Security Assertion Markup Language (SAML) authenticatie (ADFS 2.0)

SAML Authenticatie (ADFS 2.0)

Het is mogelijk om authenticatie op basis van SAML (security assertion markup language) in te stellen.

Deze integratie is beschikbaar voor zowel Business als Accountantsomgevingen. Let wel op dat je deze authenticatie als Accountant alleen voor je eigen omgeving kan gebruiken. Deze integratie kun je als Accountant niet beschikbaar maken voor je klanten.

Hieronder staat beschreven hoe je dit kan instellen. Buiten de instellingen in Nmbrs zal ook de "ADFS 2.0" moeten worden ingesteld. Deze instellingen worden beschreven verderop in dit  artikel.

Schematisch werking van authenticatie procedure

 Basis Configuratie

Voor het uitvoeren van de basis configuratie zijn er uitstekende handleidingen bij Microsoft verkrijgbaar waar mee u in no-time de ADFS Identity Provider heeft opgezet.

Bron Microsoft: http://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides%28v=ws.10%29.aspx

 Connectie opzetten met NMBRS

Deze beschrijving omvat enkel de “laatste stappen” van het configuratie proces. Hierbij wordt er van uitgegaan dat de klant de basis configuratie reeds heeft uitgevoerd.

 

1) Configureer domain identifier

 De eerste stap bij het opzetten van een verbinding met NMBRS is het configureren van de “relying party trust” waarmee wordt aangegeven welk domeinen met elkaar dienen te communiceren voor het uitwisselen van informatie.

a) Selecteer “Relying Party Trust” en creëer een nieuw entry
b) In de popup scherm selecteert u Identifiers
c) Voer onder “Display name” een naam naar keus
d) Onder Relying Party Identifier voert u uw Nmbrs domein in. B.v. https://bedrijfsnaam.nmbrs.nl en voegt u deze toe.
e) Klik vervolgens op “apply”

2) Configureer de “Endpoint”

De “endpoint” beschrijft de pad naar uw Nmbrs omgeving. De eindgebruik wordt hierheen gerouteerd na een succesvolle authenticatie proces.

a) Selecteer de in de voorgaande stap gecreëerde entry en selecteer de tab “Endpoints”
b) Voeg in het scherm een entry toe
c) Selecteer als binding “POST”
d) Voeg onder URL de retour link naar uw Nmbrs omgeving. B.V. https://bedrijfsnaam.nmbrs.nl/applications/common/externalactions.aspx?login=samlresponse  en klik op “ok” en “apply”

 

 

 3. Configureer het beveiligingscertificaat

Het beveiligingscertificaat dient ter beveiliging van de verbinding tussen de Nmbrs applicatie en uw ADFS server. Dit certificaat dient geldig en geregistreerd te zijn bij een “Certificate Authority”. Let op: dit certificaat heeft in een later stadium weer nodig!

a) Selecteer de in de voorgaande stappen gecreëerde entry en selecteer de tab “Signature”
b) Selecteer “add” en voeg hierin uw certificaat.

c) Selecteer vervolgens de tab “Advanced” en selecteer SHA1 als Hash algoritme.


 4. Claims configureren

Onder “claims” wordt bepaald welke informatie wordt uitgewisseld en hoe deze wordt vertaald tussen beide omgevingen.

a) Selecteer de in de voorgaande stappen gecreëerde entry en selecteer “Edit claim rules.
b) Selecteer de tab “Isuance Transform Rule
c) Voeg hierin een nieuwe entry
d) Selecteer Active Directoy als Attribute store
e) Voor Nmbrs is de E-mail Address attribute voor zowel LDAP als Outgoing Claim type voldoende. LET HIEROP DAT HET EMAIL ADRES IN ACTIVE DIRECTORY OVEREEN KOMT MET HET EMAIL ADRES WELKE IN NMBRS WORDT GEBRUIKT. 

Sla deze wijzigingen op.

 

5) Instellingen Nmbrs

Deze instellingen de web applicatie NMBRS te worden uigevoerd

a) Ga naar "Mijn Account", deze je vind je door rechtsboven op je email te klikken en selecteer “mijn account”

 

 

 b) Ga vervolgens naar "Security instellingen"

 

 

c) Vervolgens zie je bij de optie "Wachtwoord / inloggen instelingen" de optie Inloggen met SAML (1). Door hier op te klikken opent de pop up "SSO Instellingen" (2). Door de optie "Inloggen met SAML" aan te vinken verschijnen er twee (extra) invul velden. Vul de IDP SSO taget URL in en geef het certificaat in. Klik vervolgens op opslaan.
d) Onder “IDP SSO Target Url” voert u het pad in naar uw ADFS server, bijvoorbeeld: https://login.windows.net/xxxx-xxxx-xxx-xx-xxx-x-xx-x/saml2

e) Voer onder “Certificaat” de hash-code van je certificaat in. Indien deze niet voorhanden is kan deze op de volgende manier worden achterhaald. 

Select Windows button +R
type MMC and click enter
click File and select add/remove snap-ins
Select Certificates and add
Select Computer account and local computer
Select the Personal certificate store
Browse to the certificates and export the Token-Signing certificate.


a. Right-click the certificate and select View Certificate.
b. Select the Details tab.
c. Click Copy to File….
The Certificate Export Wizard launches.
d. Select Next.
e. Ensure No, do not export the private key is select, and then click Next.
f. Select DER encoded binary X.509 (.cer), and then click Next.
g. Select where you want to save the file and give it a name. Click Next.
h. Select Finish.


Service-now requires that this certificate be in PEM format. You can convert this certificate using client tools or even online tools such as: SSL Shopper.
Use the DER/Binary certificate we just created and export it to Standard PEM format.
Right Click the Certiicate and open this with a texteditor and copy the hash.

 

f) Nadat de gegevens zijn ingevuld en opgeslagen wordt onderstaand weergegeven.

 

6) Configuratie voor browsers en intranet

a) Indien u een link aanbiedt aan uw gebruikers op b.v. uw intranet of gebruikers dektop dan dient deze te verwijzen naar het request url. B.v. https://bedrijfsnaam.nmbrs.nl/applications/common/externalactions.aspx?login=samlsso
b) Saml werkt uitstekend met Internet-explorer daar deze geen authenticatie meer vereist na het inloggen op een pc welke is gekoppeld aan het Active Directory Domein. Hiervoor dient echter zowel de urls van het intranet als uw omgeving bij NMBRS in de trusted list onder de Internet Explorer Options te worden opgenomen.
c) De overige browsers vereisen mogelijk een login op het domein alvorens men kan inloggen op uw NMBRS applicatie.
d) Voor het werken met Chrome dient er een extra stap te worden genomen daar deze standard geen windows authenticatie ondersteund. Zie hiervoor de onderstaande link.

IIS aanpassing om Chrome te laten werken: https://exitcodezero.wordpress.com/2013/05/30/adfs-authentication-issues-with-chrome-and-firefox/

 

 

Volgen

Opmerkingen

Mogelijk gemaakt door Zendesk