Um einen Single Sign-On über Microsoft AD FS zu ermöglichen, richten Sie diesen über Active Directory Federated Services (AD FS) in der AD FS management console ein.
- Sie sind für die eigene Anbindung selbst verantwortlich. AEB hält jedoch einige Standard-Dokumentationen bereit, die als Beispiele dienen können. Bei Bedarf können Sie sich gerne an den zuständigen AEB-Ansprechpartner wenden.
1. Relying Party Trust konfigurieren
Um den Relying Party Trust zu konfigurieren, müssen Sie ein Administrator oder ein administrativer Benutzer mit erweiterten Rechten sein.
Gehen Sie folgendermaßen vor:
- Öffnen Sie AD FS management console − Relying Party Trusts.
- Aktivieren Sie bei den Aktionen auf der rechten Seite unter Add Relying Party Trust die Option Claims aware.
- Bestätigen Sie mit einem Klick auf Start.
- Geben Sie die von AEB übermittelte Federation metadata address ein, z. B.: https://test.idp.aeb.com/auth/realms/aeb/broker/<example>/endpoint/descriptor.
- Klicken Sie auf Next.
- Wählen Sie einen Anzeigenamen.
- Legen Sie bei Steps über Access Control Policy fest, welche Benutzer / Gruppen sich an der Applikation anmelden können und ob weitere Sicherheitsfaktoren wie MFA notwendig sind.
- Schließen Sie die Konfiguration mit Next/Finish ab.
2. Claims konfigurieren
Durch Claims werden die Attribute bestimmt, die das IdP an das IAM von AEB übermittelt. Bei den Anmeldungen werden diese Attribute im Token erwartet.
- Das eindeutige Attribut muss in Form einer E-Mail-Adresse übermittelt werden (<wert>@<domain>) und unterscheidet sich je nach Nutzung von OpenID Connect oder SAML.
- Bei den erweiterten Attributen der Benutzer unterscheidet sich der Friendly Name bei OpenID Connect und SAML nicht.
Bereits festgelegte Attribute
Die folgenden Attribute sind als eindeutige Attribute festgelegt:
Attribut | Beschreibung | Wert | Format |
---|---|---|---|
OpenID Connect‒preferred_username | Eindeutiger Wert des Benutzers, z. B. bei Microsoft der User Principal Name. | Max.Mustermann@mm.com | <String> |
SAML‒nameID | Eindeutiger Wert, z. B. als Policy Format E-Mail. | Max.Mustermann@mm.com | <String> |
Die folgenden Attribute sind als erweiterte Attribute festgelegt:
Attribut | Beschreibung | Wert | Format |
---|---|---|---|
given_name | Vorname des Benutzers | Max | <String> |
family_name | Nachname des Benutzers | Mustermann | <String> |
E-Mail-Adresse oder alternativ ein anderes Attribut inklusive der Domäne <wert>@<domain>. | Max.Mustermann@mm.com | <String> |
Durch das folgende Attribut wird die Rolle festgelegt:
Attribut | Beschreibung | Möglicher Wert |
---|---|---|
roles | Rollen des Benutzers, in der Regel in der Form einer ArrayList | clientAdmin |
Das folgende Attribut ist optional:
Attribut | Beschreibung | Wert | Format |
---|---|---|---|
alternative_username | Alternativer Benutzername, der in Applikationen verwendet werden kann | M12345 | <String> |
- Weitere Attribute erhalten Sie auf Anfrage von AEB.
Regeln für die Claims anlegen
Für die Claims müssen Sie zwei Regeln anlegen:
Regel 1
Gehen Sie folgendermaßen vor:
- Wählen Sie die angelegte Relying Party Trust aus und klicken Sie rechts im Menü Edit Claim Issuance Policy.
- Klicken Sie unter Issuance Transform Rules auf Add Rule.
- Wählen Sie als Vorlage Transform an Incoming Claim aus.
- Bestimmen Sie einen Namen und passen Sie die Werte entsprechend an, damit der User Principal Name oder alternativ ein abweichendes Attribut als Name ID übermittelt wird.
- Schließen Sie mit Klick auf Finish ab.
- Wird ein alternatives Attribut verwendet, muss es im Format einer E-Mail-Adresse übermittelt werden: <attribut>@<domäne>.
Regel 2
Gehen Sie folgendermaßen vor:
- Wählen Sie die angelegte Relying Party Trust aus und klicken Sie rechts im Menü Edit Claim Issuance Policy.
- Klicken Sie unter Issuance Transform Rules auf Add Rule.
- Wählen Sie als Vorlage Send LDAP Attributes as Claims aus.
- Geben Sie einen Namen ein, wählen Sie als Attribute store den Wert Active Directory und legen Sie ein Mapping für die Attribute E-Mail Address, Surname und Given-Name an.
- Schließen Sie mit Klick auf Finish ab.
3. Gruppen des Active Directory im Token übergeben (optional)
- Diese Option ist für Sie relevant, falls Sie sich für eine Rollenvergabe über Ihren Identity Provider entschieden haben.
Gehen Sie folgendermaßen vor:
- Wählen Sie die angelegte Relying Party Trust aus und klicken Sie rechts im Menü Edit Claim Issuance Policy.
- Legen Sie eine neue Regel und für jede Gruppe ein entsprechendes Mapping an.
- Schließen Sie mit Klick auf Finish ab.
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.