SAML-Konfiguration

Wählen Sie Benutzerverwaltung > Authentifizierungsdienste. Wählen Sie auf der Seite "Authentifizierungsdienste" die Registerkarte SAML-Konfiguration.

Wenn diese Option aktiviert ist, können Sie Benutzer aus dem Security Assertion Markup Language (SAML)-Identitätsanbieter Ihrer Organisation für die Authentifizierung mit FME Flow einbinden.

Die Authentifizierung mit FME Flow über SAML wird in den folgenden FME Form-Transformern nicht unterstützt: FMEFlowJobSubmitter, FMEFlowNotifier, FMEFlowResourceConnector, FMEFlowJobWaiter, FMEFlowLogFileRetriever.

Funktionsweise

Mit der SAML-Konfiguration können sich Benutzer, die bei ihrem SAML-Identitätsanbieter angemeldet sind, automatisch bei FME Flow anmelden. Eine alternative Konfiguration leitet den Anmeldeversuch zur Authentifizierung an den Identitätsanbieter weiter. Nach der Authentifizierung sendet der Identitätsanbieter eine SAML-Assertion an FME Flow zurück.

Wenn sich ein Benutzer des Identitätsanbieters nach Abschluss der SAML-Konfiguration zum ersten Mal bei FME Flow anmeldet, fragt FME Flow Attribute in Form einer SAML-Assertion vom Identitätsanbieter an, um ein neues Benutzerkonto zu erstellen. Diese Just-in-Time-Kontoerstellung stellt sicher, dass nur Benutzer, die Zugriff auf FME Flow benötigen, über Konten verfügen. Der manuelle Import von Benutzern und Gruppen aus einem SAML-Identitätsanbieter wird derzeit nicht unterstützt.

Die SAML-Assertion enthält Identitätsanbieter-Attribute, die den entsprechenden Benutzer-Attributen in FME Flow entsprechen, wie z. B. Benutzername und E-Mail. Wenn diese Attribute in der Konfiguration nicht explizit angegeben sind, werden Standardwerte zugewiesen. Wenn der Identitätsanbieter beispielsweise Azure Active Directory ist, entspricht der Benutzername dem Azure AD-Namen.

Die FME Flow-Rolle, der ein Benutzer zugeordnet ist, kann auch auf ein entsprechendes Attribut des Identitätsanbieters abgebildet werden. Wenn eine Zuordnung nicht definiert ist oder nicht ermittelt werden kann, wird eine Standardrolle zugewiesen, wie in der Konfiguration explizit angegeben. Die Werte der zugeordneten Rolle auf dem Identitätsanbieter müssen mit den vorhandenen Rollen in FME Flow übereinstimmen.

Fehlerbehebung bei Anmeldefehlern mit SAML-Identitätsanbieter-Anmeldeinformationen

Stellen Sie sicher, dass die automatische/JIT-Bereitstellung auf dem Identitätsanbieter aktiviert ist. Wenden Sie sich an Ihr IT-Team, um Unterstützung zu erhalten.
FME Flow-Fehlerbehebung: SAML
SAML Authentication Failure

Erste Schritte

Um sich in FME Flow mit einem SAML-Identitätsanbieter zu authentifizieren, müssen Sie an zwei Stellen Einstellungen vornehmen:

Bei Ihrem SAML-Identitätsanbieter.
In FME Flow.

Wenn Ihre FME Flow-Architektur einen Reverse Proxy oder Load Balancer enthält, ist eine zusätzliche Konfiguration erforderlich:

Fügen Sie den vollqualifizierten Hostnamen Ihres Reverse-Proxys an die Zeile fmeserver.saml.custom.baseurl= in der SAML-Datei application.properties an.Wenn Ihre FME Flow-Instanz einen Apache Tomcat Web Application Server verwendet, der mit der Installation bereitgestellt wird, befindet sich diese Datei in <FMEFlowDir>\Utilities\tomcat\webapps\fmesaml\WEB-INF\classes\. Wenn Sie fertig sind, führen Sie einen Neustart von FME Flow durch.

