Verwendung von ADFS mit Central
So integrieren Sie Central mit Microsoft Active Directory Federation Services.
Voraussetzung: ADFS einrichten
Richten Sie die Active-Directory-Verbunddienste (ADFS) in Ihrem internen Servernetz ein, bevor Sie fortfahren.
Eine Live-ADFS-Umgebung mit einem extern adressierbaren Microsoft Active Directory Federation Services (ADFS)-Server muss konfiguriert werden, bevor die Verbundauthentifizierung für den Host mit ADFS implementiert wird.
Bei ADFS handelt es sich um ein auf Rechnern mit Windows-Server-Betriebssystemen installiertes Softwaremodul, über das Benutzer mittels Single Sign-On (Einmalanmeldung) über organisatorische Grenzen hinweg auf Systeme und Anwendungen zugreifen können. Nähere Informationen finden Sie hier:
- Microsoft-Support: Erklärung wichtiger ADFS-Konzepte (in englischer Sprache)
- Microsoft-Support: Benutzerhandbuch (in englischer Sprache)
Aufgabe 1: Bereitstellung von Informationen an GoTo
Geben Sie die relevanten Informationen an GoTo und wir nehmen die Anpassungen auf Ihrem Konto vor. Wenden Sie sich an Ihren Kundenbetreuer, um das ADFS-Verfahren einzuleiten.
Aufgabe 2: Aufbau eines Vertrauensverhältnisses
Fügen Sie die Host-Software als Relying Party Trust in AD FS 2.0 Management hinzu.
- Öffnen Sie in AD FS 2.0 Management den Assistenten "Add Relying Party Trust", indem Sie zu gehen.
- Stellen Sie die Daten wie folgt ein:
Tab Eingabe oder Aktion Datenquelle auswählen Wählen Sie Daten über die vertrauende Seite manuell eingeben aus. einen Anzeigenamen angeben Geben Sie LogMeIn-Authentifizierung als Anzeigenamen ein. Profil wählen Wählen Sie AD FS 2.0-Profil aus. URL konfigurieren Geben Sie die SAML-Assertionsverbraucher-Endpunkt-URL ein: https://accounts.logme.in/federated/saml2.aspx Identifikatoren konfigurieren Die folgende URL muss zur Liste der Bezeichner der vertrauenden Seite hinzugefügt werden: https://accounts.logme.in Wählen Sie Regeln für die Ausgabeberechtigung Wählen Sie Allen Benutzern Zugriff auf diese vertrauende Seite gewähren aus. Bereit für mehr Vertrauen Wählen Sie „Anspruchsregeln bearbeiten“ öffnen aus. Oberfläche Wählen Sie Schließen aus.
Aufgabe 3: Zulassen, dass Daten an GoTo gesendet werden
Hinzufügen einer Transformationsanspruch-Regel für GoTo.
- Öffnen Sie in der AD FS 2.0-Verwaltung den Assistenten zum Hinzufügen von Transformationsregeln, indem Sie auf gehen.
- Stellen Sie die Daten wie folgt ein:
Tab Eingabe oder Aktion Regeltyp auswählen Wählen Sie unter Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus. Fallregel konfigurieren Geben Sie für den Anspruchsregelnamen E-Mail-Adresse und Name ein. Fallregel konfigurieren Wählen Sie für den Attributspeicher die Option Active Directory aus. Fallregel konfigurieren Legen Sie die LDAP-Attribute wie folgt fest: - E-Mail-Adressen: E-Mail Adresse
- Given-Name: Vornamen
- Nachname: Nachname
- Klicken Sie auf Fertigstellen.
Aufgabe 4: Browser-Einrichtung (optional)
Hier erfahren Sie, was zu tun ist, wenn ein Browser die Benutzer nicht automatisch weiterleitet.
Wenn Benutzer, die sich bereits bei der Domäne authentifiziert haben, versuchen, sich über Internet Explorer und Chrome bei einem Hostdienst anzumelden, sollte der Browser automatisch ihre Intranet-URL erkennen und NTLM für die FS-Server-Authentifizierung verwenden. Falls die Adresse nicht als Intranetadresse erkannt wird, können Sie den Fully Qualified Domain Name (FQDN) Ihrer Active-Directory-Verbunddienste zur lokalen Intranetzone hinzufügen. Dies lässt sich mit Hilfe einer Gruppenrichtlinie auf mehrere Computer anwenden. Dadurch wird sichergestellt, dass Benutzer, die sich bereits bei der Domäne angemeldet haben, sich nur mit ihrer Domänen-E-Mail-Adresse bei den Diensten anmelden können. Sie müssen kein Passwort eingeben, da sie bereits authentifiziert wurden.
Stellen Sie im Internet Explorer unter
die Website Lokales Intranet ein.Firefox:
- Geben Sie about:config in die URL-Leiste ein und drücken Sie Enter.
- Ändern Sie die network.automatic-ntlm-auth.trusted-uris, um die lokale Intranet-Website einzuschließen.
- Klicken Sie auf OK.