Ihr eigener ID Server
Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!
Mehr ErfahrenIm folgenden erklären wir Ihnen wie Sie das SecSignID-Plugin für Ihr Bamboo-System installieren und es dadurch noch sicherer gestalten.
Der Ablauf für die SecSign ID 2FA mit dem Shibboleth Identity Provider v3.3.x.:
Der SecSign ID Ablauf ist so gestaltet, dass er sich perfekt auf bestehende Loginabläufe anpassen kann, üblicherweise ein MFA Loginablauf. Der erste Loginablauf ist generell eine reguläre Passwortabfrage über einen LDAP Server. Dafür müssen die Nutzer in Ihrem AD Nutzeraccount das SecSign ID Attribut zugewiesen bekommen.
Nach dem Passwortlogin ist die SecSign ID des Nutzers im Authentifizierungskontext und kann für die 2FA genutzt werden.
Bitte kontaktieren Sie uns, wenn Sie Ihre Active Directory Nutzerprofile nicht modifizieren wollen. Mit dem SecSign ID Inhouse Server können Sie ID-Nutzernamen Mapping ohne Änderungen im AD vornehmen. Auch das Mapping via Textdatei ist möglich, aber nicht empfohlen.
Wenn sich Ihre Nutzer einloggen, authentifizieren sie sich generell erst mit ihrem Nutzernamen und Passwort. Danach wird der zweite Faktor angefragt. Wie funktioniert also das Mapping von Nutzernamen und SecSign ID?
Sie haben mehrere Möglichkeiten, die SecSign ID einem Nutzer zuzuordnen:
Der SecSign ID Inhouse Server kann das Nutzermapping übernehmen, insbesondere wenn Sie die Attribute der LDAP Nutzerprofile nicht ändern können oder wollen:
Nutzermanagement muss nicht kompliziert sein. SecSig ID bietet zahlreiche Möglichkeiten, die Registrierung Ihrer Nutzer automatisch und schnell abzuwickeln. Sie können so mit minimalen Aufwand den Zugriff von großen Nutzergruppen auf Ihr Shibboleth verwalten.
Mehr Informationen zum Nutzermanagement
Die individuelle Nutzerregistrierung ist ideal für kleinere Benutzergruppen oder um die Integration zu testen. Je nach Ihrem Mapping können Sie die SecSign ID direkt zum Active Directory Nutzerprofil hinzufügen, oder das EPPN (der Shibboleth Nutzername in Kombination mit dem Scope) zum Nutzerprofil auf Ihrem SecSign ID Inhouse Server hinzufügen.
Sie können Ihren Nutzern anbieten, ihre SecSign ID während des Logins hinzuzufügen. Der Nutzer wird aufgefordert, seine SecSign ID anzugeben, nachdem er sich erfolgreich mit seinem Nutzernamen und Passwort angemeldet hat. Nach seiner ersten erfolgreichen Authentifizierung mit der App ist er automatisch für die 2FA freigeschaltet.
Wenn Sie lieber eine definierte Struktur für die Erstellung der SecSign ID bestimmen möchten, bieten wir die QR Code Registrierung an. Der Nutzer meldet sich mit seinem Nutzernamen und Passwort an und bekommt einen QR Code angezeigt. Dieser QR Code enthält alle Informationen zu Server Endpoints und der SecSign ID mit definiertem Muster, beispielsweise die Email Adresse des Nutzers. Der Nutzer scannt den QR Code mit seiner SecSign ID App und die SecSign ID wird automatisch in der App erstellt. Die SecSign ID wird dem Shibboleth Nutzer nach seiner ersten erfolgreichen Authentifizierung automatisch zugeordnet.
Für einen noch komfortableren Registrierungsprozess bieten wir darüber hinaus die SecSign ID Custom App in Kombination mit dem SecSign ID Inhouse Server an. Die App bietet zahlreiche individuell anpassbare Registrierungsoptionen, beispielsweise Email Aktivierungscodes.
Kontaktieren Sie uns für mehr Informationen zu Nutzerregistrierungen
1. Bauen Sie die Verteilung
$ cd secsign-shibboleth $ ./gradlew build
2. Kopieren Sie conf
, edit-webapp
, flows
und views
von IDP_HOME
zu $IDP_HOME
, normalerweise /opt/shibboleth-idp
.
$ cp -r /secsign-shibbolet/build/* $IDP_HOME/
3. Bearbeiten Sie $IDP_HOME/conf/idp.properties
und ändern Sie die folgenden Eigenschaften:
/conf/secsignid.properties
zu dem Propertyidp.additionalProperties=
hinzu,
beispielsweise:
idp.additionalProperties= /conf/ldap.properties, /conf/saml-nameid.properties, /conf/services.properties, /conf/secsignid.properties
idp.authn.flows=
zu idp.authn.flows=MFA
4. Bearbeiten Sie $IDP_HOME/conf/secsignid.properties
und passen Sie es Ihren Anforderungen an:
false: LDAP Connector nicht verwenden und EPPN an den Inhouse SecSign ID Server senden. Der SecSign ID Inhouse Server verwaltet das Aufrufen der ID und die Authentifizierung. Wenn Sie die SecSign ID Registrierungsoptionen nutzen, werden die SecSign IDs mit dem EPPN als Identifizierung auf dem SecSign ID Inhouse Server gespeichert.
