Zum Inhalt springen

Konfigurieren von Active Directory Federation Services mit SAML Single Sign-On im Jitterbit App Builder

App Builder kann mithilfe des SAML Single Sign-On (SSO)-Protokolls in Active Directory Federation Services (AD FS) integriert werden. Das SAML SSO-Protokoll definiert die folgenden Operationsrollen:

Schauspieler Rolle
App Builder Dienstanbieter (SP)
AD FS Identitätsanbieter (IdP) / Security Token Service (STS)
Benutzer Browser

Die Konfiguration umfasst die folgenden Schritte:

  1. Erstellen an App Builder Sicherheitsanbieter für AD FS
  2. Erstellen Sie einen AD FS Relying Party Trust für App Builder

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugriff auf AD FS.
  • Administratorzugriff auf App Builder.
  • App Builder muss sich per HTTPS mit AD FS verbinden, um das Metadatendokument abzurufen. AD FS muss ein TLS-Zertifikat mit einem vertrauenswürdigen Stamm verwenden: App Builder kann das Metadatendokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist.
  • App Builder muss über HTTPS verfügbar sein. Der Sicherheitsanbieter HTTPS erforderlich sollte aktiviert sein (oder andere Maßnahmen ergriffen werden, um sicherzustellen, dass App Builder ist nur über HTTPS zugänglich).
  • Client-Rechner müssen so konfiguriert werden, dass sie AD FS vertrauen. Andernfalls fordert AD FS den Benutzer auf, sich anzumelden.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder URL https://example.com/App Builder/ App Builder muss über HTTPS erreichbar sein. Die URL muss den abschließenden Schrägstrich enthalten. Bei der Angabe des Pfads wird zwischen Groß- und Kleinschreibung unterschieden.
Anbietername ADFS Jeder App Builder Der Sicherheitsanbieter erhält einen logischen Namen. Da der Anbietername in der URL des Assertion Consumer Service (siehe unten) erscheint, vermeiden Sie Leerzeichen, Satzzeichen und Sonderzeichen.
URL des Assertion Consumer Service https://example.com/App Builder/signin-Okta App Builder stellt automatisch einen Assertion Consumer Service (ACS) Endpoint für SAML Single Sign-On (SSO)-Sicherheitsanbieter bereit. AD FS bezeichnet die ACS URL als „SAML 2.0 SSO-Dienst URL der vertrauenden Partei“. Beachten Sie, dass der Anbietername in der URL erscheint.
Zielgruppen-URI https://example.com/App Builder/ Obwohl die Zielgruppen-URI beliebig ist, AD FS und App Builder müssen den gleichen Wert verwenden. Erwägen Sie die Verwendung von App Builder URL.
URL des Federation-Metadata-Dokuments https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml Die URL des Federation-Metadata-Dokuments kann von AD FS abgerufen werden. Starten Sie dazu die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpoints. Suchen Sie den Endpoint vom Typ Federation Metadata.

Erstellen an App Builder Sicherheitsanbieter für AD FS

Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst bei App Builder als Administrator:

  1. Navigieren Sie zur IDE
  2. Wählen Sie die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes ein:

    • Name: Security Provider Name (siehe oben) Beispiel: ADFS
    • Typ: SAML
    • Aktiviert: Aktivieren
    • Benutzerbereitstellung: Aktivieren Sie diese Option, um die Just-in-Time (JIT)-Benutzerbereitstellung zu aktivieren.
    • Supplies Group Membership: Überprüfen Sie, ob AD FS so konfiguriert wurde, dass die Benutzergruppenmitgliedschaft weitergegeben wird
    • Im Anmeldeformular anzeigen: Aktivieren

  5. Klicken Sie auf die Schaltfläche Speichern

  6. Klicken Sie im Bereich Eigenschaften auf + Eigenschaft

  7. Geben Sie Folgendes an:

    • Parameter: MetadataEndpoint

    • Wert: Federation Metadata Document URL(siehe oben).

      Beispiel: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Klicken Sie auf das Symbol Speichern (Häkchen)

  9. Klicken Sie im Bereich Eigenschaften auf + Eigenschaft

  10. Geben Sie Folgendes ein:

    • Parameter: Zielgruppe

    • Wert: Audience URI(siehe oben).

      Beispiel: https://example.com/App Builder/

  11. Klicken Sie auf das Symbol Speichern (Häkchen)

Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche in App Builder So ordnen Sie beispielsweise den Email-Anspruch zu:

  1. Klicken Sie im Bereich Anspruch auf + Anspruch

  2. Geben Sie Folgendes an:

    • Kennung: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: Email Adresse

  3. Klicken Sie auf das Symbol Speichern (Häkchen)

Erstellen einer AD FS-Vertrauensstellung für App Builder

Jede Instanz von App Builder muss innerhalb von AD FS als Vertrauensstellung der vertrauenden Seite registriert sein. Die vollständigen Details zum Erstellen, Konfigurieren und Verwalten von Vertrauensstellungen der vertrauenden Seite fallen nicht in den Rahmen dieses Dokuments. Weitere Informationen zum Erstellen einer Vertrauensstellung der vertrauenden Seