SAML 2.0 Integrationsmuster BTB-Direct
(Standardintegrationsmuster)
BTB-Direct ist das Standardintegrationsmuster und wird bei regulären Sicherheitsanforderungen verwendet. Es ist für Dienste innerhalb und ausserhalb des BV-Netz verfügbar.
SAML 2.0 Integration
Die nachstehende Abbildung zeigt vereinfacht den Ablauf und die involvierten Komponenten des Zugriffs eines noch nicht authentifizierten Benutzers auf eine Webapplikation. Die HTTP Requests verkehren direkt zwischen dem Browser des Benutzers und der Applikation. eIAM wird lediglich für die Authentifizierung des Benutzers und als Provider für Identitäten, Berechtigungsrollen und Benutzerattribute verwendet. Die einzelnen Schritte sind in der darunter folgenden Tabelle beschrieben.-
- Übersicht Messages Authentifizierung für eine extern gehostete Applikation
- Legende
Dieses Symbol markiert Requests und Responses, welche gesigned sein sollten / müssten (weitere Infos unter:
Weitere Anforderungen SAML 2.0 Die Integration einer . . .)
| Nr. | Aktion | Beschreibung |
|---|---|---|
| 1 | Benutzerzugriff auf die externe Webapplikation | Der Benutzer greift mittels Webbrowser auf die externe Applikation zu. Die externe Applikation prüft die Zugriffsberechtigung und stellt fest, dass eine vorgängige Autorisierung nötig ist. |
| 2 | AuthnRequest der Applikation an den eIAM Trustbroker (eIAM BTB) | Die externe Applikation stellt einen signierten SAML 2.0 AuthnRequest zuhanden des eIAM Trustbroker aus und schickt diesen als selbst übermittelndes Formular direkt an den Webbrowser des Benutzers. Der Browser des Benutzers schickt das Formular per Browser POST automatisch mittels JavaScript an den eIAM Trustbroker. |
| 3 | Home Realm Discovery (HRD) / Login-Kontext | Der eIAM Trustbroker führt ein „Home Realm Discovery“ durch und zeigt die IdP entsprechend des bestellten Login-Kontext (eGOV- oder Federal-Kontext plus Sektor IDP). |
| 4 | Redirect (SAML AuthnRequest) des eIAM BTB an den ausgewählten IdP | Der eIAM Trustbroker stellt einen signierten SAML 2.0 AuthnRequest zuhanden des IdP aus und schickt diesen als selbst übermittelndes Formular an den Webbrowser des Benutzers. Der Browser des Benutzers schickt das Formular per Browser POST automatisch mittels JavaScript an den IdP. |
| 5 | Authentifizierung auf dem IdP | Der Benutzer wird mittels eines vom IdP unterstützten Authentifizierungsmittels authentifiziert. Je nach Authentifizierungsmittel erfolgt die Authentifizierung mit Benutzerinteraktion (z.B. AccessApp, Passwort) oder ohne Benutzerinteraktion (z.B. Active Directory Kerberos, bestehende Session auf dem IDP). |
| 6 | SAML) Response des IDP an eIAM Trustbroker | Der IdP stellt zuhanden des eIAM Trustbroker eine SAML 2.0 Response aus. Die Response enthält eine signierte SAML Assertion (auch die gesamte SAML Message ist signiert) und mit Aussagen (Claims) über das Subjekt und Attribute des Subjekts. Die SAML Response wird als selbst übermittelndes Formular an den Webbrowser des Benutzers geschickt. |
| 7 | Attributabfrage im eIAM AM | Der eIAM Trustbroker prüft die SAML Assertion des IdP auf deren Gültigkeit. Zusätzlich zu den vom IDP bereitgestellten Attributen, ermittelt der eIAM Trustbroker im eIAM IDM zusätzliche Informationen für die Identität, welche in Form von Attributen zur Verfügung gestellt werden. Bei Nutzung des eIAM Access Managements ermittelt der Trustbroker die für das Access Management zur Laufzeit nötigen Attribute des Benutzers im eIAM Access Management (Komponente von eIAM). Der Benutzer wird über seine Identitätsreferenz, die auf den IdP zeigt, gesucht, um den eIAM-Account des Benutzers zu ermitteln. Anschliessend wird der Benutzer über seine Identitätsreferenz in einem spezifischen oder in allen Access Clients gesucht. |
| 8 | Aggregierung der Attribute | Der eIAM Trustbroker aggregiert die Attribute aus dem IdP mit den Attributen aus der Abfrage im eIAM Root Client (und eIAM Access Client bei Nutzung eIAM AM). |
| 9 | SAML Response des eIAM BTB an die externe Applikation | Der eIAM Trustbroker stellt eine SAML 2.0 Response mit signierter Assertion (auch die gesamte SAML Message ist signiert) zuhanden der externen Applikation aus und schickt diesen als selbst übermittelndes Formular an den Webbrowser des Benutzers. Der Browser des Benutzers schickt das Formular per Browser POST automatisch mittels JavaScript an die externe Applikation. |
| 10 | Authentifizierung und Autorisierung auf externer Applikation | Die externe Applikation prüft die SAML 2.0 Assertion des eIAM Trustbroker auf deren Gültigkeit, autorisiert den Benutzer auf die Ressource (u.a. anhand der Informationen aus dem SAML Token) und erstellt im Erfolgsfall eine Session mit dem Benutzer, die per Cookie verfolgt wird. Der Webbrowser des Benutzers wird entweder auf eine vordefinierte URL in der externen Applikation oder auf die ursprünglich vom Benutzer (im Request 1) verlangte URL, die im Relay State ersichtlich ist, weitergeleitet. |