Single Sign On (SSO) über AD FS

Voraussetzungen für den Client

  • Internet Explorer (Extras -> Internetoptionen)

    • Die URL von JUST SOCIAL muss zu den Intranet Sites hinzugefügt werden
    • In den Einstellungen der Intranet Zone muss folgender Haken aktiviert sein: “Automatisches Anmelden nur in der Intranetzone” oder "Automatisches Anmelden mit Benutzername und Kennwort"
    • Unter dem Reiter “Erweitert” -> “Sicherheit” muss folgender Haken aktiviert sein: “Integrierte Windows Authentifizierung aktivieren”
    • Kompatibiliätsmodus zumindest für JUST SOCIAL ausschalten

  • Mozilla Firefox (about:config)

    • In den Firefox Einstellungen (about:config) muss der Hostname des AD FS Servers in das Feld “network.automatic-ntlm-auth.trusted-uris” eingetragen werden, z.B.:
      ad.my-company.com

Voraussetzungen für den JUST Server

  • JUST mit SSL
  • JDK mit JCE (unlimited Cryptography) -> Oracle JDK mit Extension oder OpenJDK

Voraussetzungen für den AD Server

  • Windows AD
  • Genau ein Windows AD FS Server (IDP) (mit SSL)
  • Wenn Zugriff von außen möglich sein soll:
    • IDP muss von außen erreichbar sein
  • Wenn externe Nutzer sich anmelden können sollen:
    • Link zu /toro/login in IDP Seite einfügen

 

AD FS konfigurieren (JUST)

  1. JUST installieren. Z.B. nach Zendesk Anleitung
    • Für AD FS muss die Installation SSL haben.
  2. AD-Import einrichten
    • Wichtig ist, dass die objectGUID zum User-Mappen verwendet wird.
  3. Zunächst das Paket installieren: 
    apt-get install just-authentication-server
    dpkg-reconfigure just-kafka

  4. Danach muss der ADFS-Login noch in Superoperty aktiviert werden: Settings/login/ADFS enabled auf true setzen

AD FS konfigurieren (IDP)

Vertrauensstellung hinzufügen

ADFS1.png

Schritt 2

ADFS2.png

Schritt 3

https://<just-url>/authentication/saml/metadata in das Feld eintragen

 ADFS3.png

Schritt 4 Bezeichner eingeben

ADFS4.png

Schritt 5

Hier wird die AD Gruppe ausgewählt, die auf JUST Zugriff haben darf.

ADFS5.png

Schritt 6 Einstellungen bestätigen

ADFS6.png

Schritt 7

ADFS7.png

Schritt 8

ADFS8.png

Schritt 9

ADFS9.png

Schritt 10

ADFS10.png

Folgenden Text in das Feld kopieren

c:[ Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY" ] => issue( store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query = ";objectGUID;{0}", param = c.Value ); 

Unterstützung für Chrome und Firefox

Soll Single-Sign-On auch mit Chrome und/oder Firefox möglich sein, müssen diese Browser ggf. auf dem AD Server noch frei geschaltet werden.

Dazu eine Shell mit Administrator-Rechten öffnen. Die Liste der unterstützten Browser in Form des User Agent Strings kann wie folgt aufgelistet werden:

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

Für Chrome und Firefox muss der User Agent String "Mozilla/5.0" hinzugefügt werden:

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0")

Danach muss der AD-Service neugestartet werden:

net stop adfssrv
net start adfssrv

Testen von AD FS

Zum Testen kann die folgende Seite aufgerufen werden:

https://<juco-url>/authentication/test/adfs 

Dort bekommt man die Anmelde Seite vom IDP (Windows) Server angezeigt und kann sich mit den AD Zugangsdaten anmelden.