Notwendige Informationen für die SAML 2.0 Konfiguration (Metadaten)
Um die Konfiguration des Service eIAM-Web und der Applikation zu vereinfachen, müssen Konfigurationsdaten ausgetauscht werden. Dafür gibt es normierte XML Strukturen, sogenannte Metadaten, die zwischen eIAM-Web und der Applikation ausgetauscht werden müssen. Diese sind zwingend vorgeschrieben, da ein manueller Austausch der Informationen fehleranfällig ist und dementsprechend viel Zeit braucht.| SAML-Signaturzertifikat erwerben Hierfür müssen Sie für jede Umgebung einen eigenen privaten Schlüssel erzeugen. Erstellen Sie eine CSR und signieren Sie sie wie unten beschrieben. Das Zertifikat muss dann in die SAML metadata.xml eingebettet werden. | Der Betreiber muss den Certificate Signing Request (CSR) des Servers, auf welchem die Applikation läuft, an den LRAO Klasse C des Amtes senden (Fragen Sie Ihren Integrationsmanager). Der LRAO kann mit dem Certificate Request Wizard (CRW) der PKI BIT das Zertifikat Class C System Sign (RegularCA01) erstellen. Anleitung zur Zertifikatsbestellung Link (Link Kundenplattform ). Wichtig: Der LRAO muss die Berechtigung für die Bestellung eines C System Sign haben. Falls nicht, müsste dies von ihm mit Bestätigung des ISBO des Amtes mittels des Antragsformulars freigeschaltet werden. Hierzu müsste der Integrations Manager des Amtes im Bild sein.) Mit dem Zertifikat kann der Entwickler die Metadaten der Applikation erstellen und dem eIAM BIT zukommen lassen. Was Applikationsseitig auch noch gemacht werden sollte ist: - Zertifikat für SSL Verschlüsselung. Dies kann auch über Wizard PKI BIT gemacht werden, muss aber nicht. - URL DNS Eintrag für Applikation per Remedy MAC - Firewalls usw. ausserhalb BIT Betrieb Technische Unterstützung => Verantwortung eIAM Mitarbeiter Unterstützung Zertifikat => pki-info@bit.admin.ch |
SAML metadata.xml von eIAM
Die Informationen, die benötigt werden, um die SAML 2.0 fähige Applikation so zu konfigurieren, damit sie den eIAM-Web als IdP verwenden kann, werden dem Projekt vom Service eIAM in Form eines Metadatenfiles im XML Format (IDPSSODescriptor) zur Verfügung gestellt. In den meisten Fällen kann die Applikation direkt mittels Import dieses Metadatenfiles konfiguriert werden. Sollte dies nicht möglich sein, kann das Projekt die zur manuellen Konfiguration nötigen Informationen aus dem gelieferten Metadatenfile von Hand extrahieren.Die nachstehende Tabelle enthält die im Metadatenfile von eIAM-Web gelieferten Attribute. Weitere Attribute können mit dem Metadatenfile geliefert werden, müssen aber nicht in der SAML Konfiguration der Applikation verwendet werden. Die SAML 2.0 Metadaten MÜSSEN NICHT signiert sein.
