Single Sign On (SSO) über AD FS

Folgen

Voraussetzungen

Voraussetzungen AD FS Server

  • Windows AD FS Server (IDP) (mit SSL)
    • AD FS mit SAML 2.0, SP initiated
    • Metadaten-URL (z.B.: https://<IDP-Host>/FederationMetadata/2007-06/FederationMetadata.xml)
    • Wichtig! Der AD FS Hostname darf nicht mit dem Namen des AD FS Endpoints identisch sein
    • Bei Wildcard-Zertifikaten ist zu beachten, dass bei der Konfiguration von AD FS ein eindeutiger Endpoint-Name angegeben werden muss
  • genau ein AD Server für Authentifizierung
  • Wenn Zugriff von außen möglich sein soll, muss IDP-Server von außen erreichbar sein

Voraussetzungen für den JUST Server

  • JUST mit SSL
  • JDK mit JCE (unlimited Cryptography) -> Oracle JDK mit Extension oder OpenJDK
  • IDP-Server muss von Just-Application Server erreichbar sein
  • AD-Nutzerimport mit objectGUID als externer Id ist eingerichtet, mindestens ein Testnutzer ist importiert

 

Ablauf der SSO-Einrichtung

  1. Voraussetzungen geprüft, IDP-URL wird Just Social mitgeteilt
  2. AD-Nutzerimport eingerichtet und mindestens ein Testnutzer importiert
  3. AD FS-Service wird von Just Social auf dem Just Application Server installiert
  4. Vertrauensstellung zu Just wird vom Kunden auf dem AD FS Server eingerichtet
  5. Browser-Konfiguration anpassen
  6. Test SSO-Login 
  7. SSO für alle Nutzer aktivieren

 

AD FS Vertrauenstellung konfigurieren (IDP, wird vom Kunden eingerichtet)

ADFS1.png

Schritt 2

ADFS2.png

Schritt 3

https://<just-url>/authentication/saml/metadata in das Feld eintragen

ADFS3.png

Schritt 4 Bezeichner eingeben

ADFS4.png

Schritt 5

Hier wird die AD Gruppe ausgewählt, die auf JUST Zugriff haben darf.

ADFS5.png

Schritt 6 Einstellungen bestätigen

ADFS6.png

Schritt 7

ADFS7.png

Schritt 8

ADFS8.png

Schritt 9

ADFS9.png

Schritt 10

ADFS10.png

Folgenden Text in das Feld kopieren

c:[ Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY" ] => issue( store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query = ";objectGUID;{0}", param = c.Value );

Browser-Konfiguration

  • Internet Explorer (Extras -> Internetoptionen)

    • Die URL von JUST SOCIAL muss zu den Intranet Sites hinzugefügt werden
    • In den Einstellungen der Intranet Zone muss folgender Haken aktiviert sein: “Automatisches Anmelden nur in der Intranetzone” oder "Automatisches Anmelden mit Benutzername und Kennwort"
    • Unter dem Reiter “Erweitert” -> “Sicherheit” muss folgender Haken aktiviert sein: “Integrierte Windows Authentifizierung aktivieren”
    • Kompatibiliätsmodus zumindest für JUST SOCIAL ausschalten
  • Mozilla Firefox (about:config)

    • In den Firefox Einstellungen (about:config) muss der Hostname des AD FS Servers in das Feld “network.automatic-ntlm-auth.trusted-uris” eingetragen werden, z.B.:
      ad.my-company.com

Unterstützung für bestimmte moderne Browser

Soll Single-Sign-On auch mit bestimmten modernen Browsern möglich sein, müssen diese abhängig von der Windows Server Version ggf. auf dem AD Server noch frei geschaltet werden.

Dazu eine Shell mit Administrator-Rechten öffnen. Die Liste der aktuell unterstützten Browser in Form des User Agent Strings kann wie folgt aufgelistet werden:

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

Unterstützung für Chrome und Firefox

Für Chrome und Firefox muss der User Agent String "Mozilla/5.0" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0")

Unterstützung für Internet Explorer 11

Für Internet Explorer 11 muss der User Agent String "Trident/7.0" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Trident/7.0")

Unterstützung für Edge

Für Edge muss der User Agent String "Edge/12" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Edge/12")

Neustart des AD-Services

Nach jeder Änderung der unterstützten Browser muss danach der AD-Service neugestartet werden:

net stop adfssrv
net start adfssrv

 

Testen SSO-Login

Zum Testen kann die folgende Seite aufgerufen werden:

https://<juco-url>/authentication/test/adfs

Dort bekommt man die Anmelde Seite vom IDP (Windows) Server angezeigt und kann sich mit den AD Zugangsdaten anmelden. Bei erfolgeicher Anmeldung wird eine Erfolgsmeldung angezeigt "Saml flow authenticated: <username>"

SSO für alle Nutzer aktivieren

Sobald der Test erfolgreich verlaufen ist und alle Nutzer über einen AD-Nutzerimport importiert wurden, kann SSO über AD FS für alle Nutzer aktiviert werden (wird durch Just Social vorgenommen). Danach führt jeder Aufruf der Just-URL zu einer Weiterleitung zum AD FS Server. Externe, d.h. nicht über AD authentifizierbare Nutzer müssen dann direkt über die Login-Url auf Just zugreifen: <Just-URL>/toro/login

 

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.