Einstellungen des SAML-Identitätsanbieters

Konfigurieren Sie die folgenden Einstellungen für Ihren SAML-Identitätsanbieter. Wenn Sie fertig sind, fahren Sie mit [%=ProductNames.ProductName-FMEFlow%] Settings (unten) fort.

Die Bezeichnungen der Einstellungen variieren je nach Anbieter. Weitere Informationen zur Konfiguration von Einstellungen für bestimmte Anbieter finden Sie in diesem FME Community-Artikel.

Just-in-Time-Bereitstellung (automatische Mitgliedschaft): Stellen Sie sicher, dass diese Einstellung aktiviert ist.
Entitäts-ID (Zielgruppen-URI): Auf <FMEFlowWebURL>/fmesaml/saml2/service-provider-metadata/fmeserver setzen

Wobei <FMEFlowWebURL> der vollqualifizierte Hostname für Ihre FME Flow-Instanz ist, der sowohl den Hostnamen als auch die Domäne enthält (z. B. https://fmeserver.domain.com).

Single Sign-On-URL (Application Callback URL, Assertionsverbraucherdienst-URL): Auf <FMEFlowWebURL>/fmesaml/login/saml2/sso/fmeserver setzen

Wobei <FMEFlowWebURL> der vollqualifizierte Hostname für Ihre FME Flow-Instanz ist, der sowohl den Hostnamen als auch die Domäne enthält (z. B. https://fmeserver.domain.com).

FME Flow-Einstellungen

Wählen Sie auf der Seite "Authentifizierungsdienste" die Registerkarte SAML-Konfiguration, schieben Sie den Schieberegler Aktiviert nach rechts, und geben Sie die erforderlichen Metadaten und andere Einstellungen wie folgt an.

Metadatendatei hochladen: Wenn diese Option aktiviert ist, können Sie Ihre SAML-Provider-Metadatendatei in das Feld Metadatendatei des Identitätsanbieters hochladen. Sie können die entsprechende Datei per Drag & Drop in den vorgesehenen Bereich ziehen. Alternativ können Sie auch in den vorgesehenen Bereich klicken, um nach der Datei zu suchen.

Diese Datei hat normalerweise die Erweiterung .xml.

Wenn diese Option nicht aktiviert ist, müssen Sie die folgenden Felder manuell eingeben:

SSO-URL des Identitätsanbieters
Aussteller des Identitätsanbieters
X.509-Zertifikat des Identitätsanbieters

Standardrolle für neue Benutzer: Wenn Rolle unter „Attributfeldzuornungen“ (unten) nicht angegeben ist oder nicht ermittelt werden kann, wird die FME Flow-Rolle neuen Benutzern zugewiesen. Diese Rolle muss bereits in FME Flow vorhanden sein.

Wenn fmesuperuser angegeben ist, werden neuen Benutzern alle Berechtigungen in FME Flow gewährt.

Attributfeldzuordnungen (optional): FME Flow-Benutzerattribute werden neuen Benutzern gemäß einer festgelegten Zuordnung zugewiesen. Wenn nichts angegeben wird, wird eine Standardzuordnung konfiguriert. Wenn es sich bei dem Identitätsanbieter beispielsweise um Azure Active Directory handelt, entspricht „Benutzername“ dem Azure AD-Namen.

Geben Sie die Attributnamen von Ihrem Identitätsanbieter ein, um sie den folgenden FME Flow-Benutzerattributen zuzuordnen:

Für Informationen und Beispiele zur Konfiguration von Attributen auf Ihrem SAML-Identitätsanbieter und zum Mapping in FME Flow:

