ADFS
Dastra integreert met Adfs, deze pagina legt de details uit van de configuratie van SSO met AD FS
Last updated
Was this helpful?
Dastra integreert met Adfs, deze pagina legt de details uit van de configuratie van SSO met AD FS
Last updated
Was this helpful?
Active Directory Federation Services (meestal ADFS genoemd) is een single sign-on (SSO) oplossing ontworpen door Microsoft. Met deze services, die een onderdeel zijn van Windows Server-besturingssystemen, kunnen gebruikers zich authenticeren via Active Directory (AD) wanneer ze toegang willen tot een applicatie die geen Integrated Windows Authentication (IWA) kan gebruiken.
ADFS configureren in Dastra
Stap 1: Maak een SAML login aan in Dastra*.
Ga naar de
Klik op "Een SSO-login toevoegen".
Selecteer SAML als het type "SSO Protocol".
Voer in het veld "Identity Provider's Entity id (issuer)" de volgende url in:
Voer in het veld "Identity Provider single sign on url" de volgende url in: /adfs/ls
Stap 2: Het ADFS-certificaat ophalen".
Ga naar de map "Certificates" op de ADFS-server.
Haal het .CER-certificaat op van uw ADFS-server met het "Token-Signing"-certificaat.
Klik op "Bekijk Certificaten".
Kopieer de X509 Certificaat code door het CER bestand te openen met een tekstverwerker.
Voeg de certificaat code in in het certificaat veld dat begint met "----BEGIN CERTIFICATE-----" en eindigt met "--------END CERTIFICATE-----".
Uw aanmeldingsconfiguratie zou er als volgt uit moeten zien:
Stap 3: Bewaar de volgende waarden:
SP redirect URI (formaat: https://account.dastra.eu/xxxxx-xxxx-xxxx-xxxx/Acs) :*De SP redirect URI is Application Callback URL (SAML Token wordt hier gepost). De ondersteunde coderingen zijn SHA 256 en hoger.
Identity id van de Identity Provider (uitgever).
Deze twee waarden worden gebruikt om de ADFS server te configureren om Dastra SSO verzoeken te accepteren.
Zo configureer je Dastra SSO met ADFS SSO SAML2P
Stap 1: Open "AD FS Management" op uw ADFS-server.
**Stap 2: Klik met de rechtermuisknop op "Relying Party Trusts" en selecteer "Add Relying Party Trust". Hiermee wordt de wizard Add Relying Party Trust gestart.
Stap 3: Kies in het scherm Select Data Source de optie Envoer gegevens over de betrouwbare partij handmatig in.
Stap 4:Voer een _Display naam in, bijvoorbeeld "Dastra"_ en klik op "Volgende".
Stap 5: Kies het _AD FS profiel**_ met SAML 2.0 en klik op "Next".
Stap 6: Klik op _Next_ in het scherm _Configure Certificate** zonder een certificaat te kiezen_.
Stap 7: Selecteer "Support for the SAML 2.0 SSO Web SSO protocol inschakelen".
In het veld "Relying party SAML 2.0 SSO service URL: zet de url van "SP redirect URI" aanwezig in de Dastra. Deze url heeft de vorm: https://account.dastra.eu/xxxx-xxxx-xxxx-xxxx/Acs
stap 8: Voeg in de sectie "Add a Relying party trust identifier" twee waarden toe** : account.dastra.eu en https://account.dastra.eu
**Stap 9: Klik op Volgende om het proces te voltooien.
Stap 10: Schakel het selectievakje _Het dialoogvenster Claimregels bewerken openen_ in voordat u op "Voltooien" klikt. Er verschijnt dan een venster "_Declaratieregels bewerken"**_.
Stap 11: Klik op _Add Rule_ en kies de "Claim Rule": "_Send LDAP Attributes as Claims"**_.
Stap 12: Breng de claims als volgt in kaart, de claim namen kunnen variëren afhankelijk van je server configuratie. Dastra heeft drie attributen nodig om te functioneren: Email (Verplicht), Naam en Voornaam van de gebruiker :
Stap 13: Klik op "Voltooien" en klik weer op "Regel toevoegen". Kies deze keer het type "_Transform an Incoming Claim"** en klik op Next.
Stap 14: Configureer de volgende regel : E-mailadres => Naam-ID => E-mail.
Pas dan de veranderingen toe door op "Toepassen" te klikken.
Stap 15: Terug in het "AD FS Management"" venster, klik met de rechtermuisknop op "Verbruikende partij voor Dastra" en kies "Eigenschappen". In het tabblad Advanced kiest u SHA-256 als beveiligd algoritme.
**Stap 16: Het is je gelukt!
Zodra alles aan beide kanten is geconfigureerd, kunt u terugkeren naar Dastra en direct in de manager een SSO aanmeldtest uitvoeren.
