SSO mit ADFS und OpenID Connect (OIDC)

Folgen

Du kannst dein Just ganz einfach mit deinem ADFS über OpenId Connect verbinden. Dann können sich deine Nutzer wie gewohnt über euren AD Login in deinem Just Social anmelden. Im Folgenden ist beschrieben, was du dazu bei euch und in JUST konfigurieren musst.

 

Unter 'Application Groups' neue Server Application einrichten.

step1.png

 

Parallel in Just einen neuen Single-Sign-On Login hinzufügen.

step2.png

 

Client Identifier als ClientId in JUST übertragen und Konfig erstmal abspeichern.

step3.png

 

Es wird eine Redirect URI erzeugt, die im nächsten Schritt in die AD Konfig kopiert wird.

step4.1.png

step4.2.png

 

Das erzeugte Client Secret in die Konfiguration bei JUST kopieren

step5.1.pngstep5.2.png

 

Auf der neu erzeugten Applikation eine neue Web API Application anlegen

step6.1.pngstep6.2.png

 

Als Identity die ClientId eintragen

step7.png

 

Access Policy "Permit everyone" (oder etwas was in eurem Kontext besser passt)

step8.png

 

Benötigte Permitted Claims: allatclaims, openid

step9.png

 

Die angelegte Web API editieren…

step10.1.png

 

Und eine "Issuance Transform Rule" hinzufügen

step10.2.png

 

Um das LDAP Attribut "E-Mail-Addresses" auf den Outgoing Claim Type "E-Mail Address" zu mappen. Wichtig dabei: Den Wert des "Outgoing Claim Type" bitte auswählen (kann je nach Sprache variieren, z.B. "E-Mail Addresse" auf Deutsch ) und NICHT abtippen. Auch wenn man es korrekt abtippt, wird nicht das gleiche ausgewählt wie beim auswählen.

step10.3.png

 

In JUST: Scope auf die erlaubten claims setzen, userNameAttribute auf "email" stellen und die Base URI eures Verbunds angeben.

step11.png

 

Den /adfs/.well-known/openid-configuration Endpunkt eures Verbunds im Browser aufrufen

step12.1.png

 

Und von dort die Werte für Authorization URI, Token URI und JwkSetUri in JUST eintragen.

Das UserInfoUri Feld leer lassen!

step12.2.png

step12.3.png

 

Danach könnt ihr den Login testen indem ihr auf https://JUST_URL/oauth2/login geht und den neu angelegten Eintrag (nicht 'just') auswählt.

Wenn alles klappt könnt ihr die neue SSO Konfiguration über das 3-Punkte Menü als Standard setzen, so dass alle User für den Login standardmäßig zu eurem AD Login geleitet werden.

 

 

 

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.