Einrichtung SSO via SAML

Einrichtung am FTAPI System

  1. Aus dem FTAPI Server SSL-Zertifikat mittels openssl und keytool ein saml.jks erstellen:                                                                            openssl pkcs12 -in certificate.pfx -out mypemfile.pem
    openssl pkcs12 -export -in mypemfile.pem -out saml.p12 -name "saml"
    [IhrInstallationsVerzeichnis]/ftapi-server/jre/[linux] oder [windows]/bin/keytool -importkeystore -srckeystore saml.p12 -destkeystore saml.jks
  2. Eine leere Datei customerIDP.cer erstellen
  3. Die Datei customerIDP.cer mit folgendem Inhalt befüllen:                                                                                                                                       -----BEGIN CERTIFICATE-----
    {INHALT DES XML-TAGS}
    -----END CERTIFICATE-----
  4. Die Metadaten .xml-Datei vom Identity Provider beziehen
  5. Den Inhalt des obersten <X509Certificate></X509Certificate> aus der Datei markieren. ACHTUNG: Es gibt in der Regel mehrere X509 Zertifikate in der Metadata URL - wichtig ist er oberste.
  6. Den String {INHALT DES XML-TAGS} der customerIDP.cer durch den in Schritt 5. markierten String ersetzen und die Änderungen an der Datei abspeichern
  7. Die Datei saml.jks nach [IhrInstallationsVerzeichnis]/.ftapi/config verschieben
  8. Die Datei customerIDP.cer mittels ‘[IhrInstallationsVerzeichnis]/ftapi-server/jre/[linux] oder [windows]/bin/keytool -importcert -file customerIDP.cer -keystore [IhrInstallationsVerzeichnis]/.ftapi/config/saml.jks' importieren
  9. In der WebUI des FTAPI Systems zur SAML Schnittstelle unter Administration -> System -> Single Sign On SAML 2.0 navigieren
  10. SAML aktivieren
  11. Entweder die SAML Metadaten als .xml-Datei direkt hinterlegen oder eine Metadata-URL hinterlegen, von der die Datei bezogen wird
  12. Das für den saml.jks vergebene Passwort als Keystore Passwort hinterlegen
  13. Die am Identity Provider definierten Attribute Claims (siehe nächster Absatz Einrichtung am Identity Provider) unter Attributmapping und Gruppenmapping hinterlegen
  14. Speichern und Dienst neu starten

 

Einrichtung am Identity Provider

  1. Erstellen einer Applikation für FTAPI
  2. Metadaten können von <ftapi-server-url>/saml/metadata bezogen werden
  3. Folgende Attribute werden als Claims benötigt: E-Mail Address, Name, Name ID
  4. Optional kann noch das Attribut Group verwendet werden, falls ein Gruppenmapping Richtung FTAPI stattfinden soll

Was this article helpful?