Die LDAP Profile müssen die folgenden Werte enthalten: mail (Email Addresse), sn (Nachname), givenname (Vorname)
5. Bearbeiten Sie $IDP_HOME/conf/authn/general-authn.xml
, und authn/SecSignID
Bean zum Element
<bean id="authn/SecSignID" parent="shibboleth.AuthenticationFlow" p:passiveAuthenticationSupported="true" p:forcedAuthenticationSupported="true"> <!-- The list below should be changed to reflect whatever locally- or community-defined values are appropriate to represent MFA. It is strongly advised that the value not be specific to SecSignID or any particular technology. --> <property name="supportedPrincipals"> <list> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="http://example.org/ac/classes/mfa" /> <bean parent="shibboleth.SAML1AuthenticationMethod" c:method="http://example.org/ac/classes/mfa"/> <list> </property> </bean>
6. Passen Sie die Modify the supportedPrincipals Liste im Bean<bean id="authn/MFA"...
an, beispielsweise:
<property name="supportedPrincipals"> <list> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="http://example.org/ac/classes/mfa" /> <bean parent="shibboleth.SAML1AuthenticationMethod" c:method="http://example.org/ac/classes/mfa"/> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" /> <bean parent="shibboleth.SAML2AuthnContextClassRef" c:classRef="urn:oasis:names:tc:SAML:2.0:ac:classes:Password" /> <bean parent="shibboleth.SAML1AuthenticationMethod" c:method="urn:oasis:names:tc:SAML:1.0:am:password" /> </list> </property>
7. Bearbeiten Sie $IDP_HOME/conf/authn/mfa-authn-config.xml
und ändern Sie das Element
, beispielsweise so:
<util:map id="shibboleth.authn.MFA.TransitionMap"> <!-- First rule runs the UsernamePassword login flow. --> <entry key=""> <bean parent="shibboleth.authn.MFA.Transition" p:nextFlow="authn/Password" /> </entry> <!-- An implicit final rule will return whatever the final flow returns. --> <entry key="authn/Password"> <bean parent="shibboleth.authn.MFA.Transition" p:nextFlow="authn/SecSignID" /> </entry> </util:map>
8. Bauen Sei die IdP war Datei neu auf
$ $IDP_HOME/bin/build.sh
8. Kopieren Sie die war Datei zum öffentlichen Ordner und starten Sie den Web Server neu. Beispielsweise mit Jetty:
$ cp $IDP_HOME/war/idp.war /opt/jetty.../webapps/ $ service jetty restart
1. Konfigurieren Sie den SAMLtest Service Provider
$IDP_HOME/metadata/idp-metadata.xml
hoch.$IDP_HOME/conf/metadata-providers.xml
und kopieren Sie die SAMLtest Metadata von https://samltest.id/download/2. Öffnen Sie https://samltest.id/start-idp-test/ in Ihren Browser und kopieren Sie Ihre entityID von Ihrem IdP
Alle Verbindungs- und Authentifizierungsfehler werden unter $IDP_HOME/logs/idp-process.log
oder $IDP_HOME/logs/idp-warn.log
geloggt.
Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!
Mehr ErfahrenDie neuesten SecSign Portal Updates ermöglichen unseren Nutzern eine noch einfacherere und sicherere Bedienung. History Notiznotifikationen Dateien markieren Softkey Dateien beim Upload signieren Hochgeladene Da ...
Mehr LesenZwei-Faktor Authentifizierung und Zwei-Schritt Authentifizierung sind zwei Möglichkeiten, den Login Ihrer Nutzer abzusichern. Beide Optionen können, abhängig von Ihren Anforderungen und Bedingungen, Ihren Nutzern eine sichere A ...
Mehr LesenInhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...
Mehr LesenWürden Sie gerne mehr über unsere innovativen und hochsicheren Lösungen zum Schutz von Nutzerkonten und empfindlichen Daten erfahren?
Nutzen Sie unser Kontaktformular und ein SecSign Kundenbetreuer wird innerhalb eines Arbeitstages Kontakt mit Ihnen aufnehmen.
Benötigen Sie Hilfe mit einem existierenden SecSign Account oder einer Produktinstallation? Die häufigsten Fragen haben wir in unseren FAQs zusammengefasst. Sie finden keine Lösung zu Ihrem Problem? Kontaktieren Sie den
Kundensupport
Ich Interessiere mich für