datenbank führt (z.B. Benutzer, Passwort, Name, Vorname, E-Mail, etc.).
SAML Metadaten	XML formatierte Daten, welche bei der Installation zwischen IdP und GeoShop ausgetauscht werden.

1.3. Aufbau dieser Dokumentation

Diese Dokumentation ist wie folgt aufgebaut:

Kapitel 1: Einleitung.
Kapitel 2: Aktivierung und Konfiguration des SAMLAdpater.
Kapitel 3: Metadatenaustausch.
Kapitel 4: Hinweise zur Sicherheit.
Anhang: Enthält Beispiele für Login Skripts und die Hinweise für die Erstellung von Zertifikaten.

1.4. Konventionen

In dieser Dokumentation werden folgende Konventionen eingehalten:

`Kursiv`	Namen von Dateien und URL's
fett	neue Begriffe, Namen von Funktionen oder Methoden
courier	Programmtext oder Eingaben im Betriebssystem