Einrichtung SSO via SAML

Einrichtung am FTAPI System

  1. Aus dem FTAPI Server SSL-Zertifikat mittels openssl und keytool ein saml.jks erstellen:                                                                            openssl pkcs12 -in certificate.pfx -out mypemfile.pem
    openssl pkcs12 -export -in mypemfile.pem -out saml.p12 -name "saml"
    [IhrInstallationsVerzeichnis]/ftapi-server/jre/[linux] oder [windows]/bin/keytool -importkeystore -srckeystore saml.p12 -destkeystore saml.jks
  2. Eine leere Datei customerIDP.cer erstellen
  3. Die Datei customerIDP.cer mit folgendem Inhalt bef├╝llen:                                                                                                                                       -----BEGIN CERTIFICATE-----
    {INHALT DES XML-TAGS}
    -----END CERTIFICATE-----
  4. Die Metadaten .xml-Datei vom Identity Provider beziehen
  5. Den Inhalt des obersten <X509Certificate></X509Certificate> aus der Datei markieren. ACHTUNG: Es gibt in der Regel mehrere X509 Zertifikate in der Metadata URL - wichtig ist er oberste.
  6. Den String {INHALT DES XML-TAGS} der customerIDP.cer durch den in Schritt 5. markierten String ersetzen und die Änderungen an der Datei abspeichern
  7. Die Datei saml.jks nach [IhrInstallationsVerzeichnis]/.ftapi/config verschieben
  8. Die Datei customerIDP.cer mittels ÔÇś[IhrInstallationsVerzeichnis]/ftapi-server/jre/[linux] oder [windows]/bin/keytool -importcert -file customerIDP.cer -keystore [IhrInstallationsVerzeichnis]/.ftapi/config/saml.jks' importieren
  9. In der WebUI des FTAPI Systems zur SAML Schnittstelle unter Administration -> System -> Single Sign On SAML 2.0 navigieren
  10. SAML aktivieren
  11. Entweder die SAML Metadaten als .xml-Datei direkt hinterlegen oder eine Metadata-URL hinterlegen, von der die Datei bezogen wird
  12. Das f├╝r den saml.jks vergebene Passwort als Keystore Passwort hinterlegen
  13. Die am Identity Provider definierten Attribute Claims (siehe n├Ąchster Absatz Einrichtung am Identity Provider) unter Attributmapping und Gruppenmapping hinterlegen
  14. Speichern und Dienst neu starten

 

Einrichtung am Identity Provider

  1. Erstellen einer Applikation f├╝r FTAPI
  2. Metadaten k├Ânnen von <ftapi-server-url>/saml/metadata bezogen werden
  3. Folgende Attribute werden als Claims ben├Âtigt: E-Mail Address, Name, Name ID
  4. Optional kann noch das Attribut Group verwendet werden, falls ein Gruppenmapping Richtung FTAPI stattfinden soll