Dit onderwerp bevat instructies voor het instellen van SAML-verificatie in een instantie van Blackboard Learn met Active Directory Federation Services (ADFS) als de identiteitsprovider (IdP). De Blackboard Learn-omgeving fungeert als de serviceprovider (SP). Hoewel in deze procedure ADFS versie 3.0 met Windows Server 2012 R2 wordt gebruikt, zijn de stappen ook van toepassing op ADFS 2.0.
Learn-serviceprovider
- Meld je als beheerder aan bij Blackboard Learn en ga naar Systeembeheer > Verificatie.
- Selecteer Provider maken > SAML.
- Geef waarden op voor de volgende instellingen:
- Naam > typ ADFS SAML of een andere naam.
- Verificatieprovider > stel in op Inactief.
- Zoekmethode gebruikers > Gebruikersnaam
- Beperken op hostnaam > Deze provider gebruiken voor alle hostnamen.
- Koppelingstekst > typ Aanmelden ADFS of een andere naam.
- Selecteer Opslaan en configureren.
- De waarde van het veld Entity ID moet hetzelfde zijn als de waarde van ACS URL.
- Selecteer Automatische SSO inschakelen Servicetype eenmalig afmelden Posten en ADFS LogoutResponse toestaan. Verlaten Omleiden selectievakje uitgeschakeld of selectie ongedaan gemaakt.
- Selecteer Genereren onder Metadata serviceprovider en sla het XML-bestand op je computer op.
- Het wordt aangeraden als je JIT gebruikt om een nieuwe gegevensbron te maken voor deze provider met de naam SAML, of anders SYSTEEM of een andere naam.
- Schakel het selectievakje JIT-inrichting inschakelen in, zodat er automatisch een account wordt gemaakt als een onbekende gebruiker zich probeert aan te melden via deze SAML-verificatieprovider. Als dit selectievakje niet is ingeschakeld, moet het gebruikersaccount eerst handmatig worden gemaakt in Blackboard Learn.
- Selecteer in de lijst Compatibele gegevensbronnen de gegevensbronnen waarmee deze verificatieprovider compatibel moet zijn.
- Selecteer Identiteitsprovider aanwijzen voor Type van de identiteitsprovider.
- Voor de Metadata identiteitsprovider selecteer je URL voor metagegevens en stel je de URL in op een van de URL's met ADFS-metagegevens. https://[adfs server hostname]/FederationMetadata/2001-03/FederationMetadata.xml en selecteer Valideren.
In een ideale situatie zou de ADFS-server een commercieel certificaat moeten hebben. Als de server een zelf ondertekend certificaat gebruikt, mislukt de validatie. Je moet het bestand FederationMetadata.xml downloaden en in plaats daarvan de optie Metadatabestand gebruiken.
- Selecteer Verzenden.
ADFS-identiteitsprovider
- Open op de ADFS-server de ADFS Management Console.
- Ga naar Trust Relationships > Relying Party Trusts > Add Relying Party Trust.
- Selecteer Start op de pagina Add Relying Party Trust Wizard.
- Selecteer Import Data about the relying party from a file.
- Selecteer Browse en upload het bestand dat is gemaakt in stap 6 van de vorige sectie. Selecteer Next.
- Voer een waarde in voor Display Name, zoals naamvanlearnserver.blackboard.com en selecteer Next.
- Selecteer I do not want to configure multi-factor authentication settings... en selecteer Next.
- Selecteer Permit All Users to Access this Relying Party en selecteer Next.
- Selecteer Next in de stap Ready to Add Trust en selecteer vervolgens Close in de stap Finish.
- Nadat de Relying Party Trust is gemaakt, moet de pagina Edit Claims Rules worden geopend als het laatste selectievakje ingeschakeld is gebleven. Klik anders met de rechtermuisknop op Relying Party Trust en selecteer Edit Claims.
Claimregels toevoegen voor relying party trust
Kenmerken versturen als claims
Door claimregels toe te voegen voor de Relying Party Trust worden LDAP-kenmerken als claims verstuurd van de ADFS-server naar Blackboard Learn. Klik in de beheerconsole van ADFS met de rechtermuisknop op de Relying Party Trust.
Gebruikersnaam versturen
- Selecteer Add Rule op het tabblad Issuance Transform Rules.
- Selecteer op de pagina Select Rule Template de optie Send LDAP Attributes as Claims voor Claim rule template en selecteer dan Next.
- Ga op de pagina Configure Rule naar Claim rule name en typ Transform Username to NameID.
