Hallo,
kann man enable SAML nach enable und speichern wieder deaktivieren, falls es zum Fehler bei der Anmeldung kommt?
Was wird im Feld X509 Zertifikat erwartet, XML code vom SAML connector?
Freue mich auf Hinweise, Tipps und Hilfe.
Gruß Roland
Hi,
am besten vorher Kopien der config.cfg und der config_override.php erstellen, dort werden die Passwortsettings gespeichert (es geht nur um einige Zeilen, aber mit der Kopie kann man recht einfach auf den alten Stand zurückwechseln).
Im gezeigten Feld muss das entsprechende SAML-Signaturzertifikat eingefügt werden, also z.B.
-----BEGIN CERTIFICATE-----
<hier das Zert.>
-----END CERTIFICATE-----
danke für die rasche Antwort
der im Link beschrieben weg zum Disable SAML, würde das tatsächlich SAML auch deaktivieren?
Disable SAML authentication - SuiteCRM Forum - English Language / SuiteCRM General Discussion - SuiteCRM
Hi,
habe den Thread überflogen, dort wird ja im Wesentlichen auch die config überschrieben - siehe:
danke, durch das vorher kopieren der config.php und config_override.php konnte ich gerade das aktivierte SAML erfolgreich wieder deaktivieren.
Es kam zum Fehler bei Login d.h. öffnen der Anmeldeseite von SuiteCRM sprang direkt um zum identity provider und endete mit Fehler 500
blöde Frage, muss ich beim User Two Factor Authentication aktivieren?
(hatte ich nicht aktiviert bisher)
Hi,
nein, das 2FA-Feature in Suite würde eine Mail mit Token an den Nutzer schicken, das hat aber m.W. keinen Bezug zu SAML.
wo kann ich in Suite CRM die Metadata auslesen/kopieren?
Die Metadata der Suite CRM muss in den SAML Connector des IdP eingetragen werden!
Hallo, das ist definitiv so.
Da finden wir alles im Log, was der jeweilige Entwickler immer sehen wollte.
z.B. jedes durchlaufene SQL Statement.
Hallo,
das ist wohl die entscheidende Frage.
Vermutlich hat der inwebo idp den HTTP500 geworfen, weil ihm der trust fehlt (bzw. unerwartet unvollständig ist). Er muss ja aus der assertion auch entnehmen, wohin er redirecten soll etc.
Bei unverschlüsselter Assertion könnte man im Netzwerklog des Browsers mehr sehen.
Der inwebo sollte auch etwas geloggt haben.
Tatsächlich scheint der import der Metadaten in suitecrm undokumentiert zu sein.
In sugarCrm ist das anders:
https://support.sugarcrm.com/Documentation/SugarCloud_Services/SugarIdentity/SugarIdentity_Guide/#Exporting_Metadata_File_for_ADFS
Diagonaldurchsicht der Sourcen vom Administration Modul (suiteCRM) hat mir leider auch keine Erkenntnis dazu gebracht.
Aber dann…
SuiteCRM verwendet offenbar php-saml (https://github.com/onelogin/php-saml)
installiert unter vendor/onelogin/php-saml .
Ich hab’ da mal was vorbereitet:
Im suitecrm Verzeichnis anlegen:
getmetadata.php, mit gleich folgendem Inhalt (danach chmod 775 drauf),
sollte dann über den Browser http://ihrserver/getmetadata.php klappen:
<?php
/**
* BOM 04/2021 derived from
* SAMPLE Code to demonstrate how to handle a SAML assertion response.
*
* Your IdP will usually want your metadata, you can use this code to generate it once,
* or expose it on a URL so your IdP can check it periodically.
*/
header('Content-Type: text/xml');
$php_saml='vendor/onelogin/php-saml';
require_once $php_saml.'/_toolkit_loader.php';
require_once $php_saml.'/src/Saml2/Settings.php';
$mySettings = new OneLogin\Saml2\Settings();
$spdata = $mySettings->getSPData();
$myMetadata = OneLogin\Saml2\Metadata::builder($spdata);
echo $myMetadata;
?>Richtig konnte ich es gerade nicht testen. Ich hatte keine richtigen Settings.
vielen Dank für die Mühe mit dem PHP-Script
habe es in mein webroot von SuiteCRM übernommen (Rechte gesetzt)
bekomme Fehler beim Aufruf von http:://localhost:8080/getmetadata.php
(mein virtualhost läuft unter port 8080) SuiteCRM ist Test-System
muss SAML enabled sein im SuiteCRM, damit die Ausgabe der Metadaten klappt?
Hallo, können sie mehr sehen, wenn sie das pgp auf der Konsole ausführen?
Vermutlich sehen wir dann eine Fehlermeldung, die uns sagt, warum die Daten aus
vendor/onelogin/php-saml/settings.php nicht korrekt erzeugt werden können.
wie muss das pgp command in der konsole lauten?
Da wir die settings.php nicht gefunden. Die sollte vendor/onelogin/php-saml liegen.
Wenn sie dort liegt, ist sie eventuell fur den ausführenden user nicht lesbar (xr).
Mal nachschauen und ggf. chmod .
Richtete sich die Frage nach pgp auf die Erstellung des x509 Zertifikates?
settings.php gibt es nun.
jetzt fehlt vermutlich noch Identity Provider, Zertifikat, etc.
das kann ich ja aber wieder aktiveren.
wenn ich SAML in SuiteCRM enable, muss ich zusätzlich idP, LoginURL, LogOutURL etc. in der settings.php eintragen?
Das habe ich noch nicht gemacht, denke aber, dass SuiteCRM genau diese Daten (also auch das Zertifikat, wohl in Base64) dann in der settings.php ablegt.