Gå til indhold
Dansk
Gå til www.northgrc.dk
  • Der er ingen forslag, da søgefeltet er tomt.

GovCloud ADFS SSO

SAML and SSO

Security Assertion Markup Language (SAML) primære rolle i online sikkerhed er at give dig adgang til flere web applikationer ved hjælp af ét sæt adgangsoplysninger. Det fungerer ved at videregive godkendelsesoplysninger i et bestemt format mellem to parter, normalt en identitetsudbyder (Microsoft Active Directory Federation Service IdP) og en webapplikation (NorthGRC).


Webapplikationer kan udnytte SAML via identitetsudbyderen til at give adgang til deres brugere. SAML-godkendelsesmodellen betyder, at brugere ikke behøver at huske flere brugernavne og adgangskoder. Det gavner også tjenesteudbydere, da det øger sikkerheden, primært ved at undgå behovet for at gemme adgangskoder, skulle håndtere at koder skiftes og ikke at skulle håndtere brugere med glemte adgangskoder.


SAML Single Sign-On er en mekanisme, der udnytter SAML, så brugere kan logge på flere webapplikationer efter at have logget ind på identitetsudbyderen. Da brugeren kun skal logge på én gang, giver SAML SSO en hurtigere, problemfri brugeroplevelse.


SAML-protokollen har ikke en direkte kommunikation mellem Identity Provider (ADFS) og Service Provider (NorthGRC), så det er ikke muligt at importere eller synkronisere brugere. Brugere oprettes i NorthGRC on-the-fly, når de godkender med den eksterne SAML IdP (ADFS). Brugernes AD grupper oprettes også i NorthGRC, og de kan anvendes via NorthGRC teams til at give rettigheder i NorthGRC, når nye brugere med samme grupper logger ind i NorthGRC vil de gennem deres grupper også kunne opnå rettigheder til data i NorthGRC.


En SAML konfiguration består af 2 dele, en opsætning af webapplikationen (Service provider - SP, her NorthGRC) og Identitetsudbyderen (IdP, her Microsoft AD Federation Service). 

Konfiguration i NorthGRC

Kontakt din SIT projektleder eller SIT AD-Team for at få en aftale om opsætningen.


Først skal der hente en informationsfil fra ADFS, der indeholder generelle informationer om URL'er og certifikater. 

  • Åben denne url i en browser og hent xml:
    https://<adfsserver>/federationmetadata/2007-06/FederationMetadata.xml

Hostnavnet (DNS) for ADFS serveren kan oplyses af Statens IT (SIT) og er fælles for alle kunder. 

Opsætning i NorthGRC (udføres af kunden/enheden)


  • I en browser, naviger til NorthGRC ( <enhed>.isms.govcloud.dk )
  • Login med en servicebruger, der har rollen User Manager
  • Naviger til Indstillinger -> Sikkerhed -> Bruger Biblioteker
  • Vælg "Tilføj SAML brugerbibliotek"
  • Sæt navnet til "ADFS" og vælg "Vis knap på loginsiden"
  • Skift til fanen "Identitetsudbyder"
    • Find og upload filen FederationMetadata.xml (hentet ovenfor)
  • Anvend den grønne "Opret" knap
  • Anvend ret knappen på den nye brugerbibliotek vi lige har oprettet
  • Skift til fanen "SP Information"
    • Anvend SP metadata URL til at hente spMetadata.xml filen (denne sendes til SIT kontaktpersonen).

Konfiguration af ADFS (udføres af SIT)

Opsætning af ADFS for at tillade NorthGRC som Service Provider (SP):

  • Naviger til AD FS Manager Tool i Windows Server Manager
  • Vælg Trust Relationships
  • I højre side, vælg Add Relying Party Trust…
  • På velkommen siden: Vælg Start
  • Metode: Import data from relying party from a file, find filen spMetaData.xml (modtaget fra kunden) og vælg Next. 
  • Display Name: Sæt til "NorthGRC ISMS for <enhed>", for enheden anvendes typisk den forkortelse som anvendes inden for staten, f.eks STM. Vælg Next.
  • I "Choose Access Control Policy"
    • Vælg "Permit specific group" og vælge den AD sikkerhedsgruppe som anvendes til at udvælge hvilke brugere der skal have adgang til denne instans af NorthGRC (unique for hver enhed, f.eks STM)
  • I "Ready to add trust", vælg next og Close

Konfiguration af claims (Udføres af SIT)

  • Naviger til AD FS Manager Tool i Windows Server Manager
  • Vælg Trust Relationships og konfigurationen vi lige har oprettet
  • I højre side, vælg Edit Claims Issuance policy…
  • Vælg "Add rule"
  • Anvend Claim rules template: Send LDAP attributes as Claims, vælg next
  • Sæt navnet til: NorthGRC
  • I Attribute store, vælg: AD Active directory
  • Tilføj Claims:
    • E-Mail-addresses -> email 
    • Display-Name -> displayName
    • Token-Groups - Unqualified Names -> groups
  • Vælg Finish

Test

Efter at have oprettet et nyt brugerbibliotek og logget ud af NorthGRC, skal du genindlæse login siden før den nye grønne login knap med ADFS vises. 


Når man tester login med en ekstern identitetsudbyder, anbefales det at anvende en ny  "incognito" side i din browser for hver test, så man undgår at anvende det foregående gemte login informationer.

Groups and Teams

Da NorthGRC ikke kan kontakte AD direkte, er der ikke nogen mulighed for at importere brugere eller grupper på forhånd. Grupper og brugere oprettes i takt med at de logger ind på NorthGRC.


Man kan dog starte med at tildele alle de grupper man har tænkt at anvende i NorthGRC til en enkelt bruger, og så logge ind med denne. Derved bliver alle grupper oprettet i NorthGRC, og man kan begynde at tilføje disse grupper til Teams. Dette gøres i Indstillinger -> Sikkerhed -> Teams


Når nye brugere logger ind, vil de på baggrund af deres medlemskab af AD grupper, få tildelt medlemskab af de Teams som er tilknyttet, og dermed til alt det indhold og funktionalitet som er forbundet med disse Teams.

SSO

Når alting virker, grupper er fundet og sat på teams, kan man aktivere SSO i opsætningen af brugerbiblioteket i NorthGRC. Brugeren vil derefter ikke længere se en NorthGRC login side.


Hvis man får brug for at logge ind med en intern service bruger, kan man anvende en parameter til at undgå SSO:


https:// <enhedsnavn> .isms.govcloud.dk/login?skipsso=1

Claims

Vi tillader en række forskellige claim keys for at supportere flere udbydere af SAML directories.

E-mail claims

"email", "urn:oid: 1.2.840.113549.1.9.1", "e-mail address", "e-mail-addresses"

Name claims

In the following order:

  • "displayname"
  • "name"
  • "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  • "unique_name"
  •  "givenname" + "surname"
  • "urn:oid:2.5.4.42" + "urn:oid:2.5.4.4"
  • "commonname"
  • "edupersonprincipalname"
  • "urn:oid:1.3.6.1.4.1.5923.1.1.1.6"

Groups claim keys

"adgroups", "affiliationgroups", "edupersonaffiliation", "urn:oid:1.3.6.1.4.1.5923.1.5.1.1", "role", "group", "groups"