# ADFS

## Was ist ADFS?

Die Active Directory Federation Services (allgemein unter dem Akronym ADFS bekannt) sind eine von Microsoft entwickelte Single-Sign-On-Lösung (SSO). Diese Dienste, die ein Bestandteil der Windows-Server-Betriebssysteme sind, ermöglichen Nutzern die Authentifizierung über Active Directory (AD), wenn sie auf eine Anwendung zugreifen möchten, die die integrierte Windows-Authentifizierung (IWA) nicht nutzen kann.

## **Konfiguration von ADFS in Dastra**

**Schritt 1: Erstellen Sie einen SAML-Login in Dastra.**

* Gehen Sie auf die [SSO-Konfigurationsseite von Dastra](https://app.dastra.eu/general-settings/sso)
* Klicken Sie auf „SSO-Login hinzufügen"
* Wählen Sie **SAML** als „**SSO-Protokoll**"-Typ
* Im Feld „Identity Provider's Entity id (issuer)" geben Sie die folgende URL ein: [**http**://\<adfs server url>/adfs/services/trust](http://fs.saur.fr/adfs/services/trust)
* Im Feld „**Identity Provider single sign on url**": [**https**://\<adfs server url>](http://fs.saur.fr/adfs/services/trust)/adfs/ls

**Schritt 2: Abrufen des ADFS-Zertifikats**

* Gehen Sie zum Verzeichnis „**Certificates**" des ADFS-Servers
* Rufen Sie das .CER-Zertifikat Ihres ADFS-Servers ab, indem Sie das Zertifikat „**Token-Signing**" verwenden.

![](/files/ZKfR8NQdV2MXggJe202T)

* Klicken Sie auf „**View Certificates**"

![](/files/acQkdpjuzfUCABAjIR3n)

Kopieren Sie den Code des X509-Zertifikats, indem Sie die CER-Datei mit einem Texteditor öffnen.

Fügen Sie den Zertifikatscode in das Zertifikatsfeld ein, das mit „----BEGIN CERTIFICATE-----" beginnt und mit „--------END CERTIFICATE-----" endet.

Die Konfiguration Ihres Logins sollte folgendermaßen aussehen:

![](/files/ab0eQnqEcgPvT7YlRFjW)

**Schritt 3**: Bewahren Sie die folgenden Werte auf:

* **SP redirect URI (Format: <https://account.dastra.eu/xxxxx-xxxx-xxxx-xxxx/Acs>):** Die SP redirect URI ist die Application Callback URL (das SAML Token wird hierhin gepostet). Die unterstützte Kodierung ist SHA-256 und höher.
* **Identity Provider's Entity id (issuer)**

Diese beiden Werte benötigen Sie zur Konfiguration des ADFS-Servers, damit dieser die SSO-Anfragen von Dastra akzeptiert

## Konfiguration des Dastra-Clients in ADFS

So konfigurieren Sie das Dastra SSO mit ADFS SSO SAML2P

**Schritt 1**: Öffnen Sie auf Ihrem ADFS-Server „AD FS Management"

**Schritt 2:** Klicken Sie rechts auf **„Relying Party Trusts**" und wählen Sie „**Add Relying Party Trust**". Dies startet den Assistenten zum Hinzufügen eines **Relying Party Trust**.

![](/files/QYKIPogoDqkQQu7fUlyV)

**Schritt 3:** Im Bildschirm ***Select Data Source*** wählen Sie ***Enter data about the relying party manually***.

![](/files/OgLN0t8ZduKQL2K3j7Ux)

**Schritt 4:** Geben Sie einen ***Display name** ein, zum Beispiel **„Dastra"*** *und klicken Sie auf **„Next"***

**Schritt 5:** Wählen Sie ***AD FS profile*** mit SAML 2.0 und klicken Sie auf „**Next**"

**Schritt 6**: Klicken Sie auf ***Next*** im Bildschirm ***Configure Certificate** ohne ein Zertifikat auszuwählen*

**Schritt 7:** Wählen Sie „***Enable support for the SAML 2.0 SSO Web SSO protocol***."

![](/files/cXQe6R7gEsIbhS6wCa6x)

Im Feld „Relying party SAML 2.0 SSO service URL" tragen Sie die URL der „**SP redirect URI**" aus Dastra ein. Diese URL hat das Format: <https://account.dastra.eu/xxxx-xxxx-xxxx-xxxx/Acs>

**Schritt 8**: Im Bereich „**Add a Relying party trust identifier**" **fügen Sie zwei Werte hinzu**: *account.dastra.eu* und *<https://account.dastra.eu>*

**Schritt 9**: Klicken Sie auf Weiter bis zum Ende des Prozesses.

**Schritt 10**: Aktivieren Sie das Kontrollkästchen ***Open the Edit Claim Rules dialog*** bevor Sie auf „Fertig stellen" klicken. Ein Fenster „***Edit Claim Rules"*** wird dann angezeigt.

![](/files/84ovOGbqHwPiENyf0kHy)

\
**Schritt 11**: Klicken Sie auf ***Add Rule*** und wählen Sie die „Claim Rule": „***Send LDAP Attributes as Claims"***.

![](/files/e8vf0g9jPT7UDvaZ7Ldn)

**Schritt 12**: Ordnen Sie die Claims wie folgt zu. Die Claim-Namen können je nach Konfiguration Ihres Servers variieren. Dastra benötigt drei Attribute zum Funktionieren: E-Mail (Pflicht), Vorname und Nachname des Nutzers:

![](/files/aMyYeDyD2LKXf78Fb4dD)

**Schritt 13**: Klicken Sie auf „**Finish**" und klicken Sie erneut auf „**Add Rule**". Wählen Sie dieses Mal den Typ „***Transform an Incoming Claim"** und klicken Sie auf Weiter.*

**Schritt 14:** Konfigurieren Sie die folgende Regel: **Email Address => Name ID => Email**

![](/files/RVFHIsRS5llG7m6AYnH0)

Wenden Sie anschließend die Änderungen an, indem Sie auf „Apply" klicken

**Schritt 15**: Zurück im Fenster „**AD FS Management**" klicken Sie rechts auf „**Relying Party for Dastra**" und wählen Sie „**properties**". Im Tab ***Advanced*** wählen Sie **SHA­-256** als sicheren Algorithmus.<br>

**Schritt 16**: Geschafft!

## **Abschluss und Tests!**

Sobald alles auf beiden Seiten konfiguriert ist, können Sie zu Dastra zurückkehren und einen SSO-Login-Test direkt im Manager starten.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/de/features/settings/single-sign-on-sso/adfs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.