SAML-Konfiguration

WählenBenutzerverwaltung >Authentifizierungsdienste. Wählen Sie auf der Seite Authentifizierungsdienste die OptionSAML-Konfiguration Tab.

Wenn diese Option aktiviert ist, können Sie Benutzer aus der Security Assertion Markup Language (SAML)-Identität Ihrer Organisation integrieren.Anbieterzur Authentifizierung mitFME Flow.

NotizAuthentifizierung mitFME Flow über SAML wird in den folgenden Fällen nicht unterstütztFME Form Transformatoren: FMEFlowJobSubmitter, FMEFlowNotifier, FMEFlowResourceConnector, FMEFlowJobWaiter, FMEFlowLogFileRetriever.

Wie es funktioniert

Mit der SAML-Konfiguration können sich SAML-Identitätsanbieter-Benutzer, die sich anmelden beiFME Flow werden zur Authentifizierung an den Identitätsanbieter weitergeleitet. Nach der Authentifizierung sendet der Identitätsanbieter eine SAML-Assertion zurück anFME Flow.

Die SAML-Assertion enthält Attribute des Identitätsanbieters, die den entsprechendenBenutzer Attribute inFME Flow, wie Benutzername und E-Mail. Wenn diese Attribute in der Konfiguration nicht explizit angegeben werden, werden Standardwerte zugewiesen. Wenn der Identitätsanbieter beispielsweise Azure Active Directory ist, wird der Benutzername dem Azure AD-Namen zugeordnet.

DerFME FlowRolle dem ein Benutzer zugewiesen ist, kann auch einem entsprechenden Attribut beim Identitätsanbieter zugeordnet werden. Wenn keine Zuordnung definiert ist oder nicht ermittelt werden kann, wird eine Standardrolle zugewiesen, wie in der Konfiguration explizit angegeben. Die Werte der zugeordneten Rolle beim Identitätsanbieter müssen mit den vorhandenen Rollen inFME Flow.

Wenn sich ein Identitätsanbieter-Benutzer zum ersten Mal anmeldet beiFME Flow nachdem die SAML-Konfiguration abgeschlossen ist,FME Flow analysiert die Attribute aus der Assertion, um ein neues Benutzerkonto zu erstellen. Diese Just-in-Time-Kontoerstellung stellt sicher, dass nur Benutzer, die Zugriff aufFME Flow Konten haben. Das manuelle Importieren von Benutzern und Gruppen von einem SAML-Identitätsanbieter wird derzeit nicht unterstützt.

Fehlerbehebung bei Anmeldefehlern mit Anmeldeinformationen des SAML-Identitätsanbieters

Stellen Sie sicher, dass die automatische/JIT-Bereitstellung beim Identitätsanbieter aktiviert ist. Wenden Sie sich für Unterstützung an Ihr IT-Team.
FME-Flow-Fehlerbehebung: SAML
SAML-Authentifizierungsfehler

Erste Schritte

Zur Authentifizierung aufFME Flow Bei einem SAML-Identitätsanbieter müssen Sie die Einstellungen an zwei Stellen konfigurieren:

Auf Ihrem SAML-Identitätsanbieter.
AnFME Flow.

NotizWenn IhrFME Flow Die Architektur umfasst einen Reverse-Proxy oder Load Balancer. Eine zusätzliche Konfiguration ist erforderlich:

Hängen Sie den vollqualifizierten Hostnamen Ihres Reverse-Proxys an diefmeserver.saml.custom.baseurl= Zeile in der SAML-Datei „application.properties“. Wenn IhrFME Flow verwendet einen Apache Tomcat-Webanwendungsserver, der mit der Installation bereitgestellt wird. Diese Datei befindet sich in <FMEFlowDir>\Dienstprogramme\tomcat\webapps\fmesaml\WEB-INF\classes\. Wenn Sie fertig sind,NeustartFME Flow.

FME FlowEinstellungen

Wählen Sie auf der Seite Authentifizierungsdienste die OptionSAML-Konfiguration verschieben Sie dieErmöglichtSchieberegler nach rechts und geben Sie die erforderlichen Metadaten und anderen Einstellungen wie folgt ein.

Metadatendatei hochladen: Wenn diese Option aktiviert ist, können Sie die Metadatendatei Ihres SAML-Anbieters in dasMetadatendatei des Identitätsanbieters Feld. Sie können die entsprechende Datei per Drag & Drop in den dafür vorgesehenen Bereich ziehen. Alternativ können Sie in den dafür vorgesehenen Bereich klicken, um nach der Datei zu suchen.

TippDiese Datei hat normalerweise die Erweiterung .xml.

Wenn nicht aktiviert, müssen Sie die folgenden Felder manuell ausfüllen:

SSO-URL des Identitätsanbieters
Identitätsanbieter-Aussteller
X.509-Zertifikat des Identitätsanbieters

Neue Standardrolle für Benutzer: WennRolleist unter Attributfeldzuordnungen (unten) nicht angegeben oder kann nicht ermittelt werden,FME FlowRolle um sie neuen Benutzern zuzuweisen. Diese Rolle muss bereits vorhanden sein inFME Flow.

