ADFS-Verbindung

Präambel

Die Verbindung der LockSelf-Anwendung mit einem Identitätsverbund erfolgt über das SAMLv2-Protokoll. Es ist daher möglich, sie mit Ihrem ADFS-Unternehmenskonto zu verbinden.

Bevor Sie diese Verbindung einrichten, müssen Sie sicherstellen, dass der IDP HTTPS-Anfragen mit mindestens TLS 1.2 aushandeln kann, um den Konnektor automatisch zu konfigurieren. Versionen unter TLS 1.2 oder SSL-Versionen sind aus Sicherheitsgründen auf dem LockSelf-Webserver deaktiviert.

Wenn die Konfiguration Ihres IDP dies nicht zulässt, muss eine manuelle Konfiguration eingerichtet werden.

Hinweis: Je nach verwendeter Windows Server-Version können Screenshots und verfügbare Optionen leicht variieren.

Schritt 1: IDP-Metadaten in LockSelf hochladen

Dieser erste Schritt besteht darin, die Metadatendatei von Ihrem IDP abzurufen.

In der Regel kann die Metadatendatei (XML-Format) über die folgende URL abgerufen werden: https://FQDN/FederationMetadata/2007-06/FederationMetadata.xml

(wobei FQDN durch den Domainnamen Ihres IDP ersetzt wird)

Rufen Sie diese URL ab und tragen Sie sie in der LockSelf-Anwendung ein. Konsultieren Sie dazu diese Dokumentation: Konfiguration der SSO-Verbindung (nur private Cloud).

Schritt 2: Anwendungsmetadaten abrufen

Nachdem Sie Ihre IDP-Metadatendatei in LockSelf hochgeladen haben, können Sie die Anwendungsmetadaten abrufen, die Sie zur Erstellung des Konnektors benötigen, unter der folgenden URL:

https://FQDN/saml2/metadata

(wobei FQDN durch den Domainnamen Ihrer LockSelf-Installation ersetzt wird)

Schritt 3: Konnektor beim IDP erstellen

Um diese Vorgänge durchzuführen, müssen Sie sich mit Ihrem Windows-Server verbinden und das ADFS-Modul aufrufen.

  • Schritt 1: Klicken Sie im Modul auf „Add Relying Party Trust".

Screenshot_2022-02-08_at_10.46.33_AM.png

  • Schritt 2: Klicken Sie dann auf „Start", um die Konfiguration zu beginnen.

Screenshot_2022-02-08_at_10.48.21_AM.png

Wie in der Präambel erläutert, stehen Ihnen zwei Möglichkeiten zur Konfiguration des Konnektors zur Verfügung.

Wenn Ihr ADFS Verbindungen mit mindestens TLS 1.2 unterstützt, haben Sie die Möglichkeit, die erste Option zu wählen, mit der die Konfiguration über eine URL geladen werden kann. Wählen Sie in diesem Fall das erste Kontrollkästchen und geben Sie die Metadaten-URL der LockSelf-Anwendung ein:

Screenshot_2022-02-08_at_10.51.23_AM.png

Wenn in diesem Schritt ein Fehler auftritt, haben Sie zwei Möglichkeiten:

Dazu müssen Sie die XML-Datei der Anwendung abrufen (verfügbar unter der URL aus Schritt 2) und diese Datei auf den ADFS-Server legen. Anschließend können Sie auf „Browse" klicken und Ihre Datei suchen.

Klicken Sie danach auf „Next".

  • Schritt 3: Wählen Sie einen Namen für den Konnektor. Dieser Name ist nur zur Orientierung; Sie können einen beliebigen Namen wählen. Sie können auch eine Notiz zum Konnektor hinzufügen.

Screenshot_2022-02-08_at_10.57.13_AM.png

  • Schritt 4: Wählen Sie Ihre Verbindungsrichtlinien. Wir empfehlen, in diesem Schritt kein MFA zu konfigurieren, damit die ersten Tests ohne Einschränkungen durchgeführt werden können. Sobald die Tests durchgeführt und validiert wurden, können Sie zu diesem Konnektor zurückkehren und diesen Konfigurationspunkt ändern.

Screenshot_2022-02-08_at_10.58.31_AM.png

  • Schritt 5: Wählen Sie nun die Zugriffsrichtlinie für diesen Konnektor pro Benutzer. Für Verbindungstests empfehlen wir, allen Benutzern die Anmeldung zu erlauben. Einschränkungen können später vorgenommen werden, sobald die Installation überprüft und validiert wurde.