| EntityDescriptor – entityID | Eindeutiger Bezeichner der Entität. Der Wert dieses Attributs MUSS eine URN sein im Namensraum „urn:eiam.admin.ch:pep:“. |
| IDPSSODescriptor - KeyDescriptor – Key-Info - X509Data - X509Certificate | Dieses Attribute MUSS das Zertifikat (Public Key) des Schlüsselpaars enthalten mit dessen private Key der PEP die SAML 2.0 Assertion signiert. Die Applikation identifiziert damit das Zertifikat in ihrem Truststore das verwendet werden soll um die Signatur der Assertion zu prüfen. |
| IDPSSODescriptor – SingleSignOnService – Location | Dieses Attribut MUSS den Wert der URL des SSO Service des eIAM-Web PEP aus Sicht des Browsers des Benutzers enthalten. An diese Destination adressiert die Applikation den SAML 2.0 AuthnRequest der an den eIAM-Web PEP geschickt werden sollen. |
| SPSSODescriptor – SingleLogoutService – Location (STS-PEP Muster) | Dieses Attribut MUSS den Wert der URL der Single Logout (SLO) Location des eIAM-Web PEP aus Sicht des Browsers des Benutzers enthalten. Dies ist die URL wie der Browser den SAML SLO Endpunkt des eIAM-Web PEP adressieren muss. Dies MUSS ein konstanter Wert sein, welcher pro eIAM-Web PEP fix definiert ist. |
Im Metadatenfile für die Konfiguration der Applikation enthaltene Informationen
Beispiel eines XML Metadatenfiles zur Konfiguration des eIAM-Web PEP (IdP) in der Applikation (SP):
SAML-Konfiguration (metadata.xml), die von der Anwendung benötigt wird
eIAM muss ebenfalls über Informationen der SAML Schnittstelle der Applikation verfügen. Deshalb muss das Projekt die SAML Konfiguration aus der Applikation in Form eines Metadatenfiles im XML Format exportieren und dem Service zur Verfügung stellen (SPSSO-Descriptor).Die heute gängigen SAML fähigen Applikationen unterstützen den Export eines solchen Metadatenfiles nach erfolgter Konfiguration des SAML 2.0 Service Providers.
Die nachstehende Tabelle enthält die zwingend im Metadatenfile zu liefernde Attribute. Weitere Attribute können mit dem Metadatenfile geliefert werden, werden aber nicht in der eIAM-Web Konfiguration verwendet.
| EntityDescriptor – entityID | Eindeutiger Bezeichner der Entität. Der Wert dieses Attributs MUSS ein URI sein (ein URN oder ein URL). Bespiel: urn:eiam.admin.ch:sp:appl1 https://sp.example.com/saml2/auth/ |
| SPSSODescriptor - KeyDescriptor – KeyInfo - X509Data - X509Certificate | Dieses Attribute MUSS das Zertifikat (Public Key) des Schlüsselpaars enthalten mit dessen private Key die Applikation die SAML 2.0 AuthnRequests signiert. Der IdP verwendet dieses Zertifikat um das Zertifikat im Truststore zu identifizieren mit welchem der PEP den SAML AuthnRequest der Applikation prüfen muss. |
| SPSSODescriptor – AssertionConsumerService – Location (RP-PEP Muster) | Dieses Attribut MUSS den Wert der URL des Assertion Consumer Service (ACS/SAML SSO endpoint) der Applikation aus Sicht des Browsers des Benutzers enthalten. Dies ist die URL wie der Browser den ACS der Applikation über den eIAM-Web PEP erreichen kann. Dies MUSS ein konstanter Wert sein, welcher pro Applikation fix definiert ist. |
| SPSSODescriptor – AssertionConsumerService – Location (STS-PEP Muster) | Dieses Attribut MUSS den Wert der URL des Assertion Consumer Service (ACS) der Applikation aus Sicht des Browsers des Benutzers enthalten. Dies ist die URL wie der Browser den ACS der Applikation erreichen kann. Wird dieser Wert geliefert, MUSS dies ein konstanter Wert sein, welcher für den SAML Service Provider fix definiert ist. Wird dieser Wert nicht geliefert, so MUSS der SP bei jedem SAML AuthnRequest den Wert „AssertionConsumerServiceURL“ mitschicken. |
| SPSSODescriptor – SingleLogoutService – Location (STS-PEP Muster) | Dieses Attribut MUSS den Wert der URL der Single Logout (SLO) Location der Applikation aus Sicht des Browsers des Benutzers enthalten. Dies ist die URL wie der Browser den SAML SLO Endpunkt der Applikation adressieren muss. Dies MUSS ein konstanter Wert sein, welcher pro Applikation fix definiert ist. |
| SPSSODescriptor – SingleLogoutService – ResponseLocation (STS-PEP Muster) | Dieses Attribut MUSS den Wert der URL der Single Logout (SLO) Response Location des SP aus Sicht des Browsers des Benutzers enthalten. Dies ist die URL wie der Browser den SAML SLO Response Endpunkt der Applikation als Service Provider adressieren muss. Dies MUSS ein konstanter Wert sein, welcher pro Service Provider fix definiert ist. |
Zwingend im Applikations Metadatenfile enthaltene Informationen
Beispiel eines XML Metadatenfiles zur Konfiguration der Applikation (SP) im eIAM: