Du kannst dein Just ganz einfach mit deinem ADFS über OpenId Connect verbinden. Dann können sich deine Nutzer wie gewohnt über euren AD Login in deinem Just Social anmelden. Im Folgenden ist beschrieben, was du dazu bei euch und in JUST konfigurieren musst.
Unter 'Application Groups' neue Server Application einrichten.
Parallel in Just einen neuen Single-Sign-On Login hinzufügen.
Client Identifier als ClientId in JUST übertragen und Konfig erstmal abspeichern.
Es wird eine Redirect URI erzeugt, die im nächsten Schritt in die AD Konfig kopiert wird.
Das erzeugte Client Secret in die Konfiguration bei JUST kopieren
Auf der neu erzeugten Applikation eine neue Web API Application anlegen
Als Identity die ClientId eintragen
Access Policy "Permit everyone" (oder etwas was in eurem Kontext besser passt)
Benötigte Permitted Claims: allatclaims, openid
Die angelegte Web API editieren…
Und eine "Issuance Transform Rule" hinzufügen
Um das LDAP Attribut "E-Mail-Addresses" auf den Outgoing Claim Type "E-Mail Address" zu mappen. Wichtig dabei: Den Wert des "Outgoing Claim Type" bitte auswählen (kann je nach Sprache variieren, z.B. "E-Mail Addresse" auf Deutsch ) und NICHT abtippen. Auch wenn man es korrekt abtippt, wird nicht das gleiche ausgewählt wie beim auswählen.
In JUST: Scope auf die erlaubten claims setzen, userNameAttribute auf "email" stellen und die Base URI eures Verbunds angeben.
Den /adfs/.well-known/openid-configuration Endpunkt eures Verbunds im Browser aufrufen
Und von dort die Werte für Authorization URI, Token URI und JwkSetUri in JUST eintragen.
Das UserInfoUri Feld leer lassen!
Danach könnt ihr den Login testen indem ihr auf https://JUST_URL/oauth2/login geht und den neu angelegten Eintrag (nicht 'just') auswählt.
Wenn alles klappt könnt ihr die neue SSO Konfiguration über das 3-Punkte Menü als Standard setzen, so dass alle User für den Login standardmäßig zu eurem AD Login geleitet werden.
Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.