- Selecteer Active Directory in de vervolgkeuzelijst Attribute Store.
- Selecteer in de lijst Mapping aan de linkerkant de optie SAM-Account-Name of Company.
- Typ in het vak Mapping aan de rechterkant SamAccountName en selecteer Voltooien.
Het kenmerk Name ID moet uit minimaal zes tekens bestaan
Voor- en achternaam versturen (optioneel)
Als de optie JIT-inrichting inschakelen is geselecteerd op de pagina Instellingen voor SAML-verificatie van Blackboard Learn, zodat er gebruikersaccounts worden gemaakt in Blackboard Learn als deze niet bestaan, kunnen de LDAP-kenmerken First Name en Last Name ook vanuit ADFS worden verstuurd naar Blackboard Learn door de kenmerken zo te koppelen.
- Selecteer Add Rule op het tabblad Issuance Transform Rules.
- Selecteer op de pagina Select Rule Template de optie Send LDAP Attributes as Claims voor Claim rule template en selecteer dan Next.
- Ga op de pagina Configure Rule naar Claim rule name en typ Send First Name.
- Selecteer Active Directory in de vervolgkeuzelijst Attribute Store.
- Selecteer in de lijst Mapping aan de linkerkant de optie Given-Name.
- Typ in het vak Mapping aan de rechterkant urn:oid:2.5.4.42 en selecteer Finish.
- Selecteer Add Rule op het tabblad Issuance Transform Rules.
- Selecteer op de pagina Select Rule Template de optie Send LDAP Attributes as Claims voor Claim rule template en selecteer dan Next.
- Ga op de pagina Configure Rule naar Claim rule name en typ Send Last Name.
- Selecteer Active Directory in de vervolgkeuzelijst Attribute Store.
- Selecteer in de lijst Mapping aan de linkerkant de optie Surname.
- Typ in het vak Mapping aan de rechterkant urn:oid:2.5.4.4 en selecteer Finish.
Een binnenkomende claim transformeren
- Selecteer Add Rule.
- Selecteer op de pagina Select Rule Template de optie Transform an Incoming Claim voor Claim rule template en selecteer daarna Next.
- Ga op de pagina Configure Rule naar Claim rule name en typ Transform Email to Name ID.
- Incoming claim type moet zijn ingesteld op SamAccountName. Dit moet overeenkomen met de Outgoing Claim Type die is gemaakt in de eerdere regel.
- De waarde voor Outgoing claim type is Name ID.
- De waarde voor Outgoing name ID format is Niet opgegeven.
- Controleer of Pass through all claim values is geselecteerd selecteer Finish.
- Selecteer OK om de regel op te slaan en selecteer nogmaals OK om de toewijzing van de kenmerken te voltooien.
Voorbeeld van kenmerkinstructie
Nadat alle eerder genoemde claimregels zijn toegevoegd voor de Relying Party Trust, worden de regels weergegeven op het tabblad Issuance Transform Rules.
Subject- en AttributeStatement-elementen vergelijkbaar met de onderstaande elementen worden in de SAML POST verzonden van ADFS naar Blackboard Learn nadat de gebruiker is geverifieerd:
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ">luke.skywalker</NameID>
[SNIP]
</Subject>
<AttributeStatement>
<Attribute Name="SamAccountName">
<AttributeValue>luke.skywalker</AttributeValue>
</Attribute>
<Attribute Name="urn:oid:2.5.4.42">
<AttributeValue>Luke</AttributeValue>
</Attribute>
<Attribute Name="urn:oid:2.5.4.4">
<AttributeValue>Skywalker</AttributeValue>
</Attribute>
</AttributeStatement>
Als de kenmerken van de IdP niet zijn gecodeerd in de SAML-respons, kun je de Firefox-invoegtoepassing SAML tracer of SAML Message Decoder van Chrome gebruiken om de kenmerken weer te geven die worden vrijgegeven door de IdP en die tijdens het verificatieproces naar Blackboard Learn worden verstuurd.
SAML-verificatieprovider actief maken
- Ga in Blackboard Learn naar Systeembeheer > Verificatie.
- Open het menu naast de naam van de SAML-verificatieprovider en selecteer Actief.
De ADFS-IdP is dan geconfigureerd als een SAML-verificatieprovider en kan worden gebruikt voor aanmelding bij Blackboard Learn.
- Selecteer Aanmelden met account van derden op de aanmeldingspagina van Blackboard Learn.
- Selecteer de SAML-verificatieprovider.
- Voer de aanmeldingsreferenties in op de aanmeldingspagina van ADFS.