Um SSO mit den Windows Active Directory Verbunddiensten (AD FS) einzurichten, benötigst Du Folgendes:
- Eine Serverinstanz des aktiven Verzeichnisses
- Ein Server, auf dem der Microsoft Server 2012, 2008 oder Ähnliches läuft, um die Microsoft Active Directory Verbunddienste (ADFS 2.0) zu installieren
Wenn Du über keine existierende AD FS 2.0-Einrichtung verfügst, folge der Installationsanleitung in den Artikeln Microsoft KB (Server 2008) Microsoft KB (Service 2012), um Deinen Server zu konfigurieren.
Dieser Leitfaden nutzt Screenshots vom Microsoft-Server 2008 — die gleichen Schritte gelten für andere Versionen.
Beekeeper als vertrauende Seite hinzufügen
Zunächst musst Du eine Zwei-Wege-Vertrauensstellung zwischen AD FS und Beekeeper einrichten. Öffne hierzu die AD-FS-Verwaltungskonsole und folge den nachstehenden Schritten.
- Klicke mit der rechten Maustaste auf AD FS 2.0 und wähle „Vertrauensstellung der vertrauenden Seite hinzufügen”, um den Assistenten „Vertrauensstellung der vertrauenden Seite hinzufügen” zu öffnen.
- Klicke Start auf der Willkommen-Seite des Assistenten.
- Aktiviere auf der Seite „Datenquelle auswählen“ die Option „Daten über die vertrauende Seite importieren, die online oder in einem lokalen Netzwerk veröffentlicht wurde“.
- Gib unter „Federation-Metadatenadresse“ die URL Deiner Beekeeper-App ein (z. B. https://<dein_Unternehmen>.beekeeper.io/saml/sso/metadata.xm — diesen Link findest Du auch im Admin-Bereich unter Einstellungen > General > Single Sign-on). Die Metadaten-XML-Datei ist ein Standard-SAML-Metadatendokument, das Deine Beekeeper-Domäne als vertrauende Partei beschreibt.
- Klicke auf Weiter.
- Lege auf der Seite „Anzeigenamen angeben“ den Anzeigenamen für die vertrauende Seite (z. B. Beekeeper) fest und klicke auf Weiter.
- Aktiviere auf der Seite „Zugriffssteuerungsrichtlinie auswählen” die Option „Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben” und klicke auf Weiter.
- Prüfe auf der Seite „Bereit zum Hinzufügen der Vertrauensstellung” Deine Einstellungen und klicke auf Weiter.
- Aktiviere auf der Seite „Fertig stellen” die Option „Nach Abschluss des Assistenten das Dialogfeld 'Anspruchsregeln bearbeiten' für diese Anspruchsanbieter-Vertrauensstellung öffnen”.
- Klicke auf Schliessen.
Du bist nun fertig mit der Konfiguration von Beekeeper als eine vertrauende Seite. Die nächsten Abschnitte erörtern, wie Deine Anspruchsregeln zum Ausfüllen der Nutzerprofile in Beekeeper konfiguriert werden.
Konfigurieren der Anspruchsregel für SAML-Namens-ID
Die SAML-Namens-ID wird verwendet, um Nutzerkonten zwischen Beekeeper und AD FS abzugleichen. Die unten stehenden Schritte erklären, wie Du den Windows-Kontonamen als die SAML-Namens-ID festlegen kannst.
Um die Namens-ID-Anspruchsregel zu erstellen, gehe in die AD-FS-Verwaltungskonsole und führe die folgenden Schritte durch:
- Klicke unter „Vertrauensstellungen der vertrauenden Seite” auf den Eintrag für Beekeeper (den Du im vorherigen Abschnitt erstellt hast) und wähle „Anspruchsregeln bearbeiten” aus.
- Klicke im Dialogfeld „Anspruchsregeln für Beekeeper bearbeiten” auf „Regel hinzufügen”, dann öffnet sich der Assistent zum Hinzufügen einer Transformationsanspruchsregel.
- Wähle auf der Seite „Regelvorlage auswählen“ die Option „Eingehenden Anspruch transformieren” aus dem Drop-down-Menü der Anspruchsregelvorlage aus und klicke auf Weiter.
- Verwende auf der Seite „Regel konfigurieren” die folgenden Einstellungen
- Name der Anspruchsregel: Namens-ID
- Eingehender Anspruchstyp: Windows-Kontoname
- Ausgehender Anspruchstyp: Namens-ID
- Format der ausgehenden Namens-ID: Persistente Kennung
- Alle Anspruchswerte durchlaufen: AktiviertKlicke auf
5. Fertig stellen.
Erstellen zusätzlicher Anspruchsregeln
Mit Anspruchsregeln kannst Du die Beekeeper-Profilfelder eines Nutzers mit Werten von AD FS füllen. Werte wie z. B. Name-ID, E-Mail-Adresse, Vor- und Nachname werden standardmässig ausgefüllt. Mit Anspruchsregeln kannst Du jedoch auch benutzerdefinierte Felder zuordnen, z. B. Position oder Abteilung.
*Hinweis: Jedes benutzerdefinierte Feld benötigt ein entsprechendes Profilfeld auf der Beekeeper-Plattform.
Zum Einrichten zusätzlicher Anspruchsregeln folge diesen Schritten.
- Klicke in der AD-FS-Management-Konsole unter „Vertrauensstellungen von vertrauenden Seiten“ auf den Eintrag für Beekeeper und wähle „Anspruchsregeln bearbeiten“.
- Klicke im Dialogfeld „Anspruchsregeln für Beekeeper bearbeiten” auf „Regel hinzufügen”, dann öffnet sich der Assistent zum Hinzufügen einer Transformationsanspruchsregel.
- Wähle auf der Seite „Regelvorlage auswählen“ aus dem Drop-down-Menü für Anspruchsregelvorlagen die Option „LDAP-Attribute als Ansprüche senden“ und klicke auf Weiter.
- Verwende auf der Seite „Regel konfigurieren” die folgenden Einstellungen:
- Name der Anspruchsregel: Beekeeper Profil
- Attributspeicher: Aktives Verzeichnis
- Zuordnen von LDAP-Attributen: Diese Zuordnungen bestimmen, welche Felder von AD FS zu Beekeeper gesendet werden. „LDAP-Attribut“ ist das AD-FS-Feld und „Ausgehender Anspruchstyp“ ist der Platzhalter eines Beekeeper-Profilfelds (z. B. firstname, email, position).
5. Klicke auf Fertig stellen.
Konfigurieren von Beekeeper mit IdP-Metadaten
Wenn Du Beekeeper als vertrauende Seite bei AD FS eingerichtet hast, musst Du Beekeeper so konfigurieren, dass es Anmeldungen von AD FS akzeptiert.
- Lade die SAML-Datei mit den Metadaten von Deinem AD-FS-Server herunter (die URL sollte so aussehen: https://your_server/FederationMetadata/2007-06/FederationMetadata.xml).
- Navigiere im Beekeeper Admin-Bereich zu Einstellungen > Allgemein > Single Sign-on.
- Kopiere die Inhalte der Metadaten-Datei in das entsprechende Feld und klicke auf Speichern.
Geschafft! Dein Nutzer kann sich jetzt mit Active Directory als Identitätsanbieter in Beekeeper einloggen.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.