Налаштування протоколу SAML

Hideez Enterprise Server - Налаштування протоколу SAML

Огляд протоколу SAML для Єдиного входу до веб-сервісів

Hideez Enterprise Server підтримує SAML 2.0 (Security Assertion Markup Language) для захищеної автентифікації користувачів, виступаючи в ролі постачальника ідентичностей (IdP) для єдиного входу (SSO) на веб-додатках (постачальниках послуг, SP), що підтримують SAML 2.0. Налаштування Hideez Server як IdP спрощує процес входу для користувачів, які користуються інтегрованими веб-додатками.

Основні можливості

Завдяки підтримці FIDO2 для безпарольної автентифікації, Hideez Server дозволяє постачальникам послуг здійснювати автентифікацію користувачів за допомогою:

  • Апаратних ключів безпеки (наприклад, Hideez Key, YubiKey)

  • Passkey (наприклад, смартфони, ноутбуки)

  • Додатка Hideez Authenticator

Це дозволяє уникнути введення паролів і підвищує рівень безпеки.

Підтримувані опції входу

  • Логін + пароль (не рекомендується)

  • Логін + пароль + другий фактор (апаратний ключ, OTP, мобільний автентификатор)

  • Безпарольний вхід (Логін + ключ безпеки, апаратний або платформний)

  • Безпарольний вхід без логіна (без введення логіна та пароля)

  • Апаратний або платформний ключ безпеки

  • Мобільний автентифікатор

Кроки для налаштування Hideez Server як постачальника ідентичностей (IdP)

1. Налаштування Hideez Server як IdP

1. Перейдіть до налаштувань SAML

  • У панелі керування Hideez Server перейдіть до Параметри → Налаштування → SAML.

2. Завантаження або створення сертифіката .pfx

  • Сертифікат .pfx містить як публічний сертифікат, так і приватний ключ. Ви можете:

    • Завантажити існуючий сертифікат: виберіть сертифікат, введіть пароль та завантажте.

    • Створити новий самопідписаний сертифікат: натисніть Створити та завантажити, введіть пароль та завантажте.

Сертифікат з розширенням .pfx - це файл, який містить як відкритий сертифікат, так і його закритий ключ, а також повний ланцюжок сертифікатів аж до кореневого центру сертифікації (ЦС). Зазвичай файл захищений паролем і використовується для автентифікації, шифрування та встановлення безпечних з'єднань

3. Завантажте або перегляньте компоненти IdP

  1. Публічний сертифікат постачальника ідентичностей (.cer): Містить лише публічний ключ і використовується для автентифікації сервера та шифрування даних.

  2. Метадані постачальника ідентичностей: Надають необхідну інформацію для взаємодії з постачальниками послуг (SP).

Відкритий сертифікат постачальника ідентифікаційних даних — це файл з розширенням .cer (або .crt), що містить лише відкритий ключ та інформацію про сертифікат, але не включає закритого ключа. Його основне призначення — автентифікація сервера або користувача та шифрування даних. Файли .cer застосовуються для захисту з'єднань, таких як HTTPS для вебсайтів, автентифікації клієнтів і серверів у мережах, а також у різних корпоративних додатках. На відміну від закритого сертифіката, відкритий сертифікат не містить закритий ключ, тому його можна безпечно зберігати у відкритому доступі.

Метадані постачальника ідентифікаційних даних (IdP) - це файл або набір даних, які надають важливу інформацію про вашого IdP, щоб забезпечити належну взаємодію з постачальниками послуг (SP) у контексті SAML (Security Assertion Markup Language). Деякі постачальники послуг надають користувачам файли з метаданими. У цьому випадку всі необхідні поля будуть заповнені автоматично після імпорту файлу метаданих. В іншому випадку ви можете налаштувати параметри вручну. У цьому випадку налаштування залежать від конкретного постачальника послуг.

2. Додайте постачальника послуг (SP)

  1. Налаштуйте параметри на стороні постачальника послуг (SP)

    • Приклад для Google Workspace:

      • Перейдіть на admin.google.com.

      • Відкрийте Меню → Безпека → Автентифікація → SSO із зовнішнім IdP.

      • У розділі Профілі сторонніх SSO натисніть Додати профіль SAML.

      • Введіть назву профілю (наприклад, "Hideez Server (IdP)").

      • Вставте значення з Hideez Server:

        • Ідентифікатор видавця (Issuer / IdP Entity ID) (наприклад, https://<your hideez server name>) (1)

        • URL для входу (наприклад, https://<your hideez server name>/saml/login)(2)

        • URL для виходу (наприклад, https://<your hideez server name>/saml/logout) (3)

        • Завантажте публічний сертифікат постачальника ідентичностей (.cer). (4)

  2. Додайте постачальника послуг у Hideez Server

    • У Hideez Server натисніть Додати постачальника послуг і введіть значення SP:

      • Назва (наприклад, "Google Workspace-SAML")

      • Ідентифікатор видавця (Issuer / SP Entity ID)

      • URL ACS

  3. Додаткові налаштування постачальника послуг

    • Служба єдиного виходу: точка входу SP для завершення сесії під час виходу. Отримайте URL зі сторінки налаштувань SP.

    • Формат ідентифікатора користувача (Name ID Format): виберіть залежно від вимог SP (Email, x509 тощо).

    • Увімкніть перевірку підпису запиту: покращує безпеку шляхом перевірки вхідних запитів SAML.

    • Атрибути твердження: налаштуйте відображення атрибутів для передачі необхідної інформації про користувача на SP.

Приклади підтримуваних додатків для інтеграції SAML:

Hideez Server може бути реалізований як IdP для наступних додатків (SP):

Якщо вам потрібна допомога з інтеграцією вашого веб-додатка з Hideez Server через SAML, звертайтеся до нас. Ми завжди готові допомогти!

Last updated