WarnungWennfmesuperuserangegeben ist, werden alle Berechtigungen erteilt inFME Flow für neue Benutzer.

Attributfeldzuordnungen (optional):FME Flow Benutzerattribute werden neuen Benutzern gemäß einer angegebenen Zuordnung zugewiesen. Wenn nicht angegeben, wird eine Standardzuordnung konfiguriert. Wenn der Identitätsanbieter beispielsweise Azure Active Directory ist, wird der Benutzername dem Azure AD-Namen zugeordnet.

Geben Sie Attributnamen von Ihrem Identitätsanbieter ein, um sie den folgenden Elementen zuzuordnenFME Flow Benutzerattribute:

TippInformationen und Beispiele zum Konfigurieren von Attributen auf Ihrem SAML-Identitätsanbieter und zum Zuordnen zuFME Flow:

Vorname: Dieses Attribut ist verknüpft mitNachname zur KarteVollständiger Name einesFME Flow Benutzerkonto.
Nachname: Dieses Attribut ist verknüpft mitVorname zur Karte Vollständiger Name einesFME Flow Benutzerkonto.
Benutzername: Das Attribut, das dem Benutzer zugeordnet werden sollNameeinesFME Flow Konto.
E-Mail: Das Attribut, das demE-MaileinesFME Flow Benutzerkonto.
Rolle: Das Attribut, das demRolle einesFME Flow Benutzerkonto. Wenn Ihr Identitätsanbieter mit „eindeutigen“ oder „benutzerdefinierten“ Attributen konfiguriert ist, auf die im Distinguished Name (DN) einer gültigen LDAP-Zeichenfolge verwiesen wird, müssen Sie diese Attribute angeben. Dieses Feld überschreibt alle Werte, die fürNeue Standardrolle für Benutzer, über. Die Werte der angegebenenRolleauf dem Identitätsanbieter müssen mit vorhandenen Rollen in übereinstimmenFME Flow.

Signieranfragen (optional): Wenn aktiviert, füllen Sie Folgendes aus, um sicherzustellen, dass Anfragen zwischenFME Flow und der Identitätsanbieter sind signiert:
Notiz Diese Konfiguration wird von Ihrem SAML-Identitätsanbieter möglicherweise nicht unterstützt.
1. Geben Sie eineDienstanbieterzertifikat Und Dienstanbieterschlüssel. Sie können ein Zertifikat und einen Schlüssel mit einer Drittanbieteranwendung wie OpenSSL erstellen oder Ihre IT-Abteilung bitten, diese zu generieren. Das Zertifikatsformat muss DER-codiert oder PEM-codiert X.509 sein. Das Schlüsselformat muss PEM PKCS#8-codiert sein.
2. Laden Sie das Zertifikat hoch oder verweisen Sie in Ihren SAML-Identitätsanbieter.

Erweiterte Einstellungen (optional): Die folgenden Einstellungen erfordern eine Bearbeitung der Textdatei application.properties. Wenn IhrFME Flow verwendet einen Apache Tomcat-Webanwendungsserver, der mit der Installation bereitgestellt wird. Diese Datei befindet sich in <FMEFlowDir>\Dienstprogramme\tomcat\webapps\fmesaml\WEB-INF\classes\. Wenn Sie fertig sind,NeustartDieFMEFlowAppServer Systemdienst.

fmeserver.saml.authentication.force: WennWAHR(Standard) erzwingt die Eingabeaufforderung für Benutzeranmeldeinformationen, wenn die SAML-Anmeldung eingeleitet wird. WennFALSCHermöglicht dem Benutzer, abhängig vom im Browser zwischengespeicherten Status der SAML-Anmeldung, die automatische Anmeldung.
fmeserver.saml.clockskew.enable: WennFALSCH (Standard), ermöglicht die Anmeldung im Falle einer fehlgeschlagenen Datums-/Uhrzeit-Zusicherung. Die SAML-Assertion kann fehlschlagen, wenn die Systemuhren des Identitätsanbieters und des Dienstanbieters nicht synchronisiert sind. WennWAHR,FME Flow Die SAML-Konfiguration berücksichtigt diefmeserver.saml.clockskew.minutes Einstellung (unten).
fmeserver.saml.clockskew.minutes: Wennfmeserver.saml.clockskew.enable=true, gibt die zulässige Taktabweichung in Minuten an.

Anzeigen von SAML-Protokollen

Die Protokolldateien fmesaml.log und restV4.log finden Sie inDienstprotokolle.

fmesaml.log zeichnet auf:

Wenn bei der ersten Anmeldung ein Benutzerkonto erstellt wird,FME Flow durchAnmelden mit SAML.
Nachfolgende Anmeldungen anFME Flow durchAnmelden mit SAML.

restV4.log zeichnet alle Probleme auf, die während der SAML-Konfiguration auftreten.

Weitere Informationen finden Sie unterInformationen zu Protokolldateien inFME Flow.