Wat is ADFS?

Active Directory Federation Services (meestal ADFS genoemd) is een single sign-on (SSO) oplossing ontworpen door Microsoft. Met deze services, die een onderdeel zijn van Windows Server-besturingssystemen, kunnen gebruikers zich authenticeren via Active Directory (AD) wanneer ze toegang willen tot een applicatie die geen Integrated Windows Authentication (IWA) kan gebruiken.

ADFS configureren in Dastra

Stap 1: Maak een SAML login aan in Dastra*.

• Ga naar de Dastra SSO-configuratiepagina

• Klik op "Een SSO-login toevoegen".

• Selecteer SAML als het type "SSO Protocol".

• Voer in het veld "Identity Provider's Entity id (issuer)" de volgende url in: http:///adfs/services/trust

• Voer in het veld "Identity Provider single sign on url" de volgende url in: https:///adfs/ls

Stap 2: Het ADFS-certificaat ophalen".

• Ga naar de map "Certificates" op de ADFS-server.

• Haal het .CER-certificaat op van uw ADFS-server met het "Token-Signing"-certificaat.

• Klik op "Bekijk Certificaten".

Kopieer de X509 Certificaat code door het CER bestand te openen met een tekstverwerker.

Voeg de certificaat code in in het certificaat veld dat begint met "----BEGIN CERTIFICATE-----" en eindigt met "--------END CERTIFICATE-----".

Uw aanmeldingsconfiguratie zou er als volgt uit moeten zien:

Stap 3: Bewaar de volgende waarden:

• SP redirect URI (formaat: https://account.dastra.eu/xxxxx-xxxx-xxxx-xxxx/Acs) :*De SP redirect URI is Application Callback URL (SAML Token wordt hier gepost). De ondersteunde coderingen zijn SHA 256 en hoger.

• Identity id van de Identity Provider (uitgever).

Deze twee waarden worden gebruikt om de ADFS server te configureren om Dastra SSO verzoeken te accepteren.

De Dastra-client configureren in ADFS

Zo configureer je Dastra SSO met ADFS SSO SAML2P

Stap 1: Open "AD FS Management" op uw ADFS-server.

**Stap 2: Klik met de rechtermuisknop op "Relying Party Trusts" en selecteer "Add Relying Party Trust". Hiermee wordt de wizard Add Relying Party Trust gestart.

Stap 3: Kies in het scherm Select Data Source de optie Envoer gegevens over de betrouwbare partij handmatig in.

Stap 4:Voer een _Display naam in, bijvoorbeeld "Dastra"_ en klik op "Volgende".

Stap 5: Kies het _AD FS profiel**_ met SAML 2.0 en klik op "Next".

Stap 6: Klik op _Next_ in het scherm _Configure Certificate** zonder een certificaat te kiezen_.

Stap 7: Selecteer "Support for the SAML 2.0 SSO Web SSO protocol inschakelen".

In het veld "Relying party SAML 2.0 SSO service URL: zet de url van "SP redirect URI" aanwezig in de Dastra. Deze url heeft de vorm: https://account.dastra.eu/xxxx-xxxx-xxxx-xxxx/Acs

stap 8: Voeg in de sectie "Add a Relying party trust identifier" twee waarden toe** : account.dastra.eu en https://account.dastra.eu

**Stap 9: Klik op Volgende om het proces te voltooien.

Stap 10: Schakel het selectievakje _Het dialoogvenster Claimregels bewerken openen_ in voordat u op "Voltooien" klikt. Er verschijnt dan een venster "_Declaratieregels bewerken"**_.

Stap 11: Klik op _Add Rule_ en kies de "Claim Rule": "_Send LDAP Attributes as Claims"**_.

Stap 12: Breng de claims als volgt in kaart, de claim namen kunnen variëren afhankelijk van je server configuratie. Dastra heeft drie attributen nodig om te functioneren: Email (Verplicht), Naam en Voornaam van de gebruiker :

Stap 13: Klik op "Voltooien" en klik weer op "Regel toevoegen". Kies deze keer het type "_Transform an Incoming Claim"** en klik op Next.

Stap 14: Configureer de volgende regel : E-mailadres => Naam-ID => E-mail.

Pas dan de veranderingen toe door op "Toepassen" te klikken.

Stap 15: Terug in het "AD FS Management"" venster, klik met de rechtermuisknop op "Verbruikende partij voor Dastra" en kies "Eigenschappen". In het tabblad Advanced kiest u SHA-256 als beveiligd algoritme.

**Stap 16: Het is je gelukt!

Afsluiten en testen!

Zodra alles aan beide kanten is geconfigureerd, kunt u terugkeren naar Dastra en direct in de manager een SSO aanmeldtest uitvoeren.