Konfigurieren der Integration in Active Directory Federation Services

Die Integration basiert auf einer wechselseitigen Kommunikation zwischen ASAP und AD FS. Auf der Active Directory-Seite wird diese Verbindung in der AD FS-Konsole konfiguriert und umfasst die folgenden Schritte:

• Hinzufügen von Vertrauensstellungen für die ASAP-Plattform
• Erstellen von Regeln zum Abrufen der erforderlichen Informationen über Benutzer aus Active Directory, um den Authentifizierungsvorgang abzuschließen
• Exportieren des Zertifikats des Identitätsanbieters

Auf ASAP-Seite sind die URL des AD FS-Dienstes, die Plattform-ID in AD FS und der Inhalt des aus dem AD FS exportierten Identitätsanbieter-Zertifikats erforderlich.

Um die Integration in Active Directory Federation Services zu konfigurieren:

Vertrauensstellungen hinzufügen

1. Klicken Sie in der AD FS-Verwaltungskonsole mit der rechten Maustaste in der Ordnerstruktur auf den Ordner Vertrauensstellung der vertrauenden Seite und wählen Sie im Kontextmenü den Punkt Vertrauensstellung der vertrauenden Seite hinzufügen.

   Der Assistent zum Hinzufügen von Vertrauensstellungen wird gestartet.

2. Wählen Sie im Begrüßungsfenster Ansprüche unterstützend und drücken Sie Weiter.

   

   Dadurch gelangen Sie zum Schritt Datenquelle auswählen.

3. Wählen Sie die Option Daten über die vertrauende Seite manuell eingeben, um die Informationen über Ihre ASAP-Plattform manuell einzugeben, und drücken Sie dann Weiter.

   

   Dadurch gelangen Sie zum Schritt Anzeigename angeben.

4. Geben Sie im Feld Anzeigename den Namen ein, der für die ASAP-Plattform in der AD FS-Konsole angezeigt werden soll, und drücken Sie Weiter.

   Falls erforderlich, können Sie im Feld Hinweise zusätzliche Informationen eingeben.

   

   Dadurch gelangen Sie zum Schritt Zertifikat konfigurieren.

5. Drücken Sie Weiter.

   

   Dadurch gelangen Sie zum Schritt URL konfigurieren.

6. Aktivieren Sie das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren, um den SAML-Support zu aktivieren.
7. Geben Sie im Feld URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite die URL des SAML-Dienstes auf dem ASAP-Server ein und drücken Sie Weiter.

   Kopieren Sie diese Adresse in der ASAP-Weboberfläche im Abschnitt Unternehmenseinstellungen → SSO → URL für SSO-Rückruf (ACS) durch Klick auf die Schaltfläche .

   

   Dadurch gelangen Sie zum Schritt Bezeichner konfigurieren.

8. Richten Sie die ASAP-Plattform-ID in AD FS ein. Gehen Sie hierzu wie folgt vor:
   1. Geben Sie im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite einen beliebigen Namen ein, der als ASAP-Plattform-ID für den AD FS-Dienst dienen soll.
   2. Drücken Sie Hinzufügen.

      

      Die neue ID wird im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite angezeigt.

      Merken oder notieren Sie sich diese ID, damit Sie sie später in der ASAP-Weboberfläche eingeben können.

   3. Drücken Sie Weiter.

      Dadurch gelangen Sie zum Schritt Zugriffssteuerungsrichtlinie auswählen.

9. Wählen Sie eine Zugriffssteuerungsrichtlinie, die den Sicherheitsanforderungen Ihres Unternehmens entspricht, und drücken Sie Weiter.

   

   Dadurch gelangen Sie zum Schritt Bereit zum Hinzufügen der Vertrauensstellung.

10. Überprüfen Sie die zuvor festgelegten Einstellungen. Wenn die Parameter korrekt sind, klicken Sie Weiter.

    

    Dadurch gelangen Sie zum Schritt Fertig stellen.

11. Drücken Sie im letzten Fenster des Assistenten Schließen.

    Der Assistent zum Hinzufügen von Vertrauensstellungen wird geschlossen. Die ASAP-Plattform wird jetzt in der Liste Vertrauensstellungen der vertrauenden Seite angezeigt.

    

Regeln erstellen

1. Wählen Sie in der AD FS-Konsole die ASAP-Plattform in der Liste Vertrauensstellungen der vertrauenden Seite und drücken Sie rechts in der Leiste Aktionen auf Anspruchsausstellungsrichtlinie bearbeiten, um die Regeln zum Abrufen von Benutzerinformationen aus AD FS für die Authentifizierung zu konfigurieren.

   Das Fenster Anspruchsausstellungsrichtlinie für <ID-Name> bearbeiten wird geöffnet.

   Wenn im letzten Fenster des Assistenten zum Hinzufügen von Vertrauensbeziehungen das Kontrollkästchen Anspruchsausstellungs-Richtlinie für diese Anwendung konfigurieren aktiviert ist, wird dieses Fenster automatisch geöffnet.

   

2. Fügen Sie eine Regel zum Abrufen von Benutzer-E-Mail-Adressen aus AD FS hinzu. Gehen Sie hierzu wie folgt vor:
   1. Drücken Sie Regel hinzufügen.

      Der Assistent zum Hinzufügen einer Regel beginnt mit dem Schritt Regeltyp auswählen.

   2. Wenn Sie in der Dropdown-Liste Anspruchsregelvorlage die Vorlage LDAP-Attribute als Ansprüche senden und drücken Sie Weiter.

