Single Sign-On (SSO) über Microsoft AD FS einrichten

Um einen Single Sign-On über Microsoft AD FS zu ermöglichen, richten Sie diesen über Active Directory Federated Services (AD FS) in der AD FS management console ein.

• Sie sind für die eigene Anbindung selbst verantwortlich. AEB hält jedoch einige Standard-Dokumentationen bereit, die als Beispiele dienen können. Bei Bedarf können Sie sich gerne an den zuständigen AEB-Ansprechpartner wenden.

1. Relying Party Trust konfigurieren

Um den Relying Party Trust zu konfigurieren, müssen Sie ein Administrator oder ein administrativer Benutzer mit erweiterten Rechten sein.

Gehen Sie folgendermaßen vor:

1. Öffnen Sie AD FS management console − Relying Party Trusts.
2. Aktivieren Sie bei den Aktionen auf der rechten Seite unter Add Relying Party Trust die Option Claims aware.
3. Bestätigen Sie mit einem Klick auf Start.
4. Geben Sie die von AEB übermittelte Federation metadata address ein, z. B.: https://test.idp.aeb.com/auth/realms/aeb/broker/<example>/endpoint/descriptor.
5. Klicken Sie auf Next.
6. Wählen Sie einen Anzeigenamen.
7. Legen Sie bei Steps über Access Control Policy fest, welche Benutzer / Gruppen sich an der Applikation anmelden können und ob weitere Sicherheitsfaktoren wie MFA notwendig sind.
8. Schließen Sie die Konfiguration mit Next/Finish ab.

2. Claims konfigurieren

Durch Claims werden die Attribute bestimmt, die das IdP an das IAM von AEB übermittelt. Bei den Anmeldungen werden diese Attribute im Token erwartet.

• Das eindeutige Attribut muss in Form einer E-Mail-Adresse übermittelt werden (<wert>@<domain>) und unterscheidet sich je nach Nutzung von OpenID Connect oder SAML.
• Bei den erweiterten Attributen der Benutzer unterscheidet sich der Friendly Name bei OpenID Connect und SAML nicht.

Bereits festgelegte Attribute

Die folgenden Attribute sind als eindeutige Attribute festgelegt:

Die folgenden Attribute sind als erweiterte Attribute festgelegt:

Durch das folgende Attribut wird die Rolle festgelegt:

Das folgende Attribut ist optional:

• Weitere Attribute erhalten Sie auf Anfrage von AEB.

Regeln für die Claims anlegen

Für die Claims müssen Sie zwei Regeln anlegen:

Regel 1

Gehen Sie folgendermaßen vor:

1. Wählen Sie die angelegte Relying Party Trust aus und klicken Sie rechts im Menü Edit Claim Issuance Policy.
2. Klicken Sie unter Issuance Transform Rules auf Add Rule.
3. Wählen Sie als Vorlage Transform an Incoming Claim aus.
4. Bestimmen Sie einen Namen und passen Sie die Werte entsprechend an, damit der User Principal Name oder alternativ ein abweichendes Attribut als Name ID übermittelt wird.
5. Schließen Sie mit Klick auf Finish ab.

• Wird ein alternatives Attribut verwendet, muss es im Format einer E-Mail-Adresse übermittelt werden: <attribut>@<domäne>.

Regel 2

Gehen Sie folgendermaßen vor:

1. Wählen Sie die angelegte Relying Party Trust aus und klicken Sie rechts im Menü Edit Claim Issuance Policy.
2. Klicken Sie unter Issuance Transform Rules auf Add Rule.
3. Wählen Sie als Vorlage Send LDAP Attributes as Claims aus.
4. Geben Sie einen Namen ein, wählen Sie als Attribute store den Wert Active Directory und legen Sie ein Mapping für die Attribute E-Mail Address, Surname und Given-Name an.
5. Schließen Sie mit Klick auf Finish ab.

3. Gruppen des Active Directory im Token übergeben (optional)

• Diese Option ist für Sie relevant, falls Sie sich für eine Rollenvergabe über Ihren Identity Provider entschieden haben.

Gehen Sie folgendermaßen vor:

1. Wählen Sie die angelegte Relying Party Trust aus und klicken Sie rechts im Menü Edit Claim Issuance Policy.
2. Legen Sie eine neue Regel und für jede Gruppe ein entsprechendes Mapping an.
3. Schließen Sie mit Klick auf Finish ab.

Vorherige Schritte beim Einrichten des Single Sign-on (SSO)

1. Single Sign-on (SSO) über ein Identity and Access Management System realisieren
2. Endpunkt für Single Sign-on (SSO) einrichten
3. Rollen und Rechte für Single Sign-on (SSO) erstellen