SAML in AD FS konfigurieren

Diese Anleitung beschreibt die Schritte, die erforderlich sind, um eine funktionierende SAML-Integration zwischen GoBright und AD FS zu erstellen.

Erstellen Sie den Relying Party Trust für die Plattform GoBright

  1. Anmeldung bei Ihrem AD FS-Server
  2. Starten Sie die AD FS-Verwaltungskonsole
  3. Wählen Sie "Relying Party Trust" in der linken Baumansicht und "Add Relying Party Trust..." in der Aktionsleiste.
    Wählen Sie im Assistenten "Add Relying Party Trust Wizard" die Option "Claims aware", und klicken Sie auf "Start".
    AD_FS_1.png
  4. Wählen Sie unter "Datenquelle auswählen" die Option "Daten über den vertrauenden Dritten manuell eingeben".
    Klicken Sie dann auf "Weiter".
    AD_FS_2.png
  5. Geben Sie unter 'Anzeigename angeben' als 'Anzeigename' den Wert 'GoBright'.
    Klicken Sie dann auf "Weiter".
    AD_FS_3.png
  6. Klicken Sie unter "Zertifikat konfigurieren" auf "Weiter".
    AD_FS_4.png
  7. Wählen Sie unter "URL konfigurieren" die Option "Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren".
    Füllen Sie die 'Relying party SAML 2.0 SSO service URL' mit dem 'Antwort-URL (Assertion Consumer Service URL)', die Sie in Stufe 1.
    Klicken Sie dann auf "Weiter".
    AD_FS_5.png
  8. In 'Identifikatoren konfigurieren':
    Füllen Sie den 'Relying party trust identifier' mit: 'Kennung der vertrauenden Partei / Entity Id'
    Klicken Sie dann auf "Hinzufügen" und auf "Weiter".
    AD_FS_6.png
  9. Unter "Choose Access Control Policy" (Zugriffskontrollrichtlinie auswählen) können Sie konfigurieren, wer Zugriff auf GoBright haben soll. Stellen Sie sicher, dass Sie (zumindest) mit dem Konto, das Sie zum Testen der SAML-Integration verwenden werden, Zugang haben.
    Klicken Sie dann auf "Weiter".
    AD_FS_7.png
  10. Unter "Bereit zum Hinzufügen von Vertrauen" können Sie die Einstellungen überprüfen und auf "Weiter" klicken.
  11. Markieren Sie unter "Fertigstellen" die Option "Richtlinie für die Ausstellung von Ansprüchen für diesen Antrag konfigurieren" und klicken Sie auf "Schließen".
    AD_FS_8.png

Konfigurieren Sie die Claims Issuance Policy

  1. Öffnen Sie die Eigenschaften der Claims Issuance Policy (wenn sie nicht bereits geöffnet ist):
    AD_FS_Claims_1.png
  2. Wählen Sie 'Regel hinzufügen...':
    AD_FS_Claims_2.png
  3. Der Assistent zum Hinzufügen einer Transformationsanspruchsregel wird geöffnet.
    Wählen Sie als 'Claim rule template' die Option 'Send LDAP Attributes as Claims'.
    Klicken Sie dann auf "Weiter".
    AD_FS_Claims_3.png
  4. Konfigurieren Sie nun die Anspruchsregel:
    - Setzen Sie den 'Claim rule name' auf: GoBright Verzugsansprüche
    - Setzen Sie das Attribut store" auf: Aktives Verzeichnis
    - Konfigurieren Sie die 'Zuordnung von LDAP-Attributen zu ausgehenden Antragsarten' mit dem genau Werte:
    (bitte die Werte kopieren und einfügen)
    LDAP-Attribut Ausgehende Fallart Erforderlich
    Benutzer-Prinzipal-Name Name ID ja
    Anzeige-Name Allgemeiner Name ja
    objectGuid http://schemas.microsoft.com/identity/claims/objectidentifier ja
    [Ihr Pincode-Attribut] gobright.pincode keine
    [Ihr nfc-Attribut] gobright.nfc keine
    [Ihr Standard-Kostenstellen-Attribut] gobright.defaultcostcenteridorname keine

    Hinweis: Die ausgehende Anspruchsart "Name ID" wird als E-Mail-Adresse des Benutzers in GoBright verwendet. Es ist wichtig, dass dies die primäre E-Mail-Adresse des Benutzerpostfachs ist. In den meisten Fällen ist der User Principle Name derselbe wie die primäre E-Mail-Adresse, aber in Ihrem speziellen Fall kann dies anders sein.

    AD_FS_Claims_4.png

  5. Klicken Sie dann auf "Fertigstellen" und auf "OK".

Konfigurieren Sie den sicheren Hash-Algorithmus

  1. Bitte stellen Sie sicher, dass der "Sichere Hash-Algorithmus" auf "SHA-256" eingestellt ist, indem Sie diese Schritte ausführen.
  2. Öffnen Sie die Eigenschaften der 'GoBright' Relying Party Trusts
  3. Öffnen Sie die Registerkarte 'Erweitert'.
  4. Setzen Sie den "Sicheren Hash-Algorithmus" auf "SHA-256", wenn er nicht bereits eingestellt ist.
  5. Klicken Sie auf 'OK'.
    AD_FS_Eigenschaften_1.png

Kopieren Sie das Token-Signierzertifikat

  1. Wählen Sie in der AD FS-Verwaltungskonsole in der linken Baumansicht "Zertifikate".
  2. Klicken Sie mit der rechten Maustaste auf das aktive "Token-signing"-Zertifikat
  3. Wählen Sie 'Zertifikat anzeigen'.
    AD_FS_Cert_1.png
  4. Wählen Sie die Registerkarte "Details" und wählen Sie "In Datei kopieren".
    AD_FS_Cert_2.png
  5. Der "Zertifikats-Export-Assistent" öffnet sich, klicken Sie auf "Weiter".
    Wählen Sie "Base-64 kodiertes X.509 (.CER)" und klicken Sie auf "Weiter".
    AD_FS_Cert_3.png
  6. Speichern Sie die Datei an einem Ort Ihrer Wahl, zum Beispiel in 'C:tokencertificate.cer'.
  7. Klicken Sie auf "Weiter" und "Fertig stellen".
  8. Öffnen Sie nun "Notepad" und laden Sie das exportierte Zertifikat (zum Beispiel "C:tokencertificate.cer").
  9. Sie sehen nun den Textinhalt in folgendem Format:
    -----BEGIN CERTIFICATE-----
    ..........DATA.............
    -----END CERTIFICATE-----

    Diese benötigen Sie in Schritt 3 zur Konfiguration des Portals GoBright .

Bestimmen Sie die AD FS-Service-Url's

Bitte ermitteln Sie die Service-URLs Ihrer AD FS-Installation.

Bestimmen Sie die 'Single Sign-on service url':

  • Meistens hat die "Single Sign-on service url" das folgende Format:
    https://[adfs service url, e.g. adfs.company.com]/adfs/ls
  • Ein Beispiel aus der Praxis wäre:
    https://adfs.company.com/adfs/ls

Bestimmen Sie die 'Single Logout service url':

  • Die "Single Logout service url" ist die "Single Sign-on service url", plus die folgende Erweiterung:
    /?wa=wsignout1.0
  • Das vollständige Format würde dann lauten:
    https://[adfs service url, e.g. adfs.company.com]/adfs/ls/?wa=wsignout1.0
  • Ein Beispiel aus der Praxis wäre:
    https://adfs.company.com/adfs/ls/?wa=wsignout1.0

Sie benötigen diese Informationen in Schritt 3, um das Portal GoBright zu konfigurieren.

Weiter

Fahren Sie mit Schritt 3 des Artikels über die Integration von SAML2-Verbundidentitäten fort und schließen Sie die SAML-Integration ab.

Dieser Artikel stammt aus dem Help Center von GoBright.

Originalartikel ansehen

FAQ

Fragen Sie uns alles! Hier finden Sie die Antworten auf die am häufigsten gestellten Fragen.

Durchsuchen Sie die FAQs

Hilfe-Center

Eine Fundgrube für alle IT- und Facility-Manager. Tauchen Sie ein in die technischen Details unserer Produkte und Lösungen.

Besuchen Sie das Help Center

Newsletter

Möchten Sie über alle Entwicklungen im Smart Office und unsere neuen Funktionen informiert werden? Abonnieren Sie jetzt unseren Newsletter.

Jetzt abonnieren