Hoe kunnen we u vandaag helpen?

SAML Single Sign On handmatige configuratie

U bent hier:
< Terug

De instructies in dit artikel zijn alleen van toepassing op MyWorkDrive-installaties waarbij Active Directory wordt gebruikt voor gebruikersidentiteit. Als MyWorkDrive is geconfigureerd met Entra ID voor de gebruikersdirectory, gebruikt het een native Microsoft-aanmelding en is SAML niet vereist om SSO in te schakelen.

Overzicht handmatige configuratie MyWorkDrive SAML

Security Assertion Markup Language (SAML) is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen partijen, met name tussen een identiteitsprovider en een serviceprovider. Zoals de naam al aangeeft, is SAML een op XML gebaseerde opmaaktaal voor beveiligingsbeweringen (statements die serviceproviders gebruiken om beslissingen over toegangscontrole te nemen).

MyWorkDrive Server 5.0 ondersteunt SAML-gebaseerde Web File Manager Single Sign On (SSO) naast ADFS (dat afzonderlijk wordt geconfigureerd). Voor SAML fungeert MyWorkDrive als Service Provider (SP) terwijl de partner optreedt als identiteitsprovider (IdP) voor bijvoorbeeld: Shibboleth, OneLogin, Centrify, Azure AD, OKTA, etc.

Voorgeconfigureerde SAML-installatiehandleidingen

Verschillende SAML-providers zijn vooraf geconfigureerd in MyWorkDrive en gebruiken een vereenvoudigd installatieproces. Ga naar de volgende artikelen voor het instellen van Azure AD, Okta en OneLogin. Het is niet nodig en ook niet aan te raden om MyWorkDrive handmatig te configureren voor deze providers.

Azure AD SAML

OKTA SAML

OneLogin SAML

Handmatige SAML-vereisten

  • Zorg ervoor dat gebruikers een upn-achtervoegsel hebben toegepast op de domeinnaam die overeenkomt met de SAML-provideraanmeldingsnaam, zodat ze met hun e-mailadres kunnen inloggen op uw MyWorkDrive-server.
  • Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel
  • Maak uw server beschikbaar via Cloud Web Connector of stel uw eigen openbare SSL-certificaat en hostnaam in die naar uw MyWorkDrive-server wijzen via poort 443 (SSL) en zorg ervoor dat uw server openbaar toegankelijk is. Ondersteuningsartikel bekijken.

Aanmeldingsstroom

 

Hieronder wordt de gebruikersaanmeldingsstroom voor MyWorkDrive vanaf een identiteitsprovider (IdP) uitgelegd:

 

  • Er wordt aangenomen dat alle gebruikers inloggen op de ldP met hun UPN-achtervoegsel (bijv. @uwdomein.com) en dat dit overeenkomt met hun Active Directory-gebruikersnaam UPN.
  • Uw MyWorkDrive-server gebruikt uw eigen hostnaam en SSL-certificaat (*.MyWorkDrive.net wordt niet ondersteund voor SAML).
  • De gebruiker klikt op de MyWorkDrive assertion consumer service URL (bijv. https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) als de single sign-on URL.
  • Als de gebruiker nog niet is aangemeld bij de ldP, leidt de MyWorkDrive-server de gebruiker om naar de SSL-service om in te loggen.
  • Na bevestiging genereert de IdP-service een geldig SAML-antwoord en leidt de gebruiker terug naar MyWorkdrive om het SAML-antwoord te verifiëren.
  • Als de gebruikersauthenticatie met succes is gevalideerd, worden ze automatisch aangemeld bij MyWorkDrive Web File Manager van hun bedrijf.

