Wie können wir Ihnen heute helfen?

SAML Single Sign On Manuelle Konfiguration

Du bist da:
< Zurück

Die Anweisungen in diesem Artikel gelten nur für MyWorkDrive-Installationen, die Active Directory für die Benutzeridentität verwenden. Wenn MyWorkDrive mit Entra ID für das Benutzerverzeichnis konfiguriert ist, verwendet es eine native Microsoft-Anmeldung und SAML ist nicht erforderlich, um SSO zu aktivieren.

Überblick über die manuelle Konfiguration von MyWorkDrive SAML

Security Assertion Markup Language (SAML) ist ein offener Standard zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, insbesondere zwischen einem Identitätsanbieter und einem Dienstanbieter. Wie der Name schon sagt, ist SAML eine XML-basierte Auszeichnungssprache für Sicherheitsaussagen (Aussagen, die Dienstanbieter verwenden, um Entscheidungen zur Zugriffskontrolle zu treffen).

MyWorkDrive Server 5.0 unterstützt SAML-basiertes Web File Manager Single Sign On (SSO) zusätzlich zu ADFS (das separat konfiguriert wird). Für SAML fungiert MyWorkDrive als Dienstanbieter (SP), während der Partner als Identitätsanbieter (IdP) fungiert, zum Beispiel: Shibboleth, OneLogin, Centrify, Azure AD, OKTA usw.

Vorkonfigurierte SAML-Einrichtungsanleitungen

Mehrere SAML-Anbieter sind in MyWorkDrive vorkonfiguriert und verwenden einen vereinfachten Einrichtungsprozess. Bitte besuchen Sie die folgenden Artikel zur Einrichtung von Azure AD, Okta und OneLogin. Es ist weder erforderlich noch empfohlen, MyWorkDrive für diese Anbieter manuell zu konfigurieren.

Azure AD-SAML

OKTA SAML

OneLogin SAML

Manuelle SAML-Voraussetzungen

  • Stellen Sie sicher, dass Benutzern ein upn-Suffix für den Domänennamen zugewiesen wurde, das mit dem Anmeldenamen des SAML-Anbieters übereinstimmt, damit sie sich mit ihrer E-Mail-Adresse bei Ihrem MyWorkDrive-Server anmelden können.
  • Stellen Sie sicher, dass der MyWorkDrive-Server für die Delegierung gemäß unserer vertrauenswürdig ist Delegationsartikel
  • Machen Sie Ihren Server über Cloud Web Connector verfügbar oder richten Sie Ihr eigenes öffentliches SSL-Zertifikat und Ihren eigenen Hostnamen ein, die über Port 443 (SSL) auf Ihren MyWorkDrive-Server verweisen, und stellen Sie sicher, dass Ihr Server öffentlich zugänglich ist. Support-Artikel anzeigen.

Anmeldeablauf

 

Im Folgenden wird der Ablauf der Benutzeranmeldung bei MyWorkDrive von einem Identitätsanbieter (IdP) erläutert:

 

  • Es wird davon ausgegangen, dass sich alle Benutzer mit ihrem UPN-Suffix (z. B. @yourdomain.com) beim LDAP anmelden und es mit ihrem Active Directory-Benutzernamen UPN übereinstimmt.
  • Ihr MyWorkDrive-Server verwendet Ihren eigenen Hostnamen und Ihr eigenes SSL-Zertifikat (*.MyWorkDrive.net wird für SAML nicht unterstützt).
  • Der Benutzer klickt auf die MyWorkDrive-Assertion-Consumer-Service-URL (z. B. https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) als Single-Sign-On-URL.
  • Wenn der Benutzer noch nicht beim LDAP angemeldet ist, leitet der MyWorkDrive-Server den Benutzer zum Anmelden an den SSL-Dienst weiter.
  • Nach der Bestätigung generiert der IdP-Dienst eine gültige SAML-Antwort und leitet den Benutzer zurück zu MyWorkdrive, um die SAML-Antwort zu überprüfen.
  • Wenn die Benutzerauthentifizierung erfolgreich validiert wurde, werden sie automatisch beim MyWorkDrive Web File Manager ihres Unternehmens angemeldet.

