HELP FILE


Verwendung von ADFS mit join.me

    Schritt-für-Schritt-Anleitung für die Integration von join.me in Microsoft Active Directory Federation Services.

    Voraussetzung: ADFS einrichten

    Vor der Implementierung der Verbundauthentifizierung für join.me mit ADFS muss eine ADFS-Live-Umgebung mit einem extern adressierbaren Microsoft Active Directory Federation Services (ADFS)-Server konfiguriert werden.

    ADFS ist ein Softwaremodul, das auf Windows Server-Betriebssystemen heruntergeladen und installiert wird, um Benutzern einen Single Sign-On-Zugang zu Systemen und Anwendungen zu ermöglichen, die sich über Unternehmensgrenzen hinweg befinden.

    Für weitere Informationen siehe:

    1. Richten Sie ADFS in Ihrem internen Servernetzwerk ein.
    2. Nach der Installation gehen Sie zu Start > Verwaltungstools > AD FS 2.0 Management.
    Wichtig: Stellen Sie sicher, dass Ihr ADFS-Server konfiguriert ist, bevor Sie mit den übrigen Aufgaben fortfahren.

    Aufgabe eins: Informationen für join.me bereitstellen

    Stellen Sie GoTo die entsprechenden Informationen zur Verfügung und wir nehmen Anpassungen auf Ihrem Konto vor. Wenden Sie sich an Ihren join.me-Kundenbetreuer, um das ADFS-Verfahren einzuleiten.

    1. Überprüfen Sie den Besitz der Domain.

      Sie müssen den Besitz Ihrer Domain nachweisen, bevor ADFS für Ihr Konto aktiviert werden kann. Es gibt zwei Methoden der Überprüfung: HTML-Upload und DNS-Eintrag.

      Option Verfahren
      Überprüfung der Domäneneigentümerschaft durch HTML-Upload
      1. Erstellen Sie eine html-Datei mit dem Namen logmein-domain-confirmation.html für die Website Ihrer geplanten ADFS-Domäne.
      2. Fügen Sie in die Datei logmein-domain-confirmation.html eine zufällige Zeichenfolge ein. Zum Beispiel: logmein-domain-confirmation jska7893279jkdhkkjdhask.
      3. Nachdem Sie die Datei logmein-domain-confirmation.html mit der zufälligen Zeichenfolge erstellt haben, senden Sie die Zeichenfolge per E-Mail an Ihren GoTo Account Manager. Sie werden bestätigen, dass die Datei logmein-domain-confirmation.html sichtbar ist und die richtigen Informationen enthält.
      Überprüfung der Domäneneigentümerschaft anhand des DNS-Eintrags
      1. Erstellen Sie eine Textdatei für den DNS-Eintrag Ihrer Domain mit dem Namen logmein-domain-confirmation.txt.
      2. Fügen Sie in die Datei logmein-domain-confirmation.txt eine zufällige Zeichenfolge ein. Zum Beispiel: logmein-domain-confirmation jska7893279jkdhkkjdhask.
      3. Nachdem Sie die Datei logmein-domain-confirmation.txt erstellt haben, die die zufällige Zeichenfolge enthält, senden Sie die Zeichenfolge per E-Mail an Ihren GoTo Account Manager. Sie werden bestätigen, dass die Datei logmein-domain-confirmation.html sichtbar ist und die richtigen Informationen enthält.

      Tipp: Wenn Sie keinen join.me-Kundenbetreuer haben, wenden Sie sich an oder an den Support.

    2. Geben Sie die Endpunkt-URL Ihres ADFS-Proxyservers an Ihren join.me-Kontomanager weiter. So finden Sie Ihre Endpunkt-URL:
      1. Starten Sie AD FS 2.0 Management, indem Sie Start > Verwaltungstools > AD FS 2.0 Management aufrufen.
      2. Gehen Sie zu Service > Eigenschaften des Federation Service bearbeiten.
      3. Kopieren Sie den Namen des Federation Service und fügen Sie ihn mit /adfs/ls an.
    3. Teilen Sie Ihrem join.me-Kundenbetreuer mit, welche E-Mail-Domänen Sie für Ihre ADFS-Anmeldung verwenden möchten.

