STAGE™
STAGE™
Breadcrumbs

Identity Providers

In dieser Ansicht können Identitätsanbieter zum STAGE-System hinzugefügt werden. Anstatt die Identität eines Benutzers selbst zu überprüfen, nutzt STAGE einen oder mehrere externe Identitätsanbieter-Dienste, die die Benutzerauthentifizierung für STAGE übernehmen. In diesem Szenario speichert STAGE keine Passwörter und bietet auch keinen Mechanismus zur Zwei-Faktor-Authentifizierung für diese Benutzer an, da dieser Teil durch den Identitätsanbieter für sie externalisiert wird.

STAGE gibt Informationen an den Identitätsanbieter weiter. Es gibt jedoch eine Reihe verschiedener Identitätsanbieter, die unterstützt werden, und die Art und Weise, wie Sie den Identitätsanbieter konfigurieren müssen, ist unterschiedlich, ebenso wie die Art und Weise, wie Benutzer in einem bestimmten Identitätsanbieter gespeichert werden. In allen Fällen verwendet STAGE SAML v2.0 für die Kommunikation mit dem Identitätsanbieter. Dies ist eine fortgeschrittene Konfigurationsaufgabe, die fundierte Kenntnisse über die Konfiguration und den Betrieb Ihres Identitätsanbieters erfordert.

STAGE behält mindestens immer das Admin-Konto bei, das nicht gelöscht werden kann, sodass der Zugriff auf die STAGE-Konfiguration jederzeit verfügbar bleibt. Dadurch wird sichergestellt, dass bei einer Unterbrechung der Verbindung zu einem Identitätsanbieter der Zugriff auf die STAGE-Konfiguration durch den STAGE-Systemadministrator weiterhin verfügbar bleibt.

VORAUSSETZUNG: Diese Konfigurationsvorgänge können nur von einem erfahrenen Administrator Ihres Identitätsanbieterdienstes durchgeführt werden.

Übersicht

Failed to load the diagram preview image.

Authentication Required

Page ID: 895189086

User Management - Identity Provider

Der Bereich DETAILS auf der rechten Seite kann durch Klicken auf die Pfeilsymbole grafik-20240621-055403.png links oder grafik-20240621-055317.png rechts ein- und ausgeblendet werden.

Verwendung der Ansicht Identity Providers

Hinzufügen eines Identitätsanbieters

Um einen Identitätsanbieter hinzuzufügen, müssen Sie die Verbindungsdetails des Identitätsanbieters festlegen und anschließend die Verbindungsdetails von STAGE an den Identitätsanbieter übermitteln. Das folgende Verfahren bezieht sich auf Keycloak als Beispiel für einen Identitätsanbieter. Der von Ihnen verwendete Identitätsanbieter wird ähnlich sein, aber nicht identisch.

  1. Klicken Sie auf grafik-20240613-121237.png . Siehe Abschnitt #Configured-Identity-Providers.

  2. Wählen Sie die SAML 2.0-Schnittstelle aus.

  3. Geben Sie im Bereich Identity Provider Details im Tab Setup einen Namen und einen Alias für den Identitätsanbieter ein. Siehe Abschnitt #Identity-Provider-Configuration.

  4. Importieren Sie die SAML 2-Verbindungsdaten mit einer der folgenden Methoden:

    1. Von einer URL:

      1. Wählen Sie die Option Import from URL, um die Verbindungsinformationen des Identitätsanbieters aus einer vom Identitätsanbieter bereitgestellten URL zu importieren.

