Bevor Sie beginnen
Das folgende Dokument beschreibt die Schritte, um eine einmalige Authentifizierung zwischen Ihrem ADFS-Service und den LUCCA-Lösungen einzurichten (Protokoll SAML 2.0).
> Folgendes Beispiel wurde auf ADFS 3.0 erstellt.
Voraussetzungen
- Installation der ADFS-Rolle
Schritt 1: Erstellen der Konfiguration in Lucca
Diese Aktion muss von einem/einer Administrator:in oder einem/einer Benutzer:in mit Zugriff auf das Modul „Authentifizierungs- und SSO-Einstellungen“ ausgeführt werden.
1. Aktivieren Sie die Authentifizierungsmethode, die dem Protokoll entspricht (OAuth 2.0, SAML 2.0 usw.) und Ihr IDP.
2. Rufen Sie unterschiedliche Informationen in den Details des Bereichs „Informationen zum Lucca Service Provider“ ab. In diesem Beispiel handelt es sich um ein SAML 2.0-Protokoll, es bleibt jedoch für andere Protokolle anwendbar:
- Ihre Login-URL;
- Ihre Antwort-URL;
- Ihre Metadaten-URL (nur SAML2.0);
- Ihr Lucca-Identifikator (nur SAML2.0).
Schritt 2: Erstellen einer Vertrauenspartei, d. h. LUCCA
Klicken Sie in der ADFS-Verwaltungsoberfläche in der rechten Spalte Aktionen auf Eine Genehmigung der vertrauenswürdigen Partei hinzufügen.
Folgen Sie den Schritten des Assistenten zum Hinzufügen der Genehmigung einer Vertrauenspartei:
- Wählen Sie eine Datenquelle aus, indem Sie die 1. Option Online oder in einem lokalen Netzwerk veröffentlichte Daten importieren, die die Vertrauenspartei betreffen, auswählen, und die in der Lucca-Schnittstelle kommunizierte Metadaten-URL angeben.
- Geben Sie den vollständigen Namen ein: Sie können den vorab ausgefüllten Wert anpassen: Dies ist der Name, den Ihre ADFS-Konfiguration für LUCCA haben wird
- Wählen Sie die Emissionsautorisierungsregeln: Wählen Sie Zugriff für alle Benutzer:innen auf diese vertrauenswürdige Partei autorisieren aus.
Dann wird eine Übersicht der von LUCCA abgerufenen Informationen angezeigt (Benutzername, Endpunkt, Signatur- und Verschlüsselungszertifikat usw.).
Schritt 3: Senden Sie ein AD-Attribut und einen eindeutigen Benutzernamen
Defaultmäßig wird Ihnen am Ende des vorherigen Schritts die Schnittstelle Anspruchsregeln bearbeiten vom Assistenten angezeigt. Klicken Sie andernfalls in der neu erstellten LUCCA-Konfiguration auf Anspruchsregeln bearbeiten.
Klicken Sie im Tab Emissions-Transformationsregeln auf Regel hinzufügen ...
Wählen Sie LDAP-Attribute als Anspruch senden aus.
Nachdem Sie einen Regelnamen eingegeben haben, wählen Sie den entsprechenden Attributspeicher (hier Active Directory).
Wählen Sie dann ein einzelnes LDAP-Attribut aus, um das von Ihrem ADFS-Dienst ausgegebene Token einzusenden: Dies ist ein einzigartiger Benutzername (E-Mail-Adresse oder Login), der es LUCCA ermöglicht, ihn mit den Feldern für die geschäftliche E-Mail-Adresse/persönliche E-Mail-Adresse oder das Login-Feld der Benutzerdateien abzugleichen .
Wählen Sie abschließend für den Typ des ausgehenden Anspruchs die Option Namens-ID aus.
Schritt 4: Lucca-Einstellungen
Diese Aktion muss von einem/einer Administrator:in durchgeführt werden.
Nach der Konfiguration in Ihrem ADFS-Verwaltungsinterface kehren Sie zu den Authentifizierungseinstellungen von Lucca zurück und geben Sie dort Folgendes ein:
- die Metadaten Ihres ADFS-Dienstes
- das LUCCA-Feld, dem das im Token gesendete AD-Attribut entspricht (Schritt 2): E-Mail-Adresse oder Login
Wir empfehlen eine öffentliche URL für den Zugriff auf die Ihre ADFS-Metadaten. Sie hat in der Regel folgendes Format:
https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml
Sobald diese Informationen eingegeben und gespeichert wurden, können Sie die Verbindung per SSO jederzeit aktivieren:
Sobald die Verbindung über SSO aktiviert ist, können Sie die Möglichkeit für Ihre Mitarbeitenden deaktivieren, auf die Lucca-Verbindungsseite zu gelangen, die es ihnen ermöglicht, sich mit ihrem Lucca-Login und einem personalisierten Passwort anzumelden, indem Sie „Login/Login-Verbindungspass Lucca“ deaktivieren.
Fall einer Verlängerung des mit der ADFS verknüpften Zertifikats
Wenn Sie eine öffentliche Zugriffs-URL auf Metadaten eingerichtet haben, bleibt unser Authentifizierungsdienst auch im Falle einer Erneuerung aktuell.
Wenn Ihr Zertifikat in Dateiform vorliegt, müssen Sie es wie folgt erneuern: