HELP FILE


Verwendung von ADFS mit Central

So integrieren Sie Central mit Microsoft Active Directory Federation Services.

Wichtig: Sie können sich mit Single Sign On nur auf der Website anmelden. Die Client App unterstützt keine Single Sign On Anmeldung.

Voraussetzung: ADFS einrichten

Richten Sie die Active-Directory-Verbunddienste (ADFS) in Ihrem internen Servernetz ein, bevor Sie fortfahren.

Eine Live-ADFS-Umgebung mit einem extern adressierbaren Microsoft Active Directory Federation Services (ADFS)-Server muss konfiguriert werden, bevor die Verbundauthentifizierung für den Host mit ADFS implementiert wird.

Bei ADFS handelt es sich um ein auf Rechnern mit Windows-Server-Betriebssystemen installiertes Softwaremodul, über das Benutzer mittels Single Sign-On (Einmalanmeldung) über organisatorische Grenzen hinweg auf Systeme und Anwendungen zugreifen können. Nähere Informationen finden Sie hier:

Nach der Installation gehen Sie zu Start > Verwaltungstools > AD FS 2.0 Management.
Wichtig: Stellen Sie sicher, dass Ihr ADFS-Server konfiguriert ist, bevor Sie mit den restlichen Aufgaben fortfahren.
Wichtig: Wenn Benutzer aus dem Active Directory entfernt werden, werden sie nicht aus der Zentrale entfernt.

Aufgabe 1: Informationen für GoTo bereitstellen

Geben Sie die relevanten Informationen an GoTo und wir nehmen die Anpassungen auf Ihrem Konto vor. Wenden Sie sich an Ihren Kundenbetreuer, um das ADFS-Verfahren einzuleiten.

  1. Verifizierung des Domänenbesitzes

    Bevor ADFS für Ihr Konto aktiviert werden kann, müssen Sie nachweisen, dass Sie der Inhaber Ihrer Domäne sind. Es gibt zwei Methoden der Überprüfung: HTML-Upload und DNS-Eintrag.

    Option Vorgehensweise
    Überprüfung der Domäneneigentümerschaft durch HTML-Upload
    1. Erstellen Sie auf der Website Ihrer geplanten ADFS-Domäne eine HTML-Datei namens logmein-domain-confirmation.html.
    2. Fügen Sie in die Datei logmein-domain-confirmation.html eine zufällige Zeichenfolge ein. Beispiel: logmein-domain-confirmation jska7893279jkdhkkjdhask.
    3. Nachdem Sie die Datei logmein-domain-confirmation.html mit der zufälligen Zeichenkette erstellt haben, senden Sie Ihrem Account Manager eine E-Mail mit der Zeichenkette und er wird bestätigen, dass die Datei logmein-domain-confirmation.html sichtbar ist und die richtigen Informationen enthält.
    Überprüfung der Domäneneigentümerschaft anhand des DNS-Eintrags
    1. Erstellen Sie einen TXT Resource Record mit dem Wert logmein-domain-confirmation für den DNS-Eintrag Ihrer Domäne.
    2. Fügen Sie in die Datei logmein-domain-confirmation.txt eine zufällige Zeichenfolge ein. Beispiel: logmein-domain-confirmation jska7893279jkdhkkjdhask.
    3. Nachdem Sie die Datei logmein-domain-confirmation erstellt haben, die die zufällige Zeichenfolge enthält, senden Sie eine E-Mail an Ihren Kundenbetreuer. Er wird bestätigen, dass die Datei logmein-domain-confirmation sichtbar ist und die richtigen Informationen enthält.
    Tipp: Wenn Sie keinen Kundenbetreuer haben, können Sie den Support kontaktieren.
  2. Bereitstellen der URL des ADFS-Servers

    Sie müssen die Endpunkt-URL Ihres ADFS-Proxyservers an Ihren Account Manager weitergeben. So ermitteln Sie Ihre Endpunkt-URL:

    1. Starten Sie AD FS 2.0 Management, indem Sie Start > Verwaltungstools > AD FS 2.0 Management aufrufen.
    2. Gehen Sie zu Service > Eigenschaften des Federation Service bearbeiten.
    3. Kopieren Sie den Namen des Federation Service und hängen Sie ihn an /adfs/ls an.
  3. Bereitstellen der E-Mail-Domänen

    Sie müssen Ihrem Account Manager mitteilen, welche E-Mail-Domäne Sie für Ihr ADFS-Login verwenden möchten. Wenn Sie mehrere Domains haben, müssen Sie dies Ihrem Account Manager mitteilen.

    Wichtig! Ändern Sie Ihre Domänenadresse nicht. Wenden Sie sich an Ihren Kundenbetreuer, wenn Sie Ihre Domänenadresse ändern möchten.

  4. Bereitstellen Ihres Tokensignaturzertifikats

    Sie müssen Ihr Token-Signaturzertifikat bereitstellen und diese Informationen an Ihren Kundenbetreuer weitergeben. Informationen zu Tokensignaturzertifikaten sind auf der TechNet-Website von Microsoft verfügbar.

Aufgabe 2: Aufbau eines Vertrauensverhältnisses

Fügen Sie die Host-Software als Relying Party Trust in AD FS 2.0 Management hinzu.

  1. Öffnen Sie in AD FS 2.0 Management den Assistenten "Add Relying Party Trust", indem Sie zu Action > Add Relying Party Trust gehen.
  2. Stellen Sie die Daten wie folgt ein:
    Tab Eingabe oder Aktion
    Datenquelle auswählen Wählen Sie Daten über die vertrauende Seite manuell eingeben aus.
    einen Anzeigenamen angeben Geben Sie LogMeIn-Authentifizierung als Anzeigenamen ein.
    Profil wählen Wählen Sie AD FS 2.0-Profil aus.
    URL konfigurieren Geben Sie die SAML-Assertionsverbraucher-Endpunkt-URL ein: https://accounts.logme.in/federated/saml2.aspx
    Identifikatoren konfigurieren Die folgende URL muss zur Liste der Bezeichner der vertrauenden Seite hinzugefügt werden: https://accounts.logme.in
    Wählen Sie Regeln für die Ausgabeberechtigung Wählen Sie Allen Benutzern Zugriff auf diese vertrauende Seite gewähren aus.
    Bereit für mehr Vertrauen Wählen Sie „Anspruchsregeln bearbeiten“ öffnen aus.
    Oberfläche Wählen Sie Schließen aus.

Aufgabe 3: Zulassen, dass Daten an GoTo gesendet werden

Hinzufügen einer Transformationsanspruch-Regel für GoTo.

  1. Öffnen Sie in der AD FS 2.0-Verwaltung den Assistenten zum Hinzufügen von Transformationsregeln, indem Sie auf Action > Edit Claim Rules > Issuance Transform Rules > Add Rule gehen.
  2. Stellen Sie die Daten wie folgt ein:
    Tab Eingabe oder Aktion
    Regeltyp auswählen Wählen Sie unter Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus.
    Fallregel konfigurieren Geben Sie für den Anspruchsregelnamen E-Mail-Adresse und Name ein.
    Fallregel konfigurieren Wählen Sie für den Attributspeicher die Option Active Directory aus.
    Fallregel konfigurieren Legen Sie die LDAP-Attribute wie folgt fest:
    • E-Mail-Adressen: E-Mail Adresse
    • Vornamen: Vornamen
    • Nachname: Nachname
  3. Klicken Sie auf Fertigstellen.

Aufgabe 4: Browser-Einrichtung (optional)

Hier erfahren Sie, was zu tun ist, wenn ein Browser die Benutzer nicht automatisch weiterleitet.

Wenn Benutzer, die sich bereits bei der Domäne authentifiziert haben, versuchen, sich über Internet Explorer und Chrome bei einem Hostdienst anzumelden, sollte der Browser automatisch ihre Intranet-URL erkennen und NTLM für die FS-Server-Authentifizierung verwenden. Falls die Adresse nicht als Intranetadresse erkannt wird, können Sie den Fully Qualified Domain Name (FQDN) Ihrer Active-Directory-Verbunddienste zur lokalen Intranetzone hinzufügen. Dies lässt sich mit Hilfe einer Gruppenrichtlinie auf mehrere Computer anwenden. Dadurch wird sichergestellt, dass Benutzer, die sich bereits bei der Domäne angemeldet haben, sich nur mit ihrer Domänen-E-Mail-Adresse bei den Diensten anmelden können. Sie müssen kein Passwort eingeben, da sie bereits authentifiziert wurden.

Stellen Sie im Internet Explorer unter Einstellungen > Internetoptionen > Sicherheit > Lokales Intranet die Website Lokales Intranet ein.

Firefox:

  1. Geben Sie about:config in die URL-Leiste ein und drücken Sie Enter.
  2. Ändern Sie die network.automatic-ntlm-auth.trusted-uris, um die lokale Intranet-Website einzuschließen.
  3. Klicken Sie auf OK.