Security Assertion Markup Language (SAML) single sign-on (SSO)

Security Assertion Markup Language (SAML) ist ein XML-basiertes Datenformat mit offenem Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien (z. B. zwischen einem Identitätsanbieter und einem Dienstanbieter). SAML wird in der Regel für Webbrowser-single sign-on (SSO) verwendet.

So funktioniert SAML

Der Identitätsanbieter (IdP) wird für die Authentifizierung verwendet. Wenn der Identitätsanbieter die Benutzeridentität bestätigt hat, kann der Dienstanbieter (SP) dem Benutzer Zugriff auf seine Dienste gewähren. Da der Identitätsanbieter SSO aktiviert hat, kann der Benutzer auf mehrere Websites und Anwendungen des Dienstanbieters zugreifen, ohne sich jedes Mal anmelden zu müssen.

Mit der SAML-Spezifikation werden drei Rollen definiert:

  • Prinzipal: In der Regel ein Benutzer
  • IdP: Der Identitätsanbieter
  • SP: Der Dienstanbieter

Der Prinzipal fordert einen Dienst vom SP an. Dieser fordert beim IdP eine Identitätsbestätigung an und erhält sie. Auf der Grundlage der Bestätigung entscheidet der SP, ob der vom Prinzipal angeforderte Dienst ausgeführt wird oder nicht.

SAML in Qlik NPrinting

Qlik NPrinting unterstützt SAML V2.0 durch:

  • Implementieren eines Dienstes, sofern er sich in externe Identitätsanbieter integrieren lässt
  • Unterstützen von HTTP Redirect Binding und HTTP POST Binding für SAML-Antworten
  • Unterstützen von SAML-Eigenschaften für die Kontrolle des Zugriffs auf Ressourcen und Daten

Einschränkungen:

  • Qlik NPrinting signiert die SAML-Authentifizierungsanforderung nicht. Das bedeutet, dass keine Identitätsanbieter unterstützt werden, für die das Signieren der SAML-Authentifizierungsanforderung erforderlich ist.
  • SAML-Antwortverschlüsselung wird nicht unterstützt; daher werden verschlüsselte Nachrichten oder Attribute von Qlik NPrinting nicht gelesen.
  • SAML single logout wird nicht unterstützt.
Hinweis:

Sie müssen Windows-Authentifizierung aktivieren, um das Qlik NPrinting On-Demand-Add-on auf dem QlikView Webserver verwenden zu können.

Wenn Sie nur SAML-Authentifizierung verwenden möchten, müssen Sie das Qlik NPrinting On-Demand-Add-on auf einem QlikView Server installieren, der auf einem Microsoft IIS-Webserver konfiguriert ist.

Installieren von Qlik NPrinting On-Demand auf einem von Microsoft IIS gehosteten QlikView AccessPoint

Konfigurationen für Qlik NPrinting web console und NewsStand

Da Qlik NPrinting web console und NewsStand verschiedene Webadressen haben, müssen Sie zwei verschiedene SAML-Verbindungen einrichten, damit beide funktionieren.

Identitätsanbieter hat SSO initiiert

Wenn der Identitätsanbieter SSO initiiert hat, meldet sich der Benutzer direkt bei dem Identitätsanbieter an, der die SSO-Authentifizierung durchführt.

Wenn der Authentifizierungablauf beim Identitätsanbieter beginnt, wird der Benutzer zum Qlik NPrinting Dashboard für die Qlik NPrinting web console oder zur NewsStand Startseite umgeleitet.

Dienstanbieter hat SSO initiiert

Wenn der Dienstanbieter SSO initiiert hat, beginnt der Benutzer auf der Website des Dienstanbieters. Anstelle einer Anmeldung bei der Website des Dienstanbieters wird die SSO-Authentifizierung beim Identitätsanbieter initiiert. Bei diesem Authentifizierungsprozess übernimmt Qlik NPrinting die Rolle eines Dienstanbieters. Entsprechend Ihrer SAML-Konfiguration zeigt die Qlik NPrinting Anmeldeseite eine Schaltfläche für jeden der Identitätsanbieter. Wenn Sie auf eine Schaltfläche klicken, werden Sie zur Website des Identitätsanbieters für die Authentifizierung weitergeleitet. Wenn Sie bereits angemeldet sind, leitet Sie der Identitätsanbieter zum Qlik NPrinting Dashboard weiter.

Metadaten

Der Dienstanbieter (Qlik NPrinting) benötigt Konfigurationsinformationen von einem Identitätsanbieter. Diese Informationen stehen als Identitätsanbieter-Metadatendatei zur Verfügung, die für eine einfache Konfiguration heruntergeladen und dem Dienstanbieter bereitgestellt werden kann. Die Identitätsanbieter-Metadaten werden von der Qlik NPrinting SAML-Konfigurationsseite hochgeladen.

Nicht alle Identitätsanbieter unterstützen das Herunterladen von Metadatendateien. Wenn das Herunterladen nicht unterstützt wird, kann die Metadatendatei manuell erstellt werden.

Qlik NPrinting stellt dem Identitätsanbieter die Dienstanbieter-Metadaten bereit, die von der SAML-Konfigurationslistenseite heruntergeladen werden. Die Metadaten umfassen die folgenden Informationen:

  • Assertion Consumer Service (ACS)-URL
  • Element-ID

Qlik NPrinting benötigt die folgenden Informationen in den Identitätsanbieter-Metadaten:

  • Zertifikat
  • Element-ID
  • HTTP-Umleitungsort
Hinweis: Wenn das Zertifikat zum Überprüfen der SAML-Antwortsignatur gelesen wird, verwendet Qlik NPrinting das erste Zertifikat mit dem Attribut „signing“. Wenn die bereitgestellten IdP-Metadaten mehr als ein Zertifikat mit dem Attribut „signing“ enthalten und nicht das erste zum Signieren von Antworten verwendet wird, schlägt die Überprüfung der Signatur fehl. Sie müssen das nicht verwendete Zertifikat aus Ihrer IdP-Metadatendatei entfernen, bevor Sie sie nach Qlik NPrinting hochladen.