Voraussetzungen
Voraussetzungen AD FS Server
- Windows AD FS Server (IDP) (mit SSL) und mindestens Windows Server 2012
- AD FS mit SAML 2.0, SP initiated
- Metadaten-URL (z.B.: https://<IDP-Host>/FederationMetadata/2007-06/FederationMetadata.xml) muss vom Just Server aus erreichbar sein.
- Wichtig! Der AD FS Hostname darf nicht mit dem Namen des AD FS Endpoints identisch sein
- Bei Wildcard-Zertifikaten ist zu beachten, dass bei der Konfiguration von AD FS ein eindeutiger Endpoint-Name angegeben werden muss
- genau ein AD Server für Authentifizierung
- Wenn Zugriff von außen möglich sein soll, muss IDP-Server von außen erreichbar sein
Voraussetzungen für den JUST Server
- JUST mit SSL
- JDK mit JCE (unlimited Cryptography) -> Oracle JDK mit Extension oder OpenJDK
- IDP-Server muss von Just-Application Server erreichbar sein
- AD-Nutzerimport mit objectGUID als externer Id ist eingerichtet, mindestens ein Testnutzer ist importiert
Ablauf der SSO-Einrichtung
- Voraussetzungen geprüft, IDP-URL wird Just Social mitgeteilt
- AD-Nutzerimport eingerichtet und mindestens ein Testnutzer importiert
- AD FS-Service wird von Just Social auf dem Just Application Server installiert
- Vertrauensstellung zu Just wird vom Kunden auf dem AD FS Server eingerichtet
- Browser-Konfiguration anpassen
- Test SSO-Login
- SSO für alle Nutzer aktivieren
AD FS Vertrauenstellung konfigurieren (IDP, wird vom Kunden eingerichtet)
Schritt 2
Schritt 3
https://<just-url>/authentication/saml/metadata in das Feld eintragen
Schritt 4 Bezeichner eingeben
Schritt 5
Hier wird die AD Gruppe ausgewählt, die auf JUST Zugriff haben darf.
Schritt 6 Einstellungen bestätigen
Schritt 7
Schritt 8
Schritt 9
Schritt 10
Folgenden Text in das Feld kopieren
c:[ Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY" ] => issue( store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query = ";objectGUID;{0}", param = c.Value );
Browser-Konfiguration
-
Internet Explorer (Extras -> Internetoptionen)
- Die URL von JUST SOCIAL muss zu den Intranet Sites hinzugefügt werden
- In den Einstellungen der Intranet Zone muss folgender Haken aktiviert sein: “Automatisches Anmelden nur in der Intranetzone” oder "Automatisches Anmelden mit Benutzername und Kennwort"
- Unter dem Reiter “Erweitert” -> “Sicherheit” muss folgender Haken aktiviert sein: “Integrierte Windows Authentifizierung aktivieren”
- Kompatibiliätsmodus zumindest für JUST SOCIAL ausschalten
-
Mozilla Firefox (about:config)
- In den Firefox Einstellungen (about:config) muss der Hostname des AD FS Servers in das Feld “network.automatic-ntlm-auth.trusted-uris” eingetragen werden, z.B.:
ad.my-company.com
- In den Firefox Einstellungen (about:config) muss der Hostname des AD FS Servers in das Feld “network.automatic-ntlm-auth.trusted-uris” eingetragen werden, z.B.:
Unterstützung für bestimmte moderne Browser
Soll Single-Sign-On auch mit bestimmten modernen Browsern möglich sein, müssen diese abhängig von der Windows Server Version ggf. auf dem AD Server noch frei geschaltet werden.
Dazu eine Shell mit Administrator-Rechten öffnen. Die Liste der aktuell unterstützten Browser in Form des User Agent Strings kann wie folgt aufgelistet werden:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Unterstützung für Chrome und Firefox
Für Chrome und Firefox muss der User Agent String "Mozilla/5.0" hinzugefügt werden:
Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0")
Unterstützung für Internet Explorer 11
Für Internet Explorer 11 muss der User Agent String "Trident/7.0" hinzugefügt werden:
Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Trident/7.0")
Unterstützung für Edge
Für Edge muss der User Agent String "Edge/12" hinzugefügt werden:
Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Edge/12")
Neustart des AD FS-Services
Nach jeder Änderung der unterstützten Browser muss danach der AD-Service neugestartet werden:
net stop adfssrv
net start adfssrv
Unterstützung von TLS 1.2 für Windows Server 2012 und 2016
Da Just ab Version 11.11 aus Sicherheitsgründen TLS 1.2 voraussetzt muss bei Windows Server 2012 und 2016 dieses Protokoll erst aktiviert werden.
Dieses kann über folgende PowerShell Befehle erfolgen:
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null
Anschließend muss der AD FS Dienst einmal neugestartet werden mittels:
net stop adfssrv
net start adfssrv
Detailliertere Informationen dazu gibt es von Microsoft unter:
https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs
Testen SSO-Login
Zum Testen kann die folgende Seite aufgerufen werden:
https://<juco-url>/authentication/test/adfs
Dort bekommt man die Anmelde Seite vom IDP (Windows) Server angezeigt und kann sich mit den AD Zugangsdaten anmelden. Bei erfolgeicher Anmeldung wird eine Erfolgsmeldung angezeigt "Saml flow authenticated: <username>"
SSO für alle Nutzer aktivieren
Sobald der Test erfolgreich verlaufen ist und alle Nutzer über einen AD-Nutzerimport importiert wurden, kann SSO über AD FS für alle Nutzer aktiviert werden (wird durch Just Social vorgenommen). Danach führt jeder Aufruf der Just-URL zu einer Weiterleitung zum AD FS Server. Externe, d.h. nicht über AD authentifizierbare Nutzer müssen dann direkt über die Login-Url auf Just zugreifen: <Just-URL>/toro/login
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.