Ctrlk

ADFS

Dastra integriert sich mit ADFS. Diese Seite erklärt die Besonderheiten der SSO-Konfiguration mit AD FS

Was ist ADFS?

Die Active Directory Federation Services (allgemein unter dem Akronym ADFS bekannt) sind eine von Microsoft entwickelte Single-Sign-On-Lösung (SSO). Diese Dienste, die ein Bestandteil der Windows-Server-Betriebssysteme sind, ermöglichen Nutzern die Authentifizierung über Active Directory (AD), wenn sie auf eine Anwendung zugreifen möchten, die die integrierte Windows-Authentifizierung (IWA) nicht nutzen kann.

Konfiguration von ADFS in Dastra

Schritt 1: Erstellen Sie einen SAML-Login in Dastra.

Schritt 2: Abrufen des ADFS-Zertifikats

  • Gehen Sie zum Verzeichnis „Certificates" des ADFS-Servers

  • Rufen Sie das .CER-Zertifikat Ihres ADFS-Servers ab, indem Sie das Zertifikat „Token-Signing" verwenden.

  • Klicken Sie auf „View Certificates"

Kopieren Sie den Code des X509-Zertifikats, indem Sie die CER-Datei mit einem Texteditor öffnen.

Fügen Sie den Zertifikatscode in das Zertifikatsfeld ein, das mit „----BEGIN CERTIFICATE-----" beginnt und mit „--------END CERTIFICATE-----" endet.

Die Konfiguration Ihres Logins sollte folgendermaßen aussehen:

Schritt 3: Bewahren Sie die folgenden Werte auf:

  • SP redirect URI (Format: https://account.dastra.eu/xxxxx-xxxx-xxxx-xxxx/Acs): Die SP redirect URI ist die Application Callback URL (das SAML Token wird hierhin gepostet). Die unterstützte Kodierung ist SHA-256 und höher.

  • Identity Provider's Entity id (issuer)

Diese beiden Werte benötigen Sie zur Konfiguration des ADFS-Servers, damit dieser die SSO-Anfragen von Dastra akzeptiert

Konfiguration des Dastra-Clients in ADFS

So konfigurieren Sie das Dastra SSO mit ADFS SSO SAML2P

Schritt 1: Öffnen Sie auf Ihrem ADFS-Server „AD FS Management"

Schritt 2: Klicken Sie rechts auf „Relying Party Trusts" und wählen Sie „Add Relying Party Trust". Dies startet den Assistenten zum Hinzufügen eines Relying Party Trust.

Schritt 3: Im Bildschirm Select Data Source wählen Sie Enter data about the relying party manually.

Schritt 4: Geben Sie einen Display name ein, zum Beispiel „Dastra" und klicken Sie auf „Next"

Schritt 5: Wählen Sie AD FS profile mit SAML 2.0 und klicken Sie auf „Next"

Schritt 6: Klicken Sie auf Next im Bildschirm Configure Certificate ohne ein Zertifikat auszuwählen

Schritt 7: Wählen Sie „Enable support for the SAML 2.0 SSO Web SSO protocol."

Im Feld „Relying party SAML 2.0 SSO service URL" tragen Sie die URL der „SP redirect URI" aus Dastra ein. Diese URL hat das Format: https://account.dastra.eu/xxxx-xxxx-xxxx-xxxx/Acs

Schritt 8: Im Bereich „Add a Relying party trust identifier" fügen Sie zwei Werte hinzu: account.dastra.eu und https://account.dastra.eu

Schritt 9: Klicken Sie auf Weiter bis zum Ende des Prozesses.

Schritt 10: Aktivieren Sie das Kontrollkästchen Open the Edit Claim Rules dialog bevor Sie auf „Fertig stellen" klicken. Ein Fenster „Edit Claim Rules" wird dann angezeigt.

Schritt 11: Klicken Sie auf Add Rule und wählen Sie die „Claim Rule": „Send LDAP Attributes as Claims".

Schritt 12: Ordnen Sie die Claims wie folgt zu. Die Claim-Namen können je nach Konfiguration Ihres Servers variieren. Dastra benötigt drei Attribute zum Funktionieren: E-Mail (Pflicht), Vorname und Nachname des Nutzers:

Schritt 13: Klicken Sie auf „Finish" und klicken Sie erneut auf „Add Rule". Wählen Sie dieses Mal den Typ „Transform an Incoming Claim" und klicken Sie auf Weiter.

Schritt 14: Konfigurieren Sie die folgende Regel: Email Address => Name ID => Email

Wenden Sie anschließend die Änderungen an, indem Sie auf „Apply" klicken

Schritt 15: Zurück im Fenster „AD FS Management" klicken Sie rechts auf „Relying Party for Dastra" und wählen Sie „properties". Im Tab Advanced wählen Sie SHA­-256 als sicheren Algorithmus.

Schritt 16: Geschafft!

Abschluss und Tests!

Sobald alles auf beiden Seiten konfiguriert ist, können Sie zu Dastra zurückkehren und einen SSO-Login-Test direkt im Manager starten.

Zuletzt aktualisiert

War das hilfreich?