Screenshot_2022-02-08_at_12.19.57_PM.png

  • Schritt 6: Nachdem Sie auf „Next" geklickt haben, überprüfen Sie mehrere Registerkarten der abschließenden Zusammenfassung.
    • Überprüfen Sie auf der Registerkarte „Identifiers", dass die Metadaten-URL der Anwendung vorhanden ist:

Screenshot_2022-02-08_at_12.24.37_PM.png

  •  
    • Überprüfen Sie auf den Registerkarten „Encryption" und „Signature", dass das Zertifikat dem Zertifikat Ihrer LockSelf-Installation entspricht.
       
    • Überprüfen Sie auf der Registerkarte „Endpoints", dass Sie die zwei URLs wie im Screenshot unten haben:

Screenshot_2022-02-08_at_12.56.59_PM.png

  •  
    • Klicken Sie nach Abschluss auf „Next" und dann auf „Close". Ein neues Fenster wird für die Erstellung der Claims-Regeln geöffnet.

Schritt 4: Ersten Anspruch erstellen

Der erste Anspruch ermöglicht es, mehrere Benutzerinformationen an LockSelf zu senden — insbesondere Nachname, Vorname und E-Mail-Adresse zur Authentifizierung in der LockSelf-Anwendung.

  • Schritt 1: Klicken Sie auf „Add Rule".

Screenshot_2022-02-08_at_1.13.32_PM.png

  • Schritt 2: Wählen Sie „Send LDAP Attributes as Claims" aus der Liste und klicken Sie auf „Next".

Screenshot_2022-02-08_at_1.19.34_PM.png

  • Schritt 3:
    • Geben Sie im ersten Feld einen Anspruchsnamen ein. Dieser Name dient nur zur Orientierung.
    • Wählen Sie im Dropdown-Menü „Start" die Option „Active Directory". Ordnen Sie dann die Attribute wie im Screenshot unten zu:

Screenshot_2022-02-08_at_1.29.07_PM.png

Die Elemente der ersten Spalte werden aus der Liste ausgewählt. Hinweis: Wenn Ihr Verzeichnis auf Französisch eingestellt ist, wird Surname als Nom angezeigt.

Die Elemente der zweiten Spalte werden manuell eingetippt. Dies sind die Attributnamen, die LockSelf abrufen muss. Achten Sie darauf, diese genau einzuhalten.

Schritt 5: Zweiten Anspruch erstellen

Der zweite Anspruch ermöglicht es, die Namens-ID des Benutzers an die LockSelf-Anwendung zu senden.

  • Schritt 1: Klicken Sie erneut auf „Add Rule" und wählen Sie im Dropdown-Menü „Transform an Incoming Claim".

Screenshot_2022-02-08_at_1.58.12_PM.png

  • Schritt 2: Der Attributname ist wiederum nur zur Orientierung.
    • Wählen Sie im ersten Dropdown Incoming Claim Type die Option „UPN".
    • Wählen Sie im zweiten Dropdown Outgoing Claim Type die Option „Name ID" (Hinweis: bei französischen ADFS-Instanzen heißt das Feld ID de nom).
    • Wählen Sie schließlich im letzten Dropdown Outgoing name ID format die Option „Email".

Screenshot_2022-09-22_at_10.05.19_AM.png

Klicken Sie auf „Finish".

Schritt 6: Verbindung überprüfen

Sobald diese Schritte abgeschlossen sind, können Sie den Konnektor testen:

  • Schritt 1: Öffnen Sie zum korrekten Testen ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnradsymbol und dann auf „Cache leeren".
     
  • Schritt 2: Geben Sie auf der SSO-Registerkarte Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
  • Schritt 3: Sie werden zum ADFS-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
     
  • Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, wo Sie aufgefordert werden, den PIN-Code für Ihr Konto zu erstellen.

Konsultieren Sie bei Bedarf diese Dokumentation: SSO-Verbindung (Single Sign-On).

Schritt 7: Konnektor aktualisieren

Es gibt zwei Fälle, die eine Aktualisierung des Konnektors erfordern.

  • Fall 1: Manchmal muss eine Aktualisierung der Signaturzertifikate bzw. Token-Verschlüsselung am ADFS-Konnektor vorgenommen werden. In diesem Fall müssen Sie die neue IDP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Konsultieren Sie dazu diese Dokumentation: Konfiguration der SSO-Verbindung (nur private Cloud).
     
  • Fall 2: Wenn ein SSL-Zertifikat-Update an Ihrer LockSelf-Installation durchgeführt wird, müssen Sie den Konnektor im ADFS-Modul aktualisieren.
    • Wenn Sie den Konnektor über die URL erstellt haben: Klicken Sie mit der rechten Maustaste auf den Konnektor und wählen Sie „Update from Federation Metadata":
      Screenshot_2022-03-15_at_1.24.54_PM.png
    • Wenn Sie den Konnektor über die Anwendungsmetadatendatei erstellt haben, müssen Sie die Aktualisierung über PowerShell durchführen. Dazu:

Aktualisiert