Konfigurationsschritte für den SAML-SSL-MyWorkDrive-Server

 

Um SAML erfolgreich auf dem MyWorkDrive-Server zu konfigurieren, sind die folgenden manuellen Schritte erforderlich:

Konfiguration des IdP-Dienstes

Wenn Ihr IdP Einstellungen aus Metadaten importiert, können Sie den MyWorkDrive-Metadatenlink von Ihrem Server unter https://YourMWDserver.yourdomain.com/SAML/ServiceProviderMetadata verwenden

  • Erstellen Sie eine SAML-Konfiguration beim IdP, die auf MyWorkDrive verweist:
  • Geben Sie die URL des Assertion Consumer Service (z. B. https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) als Single-Sign-On-URL an.
  • Geben Sie den Zielgruppen-URI (SP-Entitäts-ID) an – geben Sie „MyWorkDrive“ als Zielgruppen-URI ein.
  • Geben Sie die Single-Logout-Service-URL (z. B. https://YourMWDServer.yourdomain.com/SAML/SLOService.aspx) als Logout-URL an.
  • Geben Sie den SP-Aussteller an. Dies ist der Name des lokalen Dienstanbieters – Geben Sie „MyWorkDrive“ ein.
  • Laden Sie das LDAP-Zertifikat herunter und legen Sie es in C:\Wanpath\WanPath.Data\Settings\Certificates ab

Konfiguration des MyWorkDrive-Servers

  1. Aktualisieren Sie die SAML-Konfiguration, die sich in C:\Wanpath\WanPath.Data\Settings befindet, um die Auskommentierung zu entfernen Eintrag für Ihren IdP. Wenn für Ihren IdP kein Eintrag vorhanden ist, können Sie das MWD-Beispiel verwenden.
  2. Lokale Zertifikatsdatei. Dieser Schritt sollte für Sie in MyWorkDrive-Serverversion 5.2 und höher durchgeführt werden und ein Zertifikat sollte im Ordner mit dem Kennwort in der Datei saml.config vorhanden sein. Wenn dies nicht der Fall ist, fahren Sie mit dem Exportieren Ihres öffentlichen SSL-Zertifikats fort, das Ihrem MyWorkDrive-Hostnamen entspricht, auf den in Ihrem Identitätsanbieter verwiesen wird, mit einem Kennwort, und platzieren Sie die SL-Zertifikat-PFX-Exportdatei in C:\Wanpath\WanPath.Data\Settings\Certificates und referenzieren Sie sie den Dienstanbieterbereich mit dem Passwort, das Sie beim Export verwendet haben.
  3. Im Abschnitt Identitätsanbieter: Legen Sie den Namen auf den Aussteller des Identitätsanbieters fest. Dieser Wert wird auch als Metadaten-EntityID bezeichnet.
  4. Im Abschnitt Identitätsanbieter: Legen Sie die SingleSignOnServiceUrl auf die Single-Sign-On-URL des Identitätsanbieters fest.
  5. Im Abschnitt „Identitätsanbieter“: Legen Sie die SingleLogoutServiceUrl auf die Single-Logout-URL des Identitätsanbieters fest.
  6. Aktualisieren Sie den Abschnitt PartnerCertificateFile des Identitätsanbieters mit dem vollständigen Pfad und Namen der Zertifikatsdatei des Identitätsanbieters.

Der Konfigurationsabschnitt für den Partner-Identitätsanbieter sollte der folgenden saml.conf ähneln

<!– Okta –>

<PartnerIdentityProvider Name=” http://www.okta.com/exkxxxxxxsyyyyyzzzz55″

Beschreibung = „Okta“

SignAuthnRequest="true"

SignLogoutRequest="true"

SignLogoutResponse="true"

WantLogoutRequestSigned="true"

WantLogoutResponseSigned="true"

SingleSignOnServiceUrl=”https://yourcompany.okta.com/app/yourcompany_mwdserver1_1/exkxxxxxyyyy555/sso/saml”

SingleLogoutServiceUrl =”https://yourcompany.okta.com/app/yourcompany_mwdtest1_1/exkrcdasxxxxxxyyyyy55/slo/saml”

PartnerCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\okta.cer”/>

 

Die Konfiguration des Dienstanbieterabschnitts sollte der folgenden saml.conf ähneln

 

<ServiceProvider Name=”MyWorkDrive”

Description=“MWD Service Provider“ AssertionConsumerServiceUrl=“~/SAML/AssertionConsumerService.aspx“ LocalCertificateFile=“C:\Wanpath\WanPath.Data\Settings\Certificates\yourdomain.pfx“

LocalCertificatePassword="Kennwort"/>

 

Stellen Sie schließlich vor dem Testen sicher, dass Sie einige Benutzer zu Ihrem neuen MyWorkDrive-Eintrag in Ihrem IdP hinzugefügt haben, um sie für den Zugriff auf MyWorkDrive zu autorisieren. Um SAML zu testen, ohne es nach der Aktivierung erforderlich zu machen, verwenden Sie die folgende URL: http://yourserver.yourdomain.com/account/login-saml.aspx