SAML Authenticatie (ADFS 3.0)

Het is mogelijk om authenticatie op basis van SAML (security assertion markup language) in te stellen.

Deze integratie is beschikbaar voor zowel Business als Accountantsomgevingen. Let er wel op dat je deze authenticatie als Accountant alleen voor je eigen omgeving kunt gebruiken. Deze integratie kun je als Accountant niet beschikbaar maken voor je klanten.

Hieronder staat beschreven hoe je dit kan instellen. Buiten de instellingen in Nmbrs zal ook de "ADFS 3.0" moeten worden ingesteld. Deze instellingen worden beschreven verderop in dit  artikel.

Schematisch werking van authenticatie procedure

Basis Configuratie

Voor het uitvoeren van de basis configuratie zijn er uitstekende handleidingen bij Microsoft verkrijgbaar waar mee je in no-time de ADFS Identity Provider opzet.

Voorbeeld configuratie:  http://summit7systems.com/claims-based-authentication-adfs-3-0-and-sharepoint-2013-beginners-guide/

Connectie opzetten met NMBRS

Deze beschrijving omvat enkel de "laatste stappen" van het configuratie proces. Hierbij wordt er van uitgegaan dat de klant de basis configuratie reeds heeft uitgevoerd.

Configuratie ADFS 3.0

Certificaat

Prepareer jouw certificaat, deze is reeds geplaatst als je de handleiding hebt gevolgd.

 

­Open het certificaat menu met een rechter klik en selecteer View Certificate.

Klik op details, Copy to file en vervolgens op Next

 

Selecteer de optie Base-64 encodedx.509 (.cer) en click op next. Exporteer het bestand op met een naam naar keuze.

SAML configuratie

Start de AD FS Management tool op

Rechter klik op de folder Trust Relationships en selecteer Add Relying Party Trust, hierdoor opent er een wizard waarin je settings kunt invoeren.

Onder Select Data Source selecteer "enter data about the relying party manually."

Voer onder "Specify Display Name" een naam naar keuze, deze mag niet reeds voorkomen.

Onder "Choose Profile" selecteer AD FS profile als optie.

 

Onder "Configure Certificate" voer niets in.

Onder "Configure URL" selecteer "Enable support for the SAML 2.0 WebSSO protocol."

Hierin voort het klantdomain, bijvoorbeeld: https://klantsubdomein.nmbrs.nl/applications/common/externalactions.aspx?login=samlresponse

 

Onder "Configure Identifiers" voer het nmbrs subdomein in, bijvoorbeeld: https://klantsubdomein.nmbrs.nl en klik dan op "Add". De volgende stap "configure Multi-factor Authentication Now?" kun je overslaan.

 

 

Bij de volgende stap "Choose Issuance Authorization Rules" selecteer "Permit all users to access this relying party". De hierop volgende stap mag je overslaan en selecteer vervolgens “Close”. Een menu voor de Claims zal zich openen.

 

 

Claims configuratie

Onder claims selecteer "Send LDAP Attributes as Claims" en klik op Next.

Onder "Configure Claim Rule" voer een naar naar keuze en selecteer de volgende settings:

• Attribute store: Active Directory
• Mapping of LDAP attributes to outgoing claim types: E-Mail-Addresses
• Selecteer Finish om afteronden en apply/ok om af te sluiten.

Let op: Om de claims correct te laten werken neem in Active Directory Usermanagement panel het email adres op welke gelijk is aan die in Nmbrs. 

Certificaat toevoegen aan het domein

Selecteer Properties in het overzicht met "Relying Party Trusts" en ga naar tab Signature:

Selecteer op tab Signature het in de eerste stap geprepareerde certificaat en voeg dit toe:

Ga naar tab Advanced en selecteer hier het "Secure hash algorithm": SHA-1:

 

Instellingen Nmbrs

De volgende instellingen dienen in je NMBRS-omgeving te worden uitgevoerd.

a) Klik op het pictogram rechtsboven (1) om naar "Mijn Account" (2) te gaan:

 

 b) Ga naar "Security instellingen":

c) Onder "Wachtwoord / inloggen instelingen" vind je de optie Inloggen met SAML (1). Klik hierop om de pop-up "SSO Instellingen" (2) te openen. Na aanvinken van de optie "Inloggen met SAML" verschijnen twee (extra) invulvelden. Voer de IDP SSO Target Url en het certificaat in. Klik vervolgens op Opslaan:

d) Voer bij "IDP SSO Target Url" het pad in naar de ADFS-server, bijvoorbeeld: https://login.windows.net/xxxx-xxxx-xxx-xx-xxx-x-xx-x/saml2

e) Voer onder “Certificaat” de hash-code van je certificaat in. Indien niet voorhanden kan deze op de volgende manier worden achterhaald. 

Select Windows button +R
type MMC and click enter
click File and select add/remove snap-ins
Select Certificates and add
Select Computer account and local computer
Select the Personal certificate store
Browse to the certificates and export the Token-Signing certificate.

a. Right-click the certificate and select View Certificate.
b. Select the Details tab.
c. Click Copy to File….
The Certificate Export Wizard launches.
d. Select Next.
e. Ensure No, do not export the private key is select, and then click Next.
f. Select DER encoded binary X.509 (.cer), and then click Next.
g. Select where you want to save the file and give it a name. Click Next.
h. Select Finish.

Service-now requires that this certificate be in PEM format. You can convert this certificate using client tools or even online tools such as: SSL Shopper.
Use the DER/Binary certificate we just created and export it to Standard PEM format.
Right Click the Certiicate and open this with a texteditor and copy the hash.

 

f) Nadat de gegevens zijn ingevuld en opgeslagen wordt onderstaand scherm weergegeven:

 

Configuratie voor browsers en intranet

1. Indien je de gebruikers een link aanbiedt op b.v. het intranet of een gebruikersdesktop dan dient deze te verwijzen naar het request url. B.v. https://bedrijfsnaam.nmbrs.nl/applications/common/externalactions.aspx?login=samlsso
2. SAML werkt uitstekend in combinatie met Internet Explorer, aangezien dan geen authenticatie meer vereist is na inloggen op een computer die aan het Active Directory Domain gekoppeld is. Hiervoor dienen echter de urls van zowel het intranet als jullie NMBRS-omgeving in de lijst met Trusted sites onder Internet Options => Security te worden opgenomen.
3. Andere browsers vereisen mogelijk een login op het domein voordat men kan inloggen in NMBRS.
4. Voor gebruik van Chrome dient een extra handeling te worden verricht, aangezien Chrome standaard geen Windows-authenticatie ondersteunt. Zie hiervoor dit artikel, dat een IIS-aanpassing beschrijft om Chrome te laten werken.