Um SSO mit den Windows Active Directory Verbunddiensten (ADFS) einzurichten, benötigst du Folgendes:
- Eine Serverinstanz des aktiven Verzeichnisses
- Ein Server, auf dem der Microsoft Server 2012, 2008 oder Ähnliches läuft, um die Microsoft Active Directory Verbunddienste (ADFS 2.0) zu installieren
Wenn du über keine existierende ADFS 2.0-Einrichtung verfügst, folge der Installationsanleitung in den Artikeln Microsoft KB (Server 2008) Microsoft KB (Service 2012), um deinen Server zu konfigurieren.
Dieser Leitfaden nutzt Screenshots vom Microsoft-Server 2008 – die gleichen Schritte gelten für andere Versionen.
Beekeeper als vertrauende Seite hinzufügen
Zunächst musst du eine Zwei-Wege-Vertrauensstellung zwischen ADFS und Beekeeper einrichten. Öffne hierzu die ADFS-Verwaltungskonsole und folge den nachstehenden Schritten.
- Klicke mit der rechten Maustaste auf ADFS 2.0 und wähle „Vertrauensstellung der vertrauenden Seite hinzufügen” aus, um den Assistenten „Vertrauensstellung der vertrauenden Seite hinzufügen” zu öffnen
- Klicke Start auf der Willkommensseite des Assistenten
- Aktiviere auf der Seite „Datenquelle auswählen“ die Option „Daten über die vertrauende Seite importieren, die online oder in einem lokalen Netzwerk veröffentlicht wurde“
- Gib unter „Federation-Metadatenadresse“ die URL deiner Beekeeper App ein (z. B. https://<dein_Unternehmen>.beekeeper.io/saml/sso/metadata.xm - diesen Link findest du auch im Admin-Dashboard unter Einstellungen >> General >> Single Sign-On). Die Metadaten-XML-Datei ist ein Standard-SAML-Metadatendokument, das deine Beekeeper-Domäne als vertrauende Partei beschreibt
- Klicke auf Weiter
- Lege auf der Seite „Anzeigenamen angeben“ den Anzeigenamen für die vertrauende Seite (z. B. Beekeeper) fest und klicke auf Weiter
- Aktiviere auf der Seite „Ausgabeautorisierungsregeln wählen” die Option „Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben” und klicke auf Weiter
- Prüfe auf der Seite „Bereit zum Hinzufügen der Vertrauensstellung” deine Einstellungen und klicke auf Weiter
- Aktiviere auf der Seite „Fertig stellen” die Option „Nach Abschluss des Assistenten das Dialogfeld 'Anspruchsregeln bearbeiten' für diese Anspruchsanbieter-Vertrauensstellung öffnen”
- Klicke auf Schliessen
Du bist nun fertig mit der Konfiguration von Beekeeper als eine vertrauende Seite. Die nächsten Abschnitte erörtern, wie deine Anspruchsregeln zum Ausfüllen der Profile deiner Nutzer in Beekeeper konfiguriert werden.
Konfigurieren der SAML-Namens-ID Anspruchsregel
Die SAML-Namens-ID wird verwendet, um Nutzerkonten zwischen Beekeeper und ADFS abzugleichen. Die unten stehenden Schritte erklären, wie du den Windows-Kontonamen als die SAML-Namens-ID festlegen kannst.
Um die Namens-ID-Anspruchsregel zu erstellen, gehe in die ADFS-Verwaltungskonsole und führe die folgenden Schritte durch:
- Klicke unter „Vertrauensstellungen der vertrauenden Seite” auf den Eintrag für Beekeeper (den du im vorherigen Abschnitt erstellt hast) und wähle „Anspruchsregeln bearbeiten” aus
- Klicke im Dialogfeld „Anspruchsregeln für Beekeeper bearbeiten” auf „Regel hinzufügen”, dann öffnet sich der Assistent zum Hinzufügen einer Transformationsanspruchsregel
- Wähle auf der Seite „Regelvorlage auswählen“ die Option „Eingehenden Anspruch transformieren” aus dem Dropdown-Menü der Anspruchsregelvorlage aus und klicke auf Weiter
- Verwende auf der Seite „Regel konfigurieren” die folgenden Einstellungen:
- Name der Anspruchsregel: Namens-ID
- Eingehender Anspruchstyp: Windows-Kontoname
- Ausgehender Anspruchstyp: Namens-ID
- Format der ausgehenden Namens-ID: Persistente Kennung
- Alle Anspruchswerte durchlaufen: Aktiviert
- Klicke auf Fertig stellen
Erstellen zusätzlicher Anspruchsregeln
Mit Anspruchsregeln kannst du die Beekeeper-Profilfelder eines Nutzers mit Werten von ADFS füllen. Werte wie z. B. Name-ID, E-Mail-Adresse, Vor- und Nachname werden standardmässig gefüllt, mit Anspruchsregeln kannst du jedoch auch benutzerdefinierte Felder zuordnen, z. B. Position oder Abteilung.
*Hinweis: Jedes benutzerdefinierte Feld benötigt ein entsprechendes Profilfeld im Beekeeper Dashboard.
Zum Einrichten zusätzlicher Anspruchsregeln folge diesen Schritten.
- Klicke in der ADFS-Management-Konsole unter „Vertrauensstellungen von vertrauenden Seiten“ auf den Eintrag für Beekeeper und wähle „Anspruchsregeln bearbeiten“ aus
- Klicke im Dialogfeld „Anspruchsregeln für Beekeeper bearbeiten” auf „Regel hinzufügen”, dann öffnet sich der Assistent zum Hinzufügen einer Transformationsanspruchsregel
- Wähle auf der Seite „Regelvorlage auswählen“ aus dem Dropdown-Menü für Anspruchsregelvorlagen die Option „LDAP-Attribute als Ansprüche senden“ und klicke auf Weiter
- Verwende auf der Seite „Regel konfigurieren” die folgenden Einstellungen:
- Name der Anspruchsregel: Beekeeper Profil
- Attributspeicher: Aktives Verzeichnis
- Zuordnen von LDAP-Attributen: Diese Zuordnungen bestimmen, welche Felder von ADFS zu Beekeeper gesendet werden. „LDAP-Attribut“ ist das ADFS-Feld und „Ausgehender Anspruchstyp“ ist der Platzhalter eines Beekeeper-Profilfelds (z. B. firstname, email, position)
- Klicke auf Fertig stellen
Konfigurieren von Beekeeper mit IdP-Metadaten
Wenn du Beekeeper als vertrauende Seite bei ADFS eingerichtet hast, musst du Beekeeper so konfigurieren, dass es Anmeldungen von ADFS akzeptiert.
- Lade die SAML-Datei mit den Metadaten von deinem ADFS-Server herunter (die URL sollte so aussehen: https://your_server/FederationMetadata/2007-06/FederationMetadata.xml)
- Navigiere im Beekeeper Admin-Dashboard zu Einstellungen > Allgemein > Single Sign-On
- Kopiere die Inhalte der Metadaten-Datei in das entsprechende Feld und klicke auf Speichern
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.