Vorname: Dieses Attribut wird mit Nachname verknüpft, um den vollständigen Namen eines FME Flow-Benutzerkontos abzubilden.
Nachname: Dieses Attribut wird mit Vorname verknüpft, um den vollständigen Namen eines FME Flow-Benutzerkontos abzubilden.
Benutzername: Das Attribut, das dem Benutzernamen eines FME Flow-Kontos zugeordnet wird.
E-Mail: Das Attribut, das der E-Mail eines FME Flow-Benutzerkontos zugeordnet werden soll.
Rolle: Das Attribut, das auf die Rolle eines FME Flow-Benutzerkontos abgebildet werden soll. Wenn Ihr Identitätsanbieter mit „eindeutigen“ oder „benutzerdefinierten“ Attributen konfiguriert ist, auf die im Distinguished Name (DN) einer gültigen LDAP-Zeichenfolge verwiesen wird, müssen Sie diese Attribute angeben. Dieses Feld überschreibt jeden Wert, der oben für die Standardrolle für neue Benutzer angegeben wurde. Die Werte der angegebenen Rolle auf dem Identitätsanbieter müssen mit den vorhandenen Rollen in FME Flow übereinstimmen.

Anfragen signieren (optional): Wenn diese Option aktiviert ist, füllen Sie Folgendes aus, um sicherzustellen, dass Anfragen zwischen FME Flow und dem Identitätsanbieter signiert werden:
Diese Konfiguration wird möglicherweise nicht von Ihrem SAML-Identitätsanbieter unterstützt.
1. Stellen Sie ein Dienstanbieterzertifikat und einen Dienstanbieterschlüssel bereit. Sie können ein Zertifikat und einen Schlüssel mit einer Drittanbieteranwendung wie OpenSSL erstellen oder Ihre IT-Abteilung bitten, diese zu generieren. Das Zertifikatsformat muss DER-kodiert oder PEM X.509-kodiert sein. Das Schlüsselformat muss PEM PKCS#8-kodiert sein.
Laden Sie das Zertifikat hoch oder referenzieren Sie es in Ihrem SAML-Identitätsanbieter.
Only allow SAML login: If checked, this field prevents authenticating with by explicitly entering a Username and Password. Only users who authenticate with the SAML identity provider can log in.

Erweiterte Einstellungen (optional): Die folgenden Einstellungen erfordern die Bearbeitung der Textdatei application.properties. Wenn Ihre FME Flow-Instanz einen Apache Tomcat Web Application Server verwendet, der mit der Installation bereitgestellt wird, befindet sich diese Datei in <FMEFlowDir>\Utilities\tomcat\webapps\fmesaml\WEB-INF\classes\. Wenn Sie fertig sind, führen Sie einen Neustart für den FMEFlowAppServer-Systemdienst durch.

fmeserver.saml.authentication.force: Die Einstellung true erzwingt die Abfrage der Benutzeranmeldeinformationen, wenn die SAML-Anmeldung initiiert wird. Bei false (Standard) wird dem Benutzer abhängig vom Browser-Cache-Status der SAML-Anmeldung die automatische Anmeldung ermöglicht.
fmeserver.saml.clockskew.enable: Wenn false (Standard) gesetzt ist, wird die Anmeldung im Falle einer fehlgeschlagenen Datum/Uhrzeit-Assertion zugelassen. Die SAML-Assertion kann fehlschlagen, wenn die Systemuhren des Identitätsanbieters und des Dienstanbieters nicht synchronisiert sind. Wenn true gesetzt ist, berücksichtigt die FME Flow SAML-Konfiguration die Einstellung fmeserver.saml.clockskew.minutes (unten).
fmeserver.saml.clockskew.minutes: Bei fmeserver.saml.clockskew.enable=true wird der zulässige Zeitversatz in Minuten angegeben.

Anzeigen von SAML-Protokollen

Die Protokolldateien fmesaml.log und restV4.log finden Sie unter Services Logs.

fmesaml.log zeichnet auf:

Wenn ein Benutzerkonto bei der ersten Anmeldung in FME Flow über die Option Mit SAML anmelden erstellt wird.
Nachfolgende Anmeldungen bei FME Flow über Mit SAML anmelden .

restV4.log zeichnet alle Probleme auf, die während der SAML-Konfiguration aufgetreten sind.

Weitere Informationen finden Sie unter About Log Files in .