Microsoft ADFS SSO – Active Directory Federation Services (SAML 2.0)

Bevor Sie beginnen

Das folgende Dokument beschreibt die Schritte, um eine einmalige Authentifizierung zwischen Ihrem ADFS-Service und den LUCCA-Lösungen einzurichten (Protokoll SAML 2.0).

> Folgendes Beispiel wurde auf ADFS 3.0 erstellt.

Voraussetzungen

  • Installation der ADFS-Rolle

Schritt 1: Erstellen der Konfiguration in Lucca

Diese Aktion muss von einem/einer Administrator:in oder einem/einer Benutzer:in mit Zugriff auf das Modul „Authentifizierungs- und SSO-Einstellungen“ ausgeführt werden.

MerciApp_e54zozhQB9.png

1. Aktivieren Sie die Authentifizierungsmethode, die dem Protokoll entspricht (OAuth 2.0, SAML 2.0 usw.) und Ihr IDP.

MerciApp_flRw7FWTAp.png

2. Rufen Sie unterschiedliche Informationen in den Details des Bereichs „Informationen zum Lucca Service Provider“ ab. In diesem Beispiel handelt es sich um ein SAML 2.0-Protokoll, es bleibt jedoch für andere Protokolle anwendbar:

  • Ihre Login-URL;
  • Ihre Antwort-URL;
  • Ihre Metadaten-URL (nur SAML2.0);
  • Ihr Lucca-Identifikator (nur SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Schritt 2: Erstellen einer Vertrauenspartei, d. h. LUCCA

Klicken Sie in der ADFS-Verwaltungsoberfläche in der rechten Spalte Aktionen auf Eine Genehmigung der vertrauenswürdigen Partei hinzufügen.

mstsc_2019-02-08_17-20-37.png

Folgen Sie den Schritten des Assistenten zum Hinzufügen der Genehmigung einer Vertrauenspartei:

- Wählen Sie eine Datenquelle aus, indem Sie die 1. Option Online oder in einem lokalen Netzwerk veröffentlichte Daten importieren, die die Vertrauenspartei betreffen, auswählen, und die in der Lucca-Schnittstelle kommunizierte Metadaten-URL angeben.

mstsc_2019-02-08_17-26-46.png

- Geben Sie den vollständigen Namen ein: Sie können den vorab ausgefüllten Wert anpassen: Dies ist der Name, den Ihre ADFS-Konfiguration für LUCCA haben wird

- Wählen Sie die Emissionsautorisierungsregeln: Wählen Sie Zugriff für alle Benutzer:innen auf diese vertrauenswürdige Partei autorisieren aus.

mstsc_2019-02-08_17-28-11.png

Dann wird eine Übersicht der von LUCCA abgerufenen Informationen angezeigt (Benutzername, Endpunkt, Signatur- und Verschlüsselungszertifikat usw.).

Schritt 3: Senden Sie ein AD-Attribut und einen eindeutigen Benutzernamen

Defaultmäßig wird Ihnen am Ende des vorherigen Schritts die Schnittstelle Anspruchsregeln bearbeiten vom Assistenten angezeigt. Klicken Sie andernfalls in der neu erstellten LUCCA-Konfiguration auf Anspruchsregeln bearbeiten.

mstsc_2019-02-08_17-33-33.png

Klicken Sie im Tab Emissions-Transformationsregeln auf Regel hinzufügen ...

mstsc_2019-02-08_17-52-10.png

Wählen Sie LDAP-Attribute als Anspruch senden aus.

mstsc_2019-02-08_17-41-41.png

Nachdem Sie einen Regelnamen eingegeben haben, wählen Sie den entsprechenden Attributspeicher (hier Active Directory).

Wählen Sie dann ein einzelnes LDAP-Attribut aus, um das von Ihrem ADFS-Dienst ausgegebene Token einzusenden: Dies ist ein einzigartiger Benutzername (E-Mail-Adresse oder Login), der es LUCCA ermöglicht, ihn mit den Feldern für die geschäftliche E-Mail-Adresse/persönliche E-Mail-Adresse oder das Login-Feld der Benutzerdateien abzugleichen .

Wählen Sie abschließend für den Typ des ausgehenden Anspruchs die Option Namens-ID aus.

mstsc_2019-02-08_17-47-13.png

Schritt 4: Lucca-Einstellungen

Diese Aktion muss von einem/einer Administrator:in durchgeführt werden.

Nach der Konfiguration in Ihrem ADFS-Verwaltungsinterface kehren Sie zu den Authentifizierungseinstellungen von Lucca zurück und geben Sie dort Folgendes ein:

  • die Metadaten Ihres ADFS-Dienstes
  • das LUCCA-Feld, dem das im Token gesendete AD-Attribut entspricht (Schritt 2): E-Mail-Adresse oder Login

Wir empfehlen eine öffentliche URL für den Zugriff auf die Ihre ADFS-Metadaten. Sie hat in der Regel folgendes Format:

https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml

Sobald diese Informationen eingegeben und gespeichert wurden, können Sie die Verbindung per SSO jederzeit aktivieren:

mceclip1.png

Sobald die Verbindung über SSO aktiviert ist, können Sie die Möglichkeit für Ihre Mitarbeitenden deaktivieren, auf die Lucca-Verbindungsseite zu gelangen, die es ihnen ermöglicht, sich mit ihrem Lucca-Login und einem personalisierten Passwort anzumelden, indem Sie „Login/Login-Verbindungspass Lucca“ deaktivieren.

Fall einer Verlängerung des mit der ADFS verknüpften Zertifikats

Wenn Sie eine öffentliche Zugriffs-URL auf Metadaten eingerichtet haben, bleibt unser Authentifizierungsdienst auch im Falle einer Erneuerung aktuell.

Wenn Ihr Zertifikat in Dateiform vorliegt, müssen Sie es wie folgt erneuern: 

mceclip0.png

Inhalt der Seite

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich