ADFS-Anbindung

Vorbemerkung

Die Anbindung der LockSelf-Anwendung an einen Identitätsverbund erfolgt über das Protokoll SAMLv2. Es ist daher möglich, sie mit Ihrem ADFS-Unternehmenskonto zu verbinden.

Bevor Sie diese Anbindung einrichten, müssen Sie prüfen, ob der IdP HTTPS-Anfragen mit mindestens TLS 1.2 aushandeln kann, um den Konnektor automatisch zu konfigurieren. Versionen unter TLS 1.2 oder SSL-Versionen sind aus Sicherheitsgründen auf dem LockSelf-Webserver deaktiviert.

Wenn die Konfiguration Ihres IdP dies nicht zulässt, müssen Sie eine manuelle Konfiguration einrichten.

Bitte beachten Sie, dass je nach verwendeter Windows-Server-Version die Screenshots und die angebotenen Optionen leicht abweichen können.

Schritt 1: Die IdP-Metadaten in LockSelf hochladen

Dieser erste Schritt besteht darin, die Metadatendatei aus Ihrem IdP abzurufen.

In der Regel kann die Metadatendatei (XML-Format) über die folgende URL abgerufen werden: https://FQDN/FederationMetadata/2007-06/FederationMetadata.xml

(wobei FQDN den Domainnamen Ihres IdP ersetzt)

Rufen Sie diese URL ab und tragen Sie sie in die LockSelf-Anwendung ein. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung (nur Private Cloud).

Schritt 2: Die Metadaten der Anwendung abrufen

Sobald Ihre IdP-Metadatendatei in LockSelf hochgeladen wurde, können Sie die Metadaten der Anwendung abrufen, die Ihnen zum Erstellen des Konnektors dienen, und zwar unter folgender URL:

https://FQDN/saml2/metadata

(wobei FQDN den Domainnamen Ihrer LockSelf-Installation ersetzt)

Schritt 3: Den Konnektor auf dem IdP erstellen

Um die Vorgänge durchzuführen, müssen Sie sich auf Ihrem Windows-Server anmelden und das ADFS-Modul aufrufen.

  • Schritt 1: Klicken Sie im Modul auf „Add Relying Party Trust"

Screenshot_2022-02-08_at_10.46.33_AM.png

  • Schritt 2: Klicken Sie dann auf „Start", um die Konfiguration zu starten

Screenshot_2022-02-08_at_10.48.21_AM.png

Wie in der Vorbemerkung angegeben, haben Sie zwei Möglichkeiten zur Konfiguration des Konnektors.

Wenn Ihr ADFS Verbindungen mit mindestens TLS 1.2 zulässt, können Sie die erste Option wählen, mit der die Konfiguration über eine URL geladen wird. Wählen Sie in diesem Fall das erste Kontrollkästchen aus und geben Sie die Metadaten-URL der LockSelf-Anwendung ein:

Screenshot_2022-02-08_at_10.51.23_AM.png

Wenn Sie in diesem Schritt einen Fehler erhalten, haben Sie zwei Lösungen:

Dazu müssen Sie die XML-Datei der Anwendung abrufen (verfügbar durch direkten Aufruf der URL aus Schritt 2) und diese Datei auf den ADFS-Server legen. Anschließend können Sie auf „Browse" klicken und Ihre Datei suchen.

Klicken Sie anschließend auf „Next".

  • Schritt 3: Wählen Sie einen Namen für den Konnektor. Dieser Name dient nur zur Orientierung; Sie können einen beliebigen wählen. Sie können auch eine Notiz zum Konnektor hinzufügen.

Screenshot_2022-02-08_at_10.57.13_AM.png

  • Schritt 4: Wählen Sie Ihre Verbindungsrichtlinien. Wir empfehlen, in diesem Schritt keine MFA zu konfigurieren, damit Sie die ersten Tests ohne Einschränkung durchführen können. Sobald die Tests durchgeführt und validiert wurden, können Sie zu diesem Konnektor zurückkehren und diesen Konfigurationspunkt ändern.

Screenshot_2022-02-08_at_10.58.31_AM.png

  • Schritt 5: Wählen Sie nun die Zugriffsrichtlinie für diesen Konnektor pro Benutzer. Für die Verbindungstests empfehlen wir, allen Benutzern die Verbindung zu erlauben. Sie können später eine Einschränkung vornehmen, sobald die Installation überprüft und validiert wurde.

Screenshot_2022-02-08_at_12.19.57_PM.png

  • Schritt 6: Sobald Sie auf „Next" geklickt haben, überprüfen Sie mehrere Registerkarten der abschließenden Zusammenfassung.
    • Prüfen Sie in der Registerkarte Identifiers, dass die Metadaten-URL der Anwendung vorhanden ist:

Screenshot_2022-02-08_at_12.24.37_PM.png

    • Prüfen Sie in den Registerkarten Encryption und Signature, dass das Zertifikat dem Zertifikat Ihrer LockSelf-Installation entspricht.
    • Prüfen Sie in der Registerkarte Endpoints, dass Sie die beiden URLs wie im Screenshot unten haben:

Screenshot_2022-02-08_at_12.56.59_PM.png

    • Klicken Sie anschließend auf „Next" und dann auf „Close". Es erscheint dann ein neues Fenster zur Erstellung der Claim-Regeln.

Schritt 4: Den ersten Claim erstellen

Der erste Claim ermöglicht es, mehrere Informationen über den Benutzer an LockSelf zu senden. Insbesondere seinen Nachnamen, seinen Vornamen und seine E-Mail-Adresse, damit er in der LockSelf-Anwendung authentifiziert werden kann.

  • Schritt 1: Klicken Sie auf „Add Rule"

Screenshot_2022-02-08_at_1.13.32_PM.png

  • Schritt 2: Wählen Sie aus der Liste „Send LDAP Attributes as Claims" und klicken Sie dann auf „Next"

Screenshot_2022-02-08_at_1.19.34_PM.png

  • Schritt 3:
    • Schreiben Sie in das erste Feld einen Claim-Namen. Dieser Name dient nur zur Orientierung.
    • Wählen Sie im Auswahlmenü „Start" „Active Directory". Ordnen Sie dann die Attribute wie im Screenshot unten zu:

Screenshot_2022-02-08_at_1.29.07_PM.png

Die Elemente der ersten Spalte sind aus der Liste auszuwählen. Bitte beachten Sie: Wenn Ihr Verzeichnis auf Französisch ist, wird Surname als Nom angezeigt.

Die Elemente der zweiten Spalte sind über die Tastatur einzugeben. Dies sind die Attributnamen, die von LockSelf abgerufen werden müssen. Achten Sie darauf, sie genau einzuhalten.

Schritt 5: Den zweiten Claim erstellen

Der zweite Claim ermöglicht es, die Name ID des Benutzers an die LockSelf-Anwendung zu senden.

  • Schritt 1: Klicken Sie erneut auf „Add Rule" und wählen Sie im Dropdown-Menü „Transform an Incoming Claim".

Screenshot_2022-02-08_at_1.58.12_PM.png

  • Schritt 2: Der Name des Attributs dient erneut nur zur Orientierung.
    • Wählen Sie im ersten Dropdown-Menü Incoming Claim Type „UPN"
    • Wählen Sie im zweiten Dropdown-Menü Outgoing Claim Type „Name ID" (bitte beachten Sie, dass bei ADFS auf Französisch das Feld ID de nom heißt)
    • Wählen Sie schließlich im letzten Dropdown-Menü Outgoing name ID format, „Email".

Screenshot_2022-09-22_at_10.05.19_AM.png

Klicken Sie auf „Finish".

Schritt 6: Die Verbindung überprüfen

Sobald diese Schritte ausgeführt sind, können Sie den Konnektor testen:

  • Schritt 1: Um korrekt testen zu können, öffnen Sie ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnrad und dann auf „Cache leeren".
  • Schritt 2: Geben Sie auf der Registerkarte SSO Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
  • Schritt 3: In diesem Schritt werden Sie zum ADFS-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
  • Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, das Sie auffordert, den Ihrem Konto zugeordneten PIN-Code zu erstellen.

Sehen Sie bei Bedarf in dieser Dokumentation nach: Die SSO-Anmeldung (Single Sign-On).

Schritt 7: Den Konnektor aktualisieren

Zwei Fälle erfordern eine Aktualisierung des Konnektors.

  • Fall 1: Mitunter muss eine Aktualisierung der Signatur-/Token-Verschlüsselungszertifikate am ADFS-Konnektor durchgeführt werden. In diesem Fall müssen Sie die neue IdP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung (nur Private Cloud).
  • Fall 2: Wenn eine Aktualisierung der SSL-Zertifikate auf Ihrer LockSelf-Installation vorgenommen wird, müssen Sie den Konnektor im ADFS-Modul aktualisieren.
    • Wenn Sie den Konnektor über die URL erstellt haben: Sie können mit der rechten Maustaste auf den Konnektor klicken und auf „Update from Federation Metadata" klicken:
      Screenshot_2022-03-15_at_1.24.54_PM.png
    • Wenn Sie den Konnektor über die Metadatendatei der Anwendung erstellt haben, müssen Sie die Aktualisierung über PowerShell durchführen. Dazu:
      • Öffnen Sie eine PowerShell-Sitzung als Administrator
      • Führen Sie den Befehl aus

        Update-AdfsRelyingPartyTrust -TargetName "[CONNECTOR_NAME]" -Metadatafile [FederationMetadata.xml]

Aktualisiert