      Wichtig! Ändern Sie Ihre Domänenadresse nicht. Wenden Sie sich an Ihren join.me-Kundenbetreuer, wenn Sie Ihre Domänenadresse ändern möchten.

    4. Senden Sie Ihr Token-Signaturzertifikat an Ihren join.me-Kundenbetreuer.

      Informationen über Token-Signatur-Zertifikate finden Sie auf der TechNet-Seite von Microsoft .

    Aufgabe 2: Aufbau eines Vertrauensverhältnisses

    Fügen Sie join.me als Relying Party Trust in AD FS 2.0 Management hinzu.

    1. Öffnen Sie in AD FS 2.0 Management den Assistenten "Add Relying Party Trust", indem Sie zu Action > Add Relying Party Trust gehen.
    2. Stellen Sie die Daten wie folgt ein:

      Tab Eingabe oder Aktion
      Datenquelle auswählen Wählen Sie . Geben Sie die Daten über den vertrauenden Partner manuell ein
      Geben Sie einen Anzeigenamen an Geben Sie den Anzeigenamen als join.me-Authentifizierung ein
      Profil wählen Wählen Sie AD FS 2.0 Profil
      URL konfigurieren Geben Sie die SAML Assertion Consumer Endpoint URL: https://accounts.logme.in/federated/saml2.aspx
      Identifikatoren konfigurieren Die folgende URL muss in die Liste der Relying party identifiers aufgenommen werden: https://accounts.logme.in
      Wählen Sie Regeln für die Ausgabeberechtigung Wählen Sie Allen Benutzern den Zugriff auf diesen vertrauenden Partner erlauben
      Bereit für mehr Vertrauen Wählen Sie . Öffnen Sie das Fenster Fallregeln bearbeiten

    3. Klicken Sie auf Fertigstellen.

    Aufgabe 3: Zulassen, dass Daten an join.me gesendet werden

    Fügen Sie eine Transform-Claim-Regel für join.me hinzu.

    1. Öffnen Sie in der AD FS 2.0-Verwaltung den Assistenten zum Hinzufügen von Transformationsregeln, indem Sie auf Action > Edit Claim Rules > Issuance Transform Rules > Add Rule gehen.
    2. Stellen Sie die Daten wie folgt ein:

      Tab Eingabe oder Aktion
      Regeltyp auswählen Wählen Sie unter Regelvorlage für Ansprüche LDAP-Attribute als Ansprüche senden
      Fallregel konfigurieren
      1. Setzen Sie Claim rule name auf E-Mail und Name
      2. Setzen Sie Attributspeicher auf Active Directory
      3. Legen Sie die folgenden LDAP-Attribute fest:
        E-Mail-Adressen
        E-Mail Adresse
        Vornamen
        Vornamen
        Nachname
        Nachname

    3. Klicken Sie auf Fertigstellen.

    Aufgabe Vier (fakultativ): Browser-Einrichtung

    Finden Sie heraus, was zu tun ist, wenn die Browser nicht automatisch umleiten.

    Wenn Benutzer, die sich bereits bei der Domäne authentifiziert haben, versuchen, sich über Internet Explorer oder Chrome bei einem GoTo-Dienst anzumelden, sollte der Browser automatisch ihre Intranet-URL erkennen und NTLM für die FS-Server-Authentifizierung verwenden.

    Wenn die Adresse nicht als Intranet erkannt wird, können Sie den FQDN Ihres ADFS zur Zone Lokales Intranet hinzufügen. Diese kann über Gruppenrichtlinien auf mehrere Computer verteilt werden. Dadurch wird sichergestellt, dass Benutzer, die sich bereits bei der Domäne angemeldet haben, sich nur mit ihrer Domänen-E-Mail-Adresse bei GoTo-Diensten anmelden können. Sie müssen kein Passwort eingeben, da sie bereits authentifiziert wurden.

    Legen Sie die lokale Intranet-Website fest.
    • Stellen Sie im Internet Explorer unter Einstellungen > Internetoptionen > Sicherheit > Lokales Intranet die Website Lokales Intranet ein.
    • In Firefox:
      1. Geben Sie about:config in die URL-Leiste ein und drücken Sie Enter.
      2. Ändern Sie die network.automatic-ntlm-auth.trusted-uris, um die lokale Intranet-Website einzuschließen.
      3. Klicken Sie auf OK.