Single Sign On (SSO) über AD FS

Folgen

Voraussetzungen

Voraussetzungen AD FS Server

  • Windows AD FS Server (IDP) (mit SSL) und mindestens Windows Server 2012
    • AD FS mit SAML 2.0, SP initiated
    • Metadaten-URL (z.B.: https://<IDP-Host>/FederationMetadata/2007-06/FederationMetadata.xml) muss vom Just Server aus erreichbar sein.
    • Wichtig! Der AD FS Hostname darf nicht mit dem Namen des AD FS Endpoints identisch sein
    • Bei Wildcard-Zertifikaten ist zu beachten, dass bei der Konfiguration von AD FS ein eindeutiger Endpoint-Name angegeben werden muss
  • genau ein AD Server für Authentifizierung
  • Wenn Zugriff von außen möglich sein soll, muss IDP-Server von außen erreichbar sein

Voraussetzungen für den JUST Server

  • JUST mit SSL
  • JDK mit JCE (unlimited Cryptography) -> Oracle JDK mit Extension oder OpenJDK
  • IDP-Server muss von Just-Application Server erreichbar sein
  • AD-Nutzerimport mit objectGUID als externer Id ist eingerichtet, mindestens ein Testnutzer ist importiert

 

Ablauf der SSO-Einrichtung

  1. Voraussetzungen geprüft, IDP-URL wird Just Social mitgeteilt
  2. AD-Nutzerimport eingerichtet und mindestens ein Testnutzer importiert
  3. AD FS-Service wird von Just Social auf dem Just Application Server installiert
  4. Vertrauensstellung zu Just wird vom Kunden auf dem AD FS Server eingerichtet
  5. Browser-Konfiguration anpassen
  6. Test SSO-Login 
  7. SSO für alle Nutzer aktivieren

 

AD FS Vertrauenstellung konfigurieren (IDP, wird vom Kunden eingerichtet)

ADFS1.png

Schritt 2

ADFS2.png

Schritt 3

https://<just-url>/authentication/saml/metadata in das Feld eintragen

ADFS3.png

Schritt 4 Bezeichner eingeben

ADFS4.png

Schritt 5

Hier wird die AD Gruppe ausgewählt, die auf JUST Zugriff haben darf.

ADFS5.png

Schritt 6 Einstellungen bestätigen

ADFS6.png

Schritt 7

ADFS7.png

Schritt 8

ADFS8.png

Schritt 9

ADFS9.png

Schritt 10

ADFS10.png

Folgenden Text in das Feld kopieren

c:[ Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY" ] => issue( store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query = ";objectGUID;{0}", param = c.Value );

Browser-Konfiguration

  • Internet Explorer (Extras -> Internetoptionen)

    • Die URL von JUST SOCIAL muss zu den Intranet Sites hinzugefügt werden
    • In den Einstellungen der Intranet Zone muss folgender Haken aktiviert sein: “Automatisches Anmelden nur in der Intranetzone” oder "Automatisches Anmelden mit Benutzername und Kennwort"
    • Unter dem Reiter “Erweitert” -> “Sicherheit” muss folgender Haken aktiviert sein: “Integrierte Windows Authentifizierung aktivieren”
    • Kompatibiliätsmodus zumindest für JUST SOCIAL ausschalten
  • Mozilla Firefox (about:config)

    • In den Firefox Einstellungen (about:config) muss der Hostname des AD FS Servers in das Feld “network.automatic-ntlm-auth.trusted-uris” eingetragen werden, z.B.:
      ad.my-company.com

Unterstützung für bestimmte moderne Browser

Soll Single-Sign-On auch mit bestimmten modernen Browsern möglich sein, müssen diese abhängig von der Windows Server Version ggf. auf dem AD Server noch frei geschaltet werden.

Dazu eine Shell mit Administrator-Rechten öffnen. Die Liste der aktuell unterstützten Browser in Form des User Agent Strings kann wie folgt aufgelistet werden:

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

Unterstützung für Chrome und Firefox

Für Chrome und Firefox muss der User Agent String "Mozilla/5.0" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0")

Unterstützung für Internet Explorer 11

Für Internet Explorer 11 muss der User Agent String "Trident/7.0" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Trident/7.0")

Unterstützung für Edge

Für Edge muss der User Agent String "Edge/12" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Edge/12")

Neustart des AD FS-Services

Nach jeder Änderung der unterstützten Browser muss danach der AD-Service neugestartet werden:

net stop adfssrv
net start adfssrv

Unterstützung von TLS 1.2 für Windows Server 2012 und 2016

Da Just ab Version 11.11 aus Sicherheitsgründen TLS 1.2 voraussetzt muss bei Windows Server 2012 und 2016 dieses Protokoll erst aktiviert werden.

Dieses kann über folgende PowerShell Befehle erfolgen:

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null

Anschließend muss der AD FS Dienst einmal neugestartet werden mittels:

net stop adfssrv
net start adfssrv

Detailliertere Informationen dazu gibt es von Microsoft unter:

https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs 

Testen SSO-Login

Zum Testen kann die folgende Seite aufgerufen werden:

https://<juco-url>/authentication/test/adfs

Dort bekommt man die Anmelde Seite vom IDP (Windows) Server angezeigt und kann sich mit den AD Zugangsdaten anmelden. Bei erfolgeicher Anmeldung wird eine Erfolgsmeldung angezeigt "Saml flow authenticated: <username>"

SSO für alle Nutzer aktivieren

Sobald der Test erfolgreich verlaufen ist und alle Nutzer über einen AD-Nutzerimport importiert wurden, kann SSO über AD FS für alle Nutzer aktiviert werden (wird durch Just Social vorgenommen). Danach führt jeder Aufruf der Just-URL zu einer Weiterleitung zum AD FS Server. Externe, d.h. nicht über AD authentifizierbare Nutzer müssen dann direkt über die Login-Url auf Just zugreifen: <Just-URL>/toro/login

 

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.