      

      Dadurch gelangen Sie zum Schritt Anspruchsregel konfigurieren.

   3. Geben Sie im Feld Anspruchsregelname den Namen der Regel ein (zum Beispiel E-Mail).
   4. Wählen Sie in der Liste Zuordnung von LDAP-Attributen zu Typen ausgehender Ansprüche Folgendes aus: E-Mail-Adressen in der Spalte LDAP-Attribut und E-Mail-Adresse in der Spalte Typ des ausgehenden Anspruchs.

      

   5. Drücken Sie Fertig stellen.

   Der Assistent zum Hinzufügen einer Regel wird geschlossen. Die neue Regel wird im Fenster Anspruchsausstellungsrichtlinie für <ID-Name> bearbeiten auf der Registerkarte Ausstellungstransformationsregeln angezeigt.

   

3. Fügen Sie eine Regel hinzu, mit der Benutzer-IDs aus AD FS auf Basis von E-Mail-Adressen abgerufen werden. Gehen Sie hierzu wie folgt vor:
   1. Drücken Sie Regel hinzufügen.

      Der Assistent zum Hinzufügen einer Regel beginnt mit dem Schritt Regeltyp auswählen.

   2. Wählen Sie in der Dropdown-Liste Anspruchsregelvorlage die Vorlage Eingehenden Anspruch transformieren und drücken Sie Weiter.

      

      Dadurch gelangen Sie zum Schritt Anspruchsregel konfigurieren.

   3. Geben Sie im Feld Anspruchsregelname den Namen der Regel ein (zum Beispiel NameID).
   4. Wählen Sie in der Dropdown-Liste Eingehender Anspruchstyp den Punkt E-Mail-Adresse.
   5. Wählen Sie in der Dropdown-Liste Typ des ausgehenden Anspruchs den Punkt Namens-ID.
   6. Wählen Sie in der Dropdown-Liste ID Format des ausgehenden Namens den Punkt E-Mail.
   7. Wählen Sie Alle Anspruchswerte zulassen.

      

   8. Drücken Sie Fertig stellen.

   Der Assistent zum Hinzufügen einer Regel wird geschlossen. Die neue Regel wird im Fenster Anspruchsausstellungsrichtlinie für <ID-Name> bearbeiten auf der Registerkarte Ausstellungstransformationsregeln angezeigt.

   

4. Drücken Sie OK.

   Die Regeln werden erstellt.

Zertifikat exportieren

1. Klicken Sie der AD FS-Konsole im Ordner Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die ASAP-Plattform und wählen Sie Eigenschaften.

   In AD FS wird das Eigenschaftenfenster für die ASAP-Plattform geöffnet.

2. Laden Sie auf der Registerkarte Signatur das Zertifikat ihres Unternehmens hoch. Drücken Sie dazu zuerst die Schaltfläche Hinzufügen und anschließend OK.

   

3. Wählen Sie in der Ordnerstruktur Dienst → Zertifikate.

   

4. Doppelklicken Sie auf das Zertifikat Tokensignatur.

   Ein Fenster mit Informationen über das Zertifikat wird auf der Registerkarte Allgemein geöffnet.

5. Drücken Sie auf der Registerkarte Details auf In Datei kopieren.

   

   Der Zertifikatexport-Assistent wird gestartet.

6. Drücken Sie im Begrüßungsfenster des Einrichtungs-Assistenten auf Weiter.

   

   Dadurch gelangen Sie zum Schritt Format der zu exportierenden Datei.

7. Wählen Sie das Dateiformat Base-64-codiert X.509 (.CER) und drücken Sie Weiter.

   

   Dadurch gelangen Sie zum Schritt Zu exportierende Datei.

8. Geben Sie im Feld Dateiname den Pfad der Datei ein, in welche Sie das Zertifikat exportieren möchten. Geben Sie den Pfad entweder manuell ein oder verwenden Sie die Schaltfläche Durchsuchen und drücken Sie anschließend auf Weiter.

   

   Dadurch gelangen Sie zum Schritt Fertigstellen des Assistenten.

9. Überprüfen Sie die Exporteinstellungen. Wenn alles stimmt, drücken Sie Fertig stellen.

   

10. Drücken Sie im Bestätigungsfenster OK.

    Das Zertifikat wird in die ausgewählte Datei exportiert.

Konfiguration auf der Seite der ASAP-Plattform

1. Wählen Sie in der ASAP-Weboberfläche auf der Registerkarte Unternehmenseinstellungen den Punkt SSO.
2. Geben Sie im Feld URL des Identitätsanbieters die URL im folgenden Format ein:

   <local ADFS address>/adfs/ls/IdpInitiatedSignOn.aspx

   Zum Beispiel https://adfs.example.com/adfs/ls/IdpInitiatedSignOn.aspx.

3. Geben Sie im Feld Entitäts-ID die ASAP-Plattform-ID in AD FS ein, die Sie im Assistenten für neue Vertrauensstellungen beim Schritt Bezeichner konfigurieren angegeben haben.
4. Geben Sie im Feld Signaturzertifikat den Inhalt des aus AD FS exportierten Identitätsanbieter-Zertifikats ein.
5. Klicken Sie auf Speichern.

Die ASAP-Integration in Active Directory Federation Services wurde nun konfiguriert. Aktivieren Sie SSO in der ASAP-Weboberfläche, damit sich Benutzer über SSO beim Schulungsportal anmelden können.

Nach oben