SAML SSL MyWorkDrive Server-configuratiestappen

 

Om SAML succesvol te configureren op de MyWorkDrive-server zijn de volgende handmatige stappen nodig:

IdP-serviceconfiguratie

Als uw IdP instellingen uit metagegevens importeert, kunt u de MyWorkDrive-metagegevenslink van uw server gebruiken op https://YourMWDserver.yourdomain.com/SAML/ServiceProviderMetadata

  • Maak een SAML-configuratie op de IdP die verwijst naar de MyWorkDrive:
  • Geef de URL van de assertion-consumentenservice op (bijv. https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) als de URL voor eenmalige aanmelding.
  • Specificeer de doelgroep-URI (SP Entity ID) - voer "MyWorkDrive" in als de doelgroep-URI.
  • Geef de enkele uitlogservice-URL op (bijv. https://YourMWDServer.yourdomain.com/SAML/SLOService.aspx) als de uitlog-URL.
  • Geef de SP-uitgever op. Dit is de naam van de lokale serviceprovider. Voer "MyWorkDrive" in.
  • Download het ldP-certificaat en plaats het in C:\Wanpath\WanPath.Data\Settings\Certificates

MyWorkDrive-serverconfiguratie

  1. Werk de SAML-configuratie in C:\Wanpath\WanPath.Data\Settings bij om het commentaar uit de vermelding voor uw IdP. Als er geen invoer aanwezig is voor uw IdP, kunt u het MWD-voorbeeld gebruiken.
  2. Lokaal certificaatbestand. Deze stap moet voor u worden voltooid in MyWorkDrive-serverversie 5.2 en hoger en er moet een certificaat aanwezig zijn in de map met het wachtwoord in het bestand saml.config. Als dit niet het geval is, gaat u verder met Exporteer uw openbare SSL-certificaat dat overeenkomt met uw MyWorkDrive-hostnaam waarnaar wordt verwezen in uw IdP met een wachtwoord en plaats het SL-certificaat PFX-exportbestand in C:\Wanpath\WanPath.Data\Settings\Certificates en verwijs ernaar in het serviceprovidergedeelte met het wachtwoord dat u tijdens de export hebt gebruikt.
  3. In het gedeelte identiteitsprovider: Stel de naam in op de uitgever van de identiteitsprovider. Deze waarde wordt ook wel de entiteit-ID metagegevens genoemd.
  4. In het gedeelte Identiteitsprovider: Stel de SingleSignOnServiceUrl in op de URL voor eenmalige aanmelding van de identiteitsprovider.
  5. In het gedeelte Identiteitsprovider: Stel de SingleLogoutServiceUrl in op de enkele uitlog-URL van de identiteitsprovider.
  6. Werk de sectie PartnerCertificateFile van de identiteitsprovider bij met het volledige pad en de naam van het certificaatbestand van de identiteitsproviders.

Het configuratiegedeelte van de partneridentiteitsprovider moet vergelijkbaar zijn met het volgende saml.conf

<!– Okta –>

<PartnerIdentityProvider Name=” http://www.okta.com/exkxxxxxxsyyyyyzzzz55″

Beschrijving=”Okta”

SignAuthnRequest=”true”

SignLogoutRequest=”true”

SignLogoutResponse=”true”

WantLogoutRequestSigned=”true”

WantLogoutResponseSigned=”true”

SingleSignOnServiceUrl=”https://uwbedrijf.okta.com/app/uwbedrijf_mwdserver1_1/exkxxxxxyyyy555/sso/saml”

SingleLogoutServiceUrl=”https://uwbedrijf.okta.com/app/uwbedrijf_mwdtest1_1/exkrcdasxxxxxxyyyyy55/slo/saml”

PartnerCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\okta.cer”/>

 

De configuratie van de sectie Serviceprovider moet vergelijkbaar zijn met de volgende saml.conf

 

<ServiceProvider Name=”MyWorkDrive”

Description=”MWD-serviceprovider” AssertionConsumerServiceUrl=”~/SAML/AssertionConsumerService.aspx” LocalCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\uwdomein.pfx”

LocalCertificatePassword=”wachtwoord”/>

 

Zorg er ten slotte voor dat u, voordat u gaat testen, enkele gebruikers hebt toegevoegd aan uw nieuwe MyWorkDrive-vermelding in uw IdP om hen te autoriseren voor toegang tot MyWorkDrive. Gebruik de volgende URL om SAML te testen zonder het vereist te maken nadat het is ingeschakeld: http://uwserver.uwdomein.com/account/login-saml.aspx