Security Assertion Markup Language (SAML) single sign-on (SSO)

Security Assertion Markup Language (SAML) ist ein XML-basiertes Datenformat mit offenem Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien (z. B. zwischen einem Identitätsanbieter und einem Dienstanbieter). SAML wird in der Regel für Webbrowser-single sign-on (SSO) verwendet.

So funktioniert SAML

Der Identitätsanbieter (IdP) wird für die Authentifizierung verwendet. Wenn der Identitätsanbieter die Benutzeridentität bestätigt hat, kann der Dienstanbieter (SP) dem Benutzer Zugriff auf seine Dienste gewähren. Da der Identitätsanbieter SSO aktiviert hat, kann der Benutzer auf mehrere Websites und Anwendungen des Dienstanbieters zugreifen, ohne sich jedes Mal anmelden zu müssen.

Mit der SAML-Spezifikation werden drei Rollen definiert:

  • Prinzipal: In der Regel ein Benutzer
  • IdP: Der Identitätsanbieter
  • SP: Der Dienstanbieter

Der Prinzipal fordert einen Dienst vom SP an. Dieser fordert beim IdP eine Identitätsbestätigung an und erhält sie. Auf der Grundlage der Bestätigung entscheidet der SP, ob der vom Prinzipal angeforderte Dienst ausgeführt wird oder nicht.

SAML in Qlik NPrinting

Qlik NPrinting unterstützt SAML V2.0 durch:

  • Implementieren eines Dienstes, sofern er sich in externe Identitätsanbieter integrieren lässt
  • Unterstützen von HTTP Redirect Binding und HTTP POST Binding für SAML-Antworten
  • Unterstützen von SAML-Eigenschaften für die Kontrolle des Zugriffs auf Ressourcen und Daten

Einschränkungen:

  • Qlik NPrinting does not sign the SAML authentication request. This means that identity providers that require the SAML authentication request to be signed are not supported.
  • SAML response encryption is not supported, so encrypted messages or attributes are not read by Qlik NPrinting.
  • SAML single logout is not supported.
Hinweis:

Sie müssen Windows-Authentifizierung aktivieren, um das Qlik NPrinting On-Demand-Add-on auf dem QlikView Webserver verwenden zu können.

Wenn Sie nur SAML-Authentifizierung verwenden möchten, müssen Sie das Qlik NPrinting On-Demand-Add-on auf einem QlikView Server installieren, der auf einem Microsoft IIS-Webserver konfiguriert ist.

Installing Qlik NPrinting On-Demand on a Microsoft IIS hosted QlikView AccessPoint

Konfigurationen für Qlik NPrinting web console und NewsStand

Da Qlik NPrinting web console und NewsStand verschiedene Webadressen haben, müssen Sie zwei verschiedene SAML-Verbindungen einrichten, damit beide funktionieren.

Identitätsanbieter hat SSO initiiert

Wenn der Identitätsanbieter SSO initiiert hat, meldet sich der Benutzer direkt bei dem Identitätsanbieter an, der die SSO-Authentifizierung durchführt.

Wenn der Authentifizierungablauf beim Identitätsanbieter beginnt, wird der Benutzer zum Qlik NPrinting Dashboard für die Qlik NPrinting web console oder zur NewsStand Startseite umgeleitet.

Dienstanbieter hat SSO initiiert

Wenn der Dienstanbieter SSO initiiert hat, beginnt der Benutzer auf der Website des Dienstanbieters. Anstelle einer Anmeldung bei der Website des Dienstanbieters wird die SSO-Authentifizierung beim Identitätsanbieter initiiert. Bei diesem Authentifizierungsprozess übernimmt Qlik NPrinting die Rolle eines Dienstanbieters. Entsprechend Ihrer SAML-Konfiguration zeigt die Qlik NPrinting Anmeldeseite eine Schaltfläche für jeden der Identitätsanbieter. Wenn Sie auf eine Schaltfläche klicken, werden Sie zur Website des Identitätsanbieters für die Authentifizierung weitergeleitet. Wenn Sie bereits angemeldet sind, leitet Sie der Identitätsanbieter zum Qlik NPrinting Dashboard weiter.

Metadaten

Der Dienstanbieter (Qlik NPrinting) benötigt Konfigurationsinformationen von einem Identitätsanbieter. Diese Informationen stehen als Identitätsanbieter-Metadatendatei zur Verfügung, die für eine einfache Konfiguration heruntergeladen und dem Dienstanbieter bereitgestellt werden kann. Die Identitätsanbieter-Metadaten werden von der Qlik NPrinting SAML-Konfigurationsseite hochgeladen.

Nicht alle Identitätsanbieter unterstützen das Herunterladen von Metadatendateien. Wenn das Herunterladen nicht unterstützt wird, kann die Metadatendatei manuell erstellt werden.

Qlik NPrinting stellt dem Identitätsanbieter die Dienstanbieter-Metadaten bereit, die von der SAML-Konfigurationslistenseite heruntergeladen werden. Die Metadaten umfassen die folgenden Informationen:

  • Assertion Consumer Service (ACS)-URL
  • Element-ID

Qlik NPrinting benötigt die folgenden Informationen in den Identitätsanbieter-Metadaten:

  • Zertifikat
  • Element-ID
  • HTTP-Umleitungsort