      2. Geben Sie die URL zu den XML-Metadaten des Identitätsanbieters in das Feld Metadata URL ein. Diese URL finden Sie in der Konfiguration des Identitätsanbieters. Bei Keycloak beispielsweise finden Sie sie unter Realm settings, Endpoints. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

      3. Klicken Sie auf grafik-20240814-134607.png .

    2. Aus einer XML-Datei:

      1. Speichern Sie die Verbindungsmetadaten aus der Konfiguration Ihres Identitätsanbieters als XML-Datei auf Ihrem PC. Diese XML-Datei stammt aus der Konfiguration des Identitätsanbieters. Bei Keycloak finden Sie sie beispielsweise unter Realm settings, Endpoints. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

      2. Wählen Sie die Option Import from XML, um die Verbindungsinformationen des Identitätsanbieters aus einer vom Identitätsanbieter bereitgestellten XML-Datei zu importieren.

      3. Klicken Sie auf grafik-20240814-134705.png .

      4. Wählen Sie die XML-Datei auf Ihrem Computer aus, die die Verbindungsmetadaten des Identitätsanbieters enthält.

      5. Klicken Sie auf grafik-20240814-134637.png .

    3. Manuelle Eingabe der Verbindungsdaten:

      1. Wählen Sie die Option Manual Setup, bei der Sie die Verbindungsdaten des Identitätsanbieters konfigurieren müssen.

      2. Klicken Sie auf grafik-20240814-134800.png .

      3. Geben Sie im Tab Connection alle relevanten Verbindungsinformationen zum Identitätsanbieter in alle Felder ein. Siehe Abschnitt #Connection-Tab.

      4. Klicken Sie auf grafik-20240814-134800.png .

  5. Klicken Sie im Tab Setup auf grafik-20250328-072520.png .

  6. Im Tab Setup sollte der Status auf Enabled stehen.

  7. Exportieren Sie die XML-Datei mit den SAML 2.0-Metadaten des Identitätsanbieters von STAGE auf Ihren PC: Klicken Sie im Tab Setup auf Export to File.

  8. Der Identitätsanbieter benötigt die SAML-Metadaten von STAGE, um die Verbindung zwischen STAGE und dem Identitätsanbieter herzustellen. Importieren Sie in der Konfiguration Ihres Identitätsanbieters einen Client:

    1. In der Client-Liste des Identitätsanbieters importieren Sie einen neuen Client.

    2. Suchen Sie nach der SAML 2.0-Metadaten-XML-Datei (Ressourcendatei) von STAGE.

    3. Klicken Sie auf Save.

STAGE wird als Client in Ihrem Identitätsanbieter unter dem Namen hinzugefügt, den Sie in Schritt 3 oben definiert haben.

  1. Fügen Sie in der Konfiguration Ihres Identitätsanbieters für die STAGE-Verbindung Mapper für bestimmte STAGE-Client-Eigenschaften hinzu. Beispielsweise müssen Sie in Ihrem Identitätsanbieter eine Zuordnung für email, givenName,surname und username hinzufügen.

    image-20250325-154528.png
    Beispiel Mappers created in Keycloak


  2. In Keycloak beispielsweise ist der für den username zu verwendende Mapper-Typ User Attribute For NameID.

    image-20250324-175504.png
    Beispiel Mapper for Username


  3. Fügen Sie im STAGE Identity Provider Management im Tab Identity Provider Management, Property / Group Mapping die entsprechenden SAML-Attribute hinzu, wie sie in Ihrem Identity Provider unter der Spalte SAML Attribute definiert sind. In diesem Beispiel verwendet der Identity Provider die folgenden Attribute: email, givenName und surname.

    image-20250324-223252.png
    Mapping the Identity Provider’s SAML attributes


  4. Klicken Sie auf Save.

  5. Klicken Sie im Tab Setup auf Enable. Der Status sollte nun Enabled sein. Unter Users (siehe Kapitel Users) wurden die Benutzer aus dem Identitätsanbieter zur Benutzerliste hinzugefügt und sind in der Spalte Origin als Identitätsanbieter gekennzeichnet.

  6. Weisen Sie diese Benutzer den Groups zu oder erteilen Sie ihnen Berechtigungen für den Zugriff auf STAGE. Siehe Kapitel Users.

  7. Melden Sie sich bei STAGE ab und dann wieder an. Dieser neue Identitätsanbieter wurde dem Anmeldebildschirm unter dem Namen hinzugefügt, den Sie in Schritt 3 oben unter Or sign in with definiert haben.

    Untitled-20250325-165415.png
    Typischer Login-Screen zeigt Zugriff auf externen Identity Provider my-identity-provider


  8. Klick Sie auf den Identity Provider. Sie werden zur Anmeldeseite des Identitätsanbieters weitergeleitet, wo Sie sich mit Ihren zuvor beim Identitätsanbieter eingerichteten Anmeldedaten anmelden. Siehe Kapitel Start & Login.

Zuordnung von Identitätsanbieter-Benutzern zu einer Benutzergruppe in STAGE

Benutzeridentitäten aus einem Identitätsanbieter können STAGE-Benutzergruppen zugeordnet werden, wenn Benutzer bereits einer oder mehreren Gruppen im Identitätsanbieter zugewiesen wurden. Diese Benutzergruppen werden STAGE-Benutzergruppen zugeordnet, wo sie entsprechend den der Benutzergruppe zugewiesenen Berechtigungen Zugriff auf STAGE haben.

VORAUSSETZUNG: Sie müssen eine oder mehrere Benutzergruppen in STAGE erstellt haben. Siehe Kapitel User Groups. Es müssen eine oder mehrere Gruppen im Identitätsanbieter erstellt worden sein. Benutzeridentitäten im Identitätsanbieter sollten einer oder mehreren Gruppen zugewiesen sein.

  1. Wenn der Verbindungsstatus im Tab Setup auf Enabled steht, klicken Sie auf Disable, um die Verbindung zwischen STAGE und dem Identitätsanbieter zu trennen. Diese Aktion führt zu einem Ausfall für Benutzer, die versuchen, sich beim Identitätsanbieter zu authentifizieren. Führen Sie diese Aktion nur außerhalb der Einsatzzeiten durch.

  2. Klicken Sie im Bereich Group Mapping auf Add.

  3. Wählen Sie im Bereich Group Mapping in der Spalte STAGE Group eine STAGE-Benutzergruppe aus.

  4. Legen Sie im Bereich Attribute den Namen fest, den der Identitätsanbieter für eine Gruppe verwendet. Dies ist beispielsweise häufig group oder groups.

  5. Legen Sie im Bereich Attribute Value den Namen der Gruppe fest, die im Identitätsanbieter verwendet wird, um sie der ausgewählten Gruppe in STAGE zuzuordnen.

  6. Klicken Sie auf Save.

  7. Klicken Sie im Tab Setup auf Enable, um die Verbindung zwischen STAGE und dem Identitätsanbieter wiederherzustellen.

grafik-20241023-151617.png Configured Identity Providers

grafik-20250328-073201.png
Configured Identity Providers

Die Tabelle listet alle Identitätsanbieter auf, die in der STAGE-Konfiguration eingerichtet sind.

Wenn Sie auf einen Identitätsanbieter klicken, werden die Details auf der rechten Seite angezeigt.

grafik-20240814-132819.png

Legen Sie einen Filter fest, um nur Identitätsanbieter anzuzeigen, deren Suchtext im Namen enthalten ist.

grafik-20240814-130342.png

Klicken, um die Reihenfolge des ausgewählten Identitätsanbieters in der Liste und im Benutzeranmeldebildschirm zu ändern.

Jeder Identitätsanbieter wird als separate Schaltfläche auf der Anmeldeseite des Benutzers angezeigt. Die Reihenfolge der hier angezeigten Identitätsanbieter entspricht der Reihenfolge, in der die Schaltflächen auf dem Anmeldebildschirm angezeigt werden.

grafik-20240814-130458.png

Klicken, um einen neuen Identitätsanbieter hinzuzufügen. Siehe Abschnitt #Hinzufügen-eines-Identitätsanbieters.

grafik-20250327-133111.png

Zeigt an, ob der aktuelle Identitätsanbieter aktiviert ( Unbenannt-20250327-132455.png ) oder deaktiviert ( grafik-20250327-132531.png ) ist.

Name

Zeigt den Namen des Identitätsanbieters an.

Identity Provider

Zeigt das Protokoll an, das von STAGE verwendet wird, um eine Verbindung zum Identitätsanbieter herzustellen.

Number_2_red.png Identity Provider Configuration

Der Bereich Details auf der rechten Seite zeigt alle Informationen zum ausgewählten Identitätsanbieter an.

  • Alle Änderungen in diesem Bereich müssen durch Klicken auf die grafik-20240613-123726.png Schaltfläche bestätigt werden.

  • Klicken Sie auf die grafik-20240613-125123.png Schaltfläche, um alle Änderungen zu verwerfen.

  • Die grafik-20240613-123925.png Schaltfläche entfernt den ausgewählten Identitätsanbieter nach Bestätigung.

Setup-Tab

grafik-20250328-073342.png
Identity Povider - Setup-Tab

Dieser Abschnitt bezieht sich speziell auf die Verwendung von SAML 2.0 als Identitätsanbieter.

Identity Provider Details

Name

Legen Sie den Namen für diesen Identitätsanbieter fest. Diese alphanumerische Zeichenfolge sollte nur URL-sichere Zeichen enthalten, da sie möglicherweise in der Weiterleitungs-URL zum Identitätsanbieter verwendet wird.

Alias

Legen Sie den Alias für diesen Identitätsanbieter fest. Diese alphanumerische Zeichenfolge sollte nur URL-sichere Zeichen enthalten, da sie möglicherweise in der Weiterleitungs-URL zum Identitätsanbieter verwendet wird.

Beispiel: Weiterleitungs-URL = "https://stage-cluster.riedel.net/service/auth/realms/UE/broker/Alias/endpoint"

Status

Zeigt an, ob der aktuelle Identitätsanbieter aktiviert ( Unbenannt-20250327-132455.png ) oder deaktiviert ( grafik-20250327-132531.png ) ist.

Klicken Sie auf grafik-20250328-073913.png / grafik-20250328-074001.png , um den aktuellen Status zu ändern.

SAML Metadata

Klicken Sie auf die Schaltfläche grafik-20250328-073721.png , um den Inhalt in einer XML-Datei im Standard-Download-Ordner Ihres Browsers zu speichern. Diese XML-Datei enthält auch die Umleitungs-URL, die anhand des oben festgelegten Alias-Textes erstellt wurde.

Import

Dieser Bereich wird angezeigt, nachdem Sie auf grafik-20240814-130458.png geklickt haben.

Import (SAML 2.0)

Um eine Verbindung zu einem Identitätsanbieter herzustellen, legen Sie SAML 2 fest und importieren Sie die XML-Metadaten-Verbindungsdetails des Identitätsanbieters. Siehe Abschnitt #Hinzufügen eines Identitätsanbieters.

Import From URL: Importieren Sie die XML-Metadaten-Verbindungseinstellungen des Identitätsanbieters aus einer URL. Legen Sie die zu importierende URL unter Metadata URL fest.

Import From XML: Importieren Sie die XML-Metadaten-Verbindungseinstellungen des Identitätsanbieters aus einer XML-Datei. Klicken Sie auf Browse, um die zu importierende XML-Datei auf Ihrem PC zu suchen.

Manual Setup: die Einstellungen im Tab Connection manuell vornehmen. Siehe Abschnitt #Connection-Tab.

Connection-Tab

Wenn Sie im Tab Setup die Option Manual Setup ausgewählt haben, müssen Sie die Verbindungsdetails zum Identitätsanbieter manuell hinzufügen, indem Sie die Werte für die Felder in diesem Tab eingeben. Siehe Abschnitt #Hinzufügen eines Identitätsanbieters.

Wenn Sie bereits einen Identitätsanbieter hinzugefügt haben, werden in diesem Tab die aktuellen Konfigurationsparameter des Identitätsanbieters angezeigt.

grafik-20240814-131429.png
Identity Provider - Connection Tab

URL

Endpoint URL

Legen Sie die Endpunkt-URL fest.

Connection Details

Entity ID

Legen Sie die Entitäts-ID fest.

Single-Sign-On URL

Legen Sie die Single-Sign-On-URL fest.

Logout URL

Legen Sie die Abmelde-URL fest.

NameID Policy Format

Legen Sie das Format der NameID-Richtlinie fest.

Signing Certificate

Legen Sie fest, wie das Signaturzertifikat validiert werden soll.

Enabled: Zertifikatssignaturformular IdP validieren.

Disabled: Verwenden Sie das Signaturzertifikat, das Sie in das unten angezeigte Textfeld eingeben.

Legen Sie das Signaturzertifikat fest, das verwendet werden soll, wenn Signing Certificate deaktiviert ist.

Configuration

Die folgenden Parameter können aktiviert/deaktiviert werden.

HTTP-POST Binding Response: Aktivieren Sie diese Option, um die Verwendung einer HTTP-POST-Bindungsantwort in der HTTP-Weiterleitung zu ermöglichen.

HTTP-POST Binding Logout: Aktivieren Sie die HTTP-POST-Bindung für die Abmeldung.

Show Login Hint in ID: Legen Sie fest, dass der ID ein Anmeldehinweis hinzugefügt werden soll.

Enabled from Metadata: SAML-Metadaten verwenden. Dies ermöglicht die Verwendung eines XML-Dokuments, das Informationen enthält, die die Interaktion mit SAML-fähigen Identitäts- oder Dienstanbietern ermöglichen.

Add Key Info Extensions Element: Legt fest, dass das Element „key info extensions“ zur SAML-Antwort hinzugefügt wird.

Property / Group Mapping-Tab

Um die Mitgliedschaften von Benutzergruppen in Ihrem SAML-System zu verwalten, muss STAGE herausfinden können, wie diese als Attribute in einem SAML-System zugeordnet sind, die nicht fest vorgegeben sind. Daher müssen Sie die im SAML-System verwendeten Attributnamen für STAGE-Parameter wie E-Mail-Adresse, Vorname und Nachname zuordnen.

Für jede STAGE-Benutzergruppe (wie im Tab User Groups konfiguriert) müssen Sie im Bereich Property Mapping ein Attribut und einen Wert angeben.

STAGE überprüft dann für jeden Benutzer das SAML-System:

  • Ob das Attribut vorhanden ist.

  • Ob der Wert des Attributs den angegebenen Wert enthält. Wenn ja, darf der Benutzer Teil der Gruppe sein.

grafik-20240814-131352.png
Identity Provider - Property / Group Mapping Tab

Property Mapping

Property

Ordnen Sie die folgenden Eigenschaften ihren entsprechenden SAML-Attributen zu: Email, First Name und Last Name.

SAML Attribute

Legen Sie das entsprechende SAML Attribute für die Eigenschaft (Property) fest.

Group Mapping

grafik-20240814-132819.png

Legen Sie einen Filter fest, um nur Gruppen anzuzeigen, deren Name diesen Text enthält.

grafik-20240814-133021.png

Klicken, um die Zuordnung der ausgewählten Gruppe zu entfernen.

grafik-20240613-121237.png

Klicken, um eine Benutzergruppe zuzuordnen.

Stage Group

Zeigt die STAGE-Benutzergruppe an, zu der die SAML-Gruppenmitglieder gehören.

Attribute

Zeigt das SAML-Attribut für die Gruppe an.

Attribute Value

Zeigt den Wert des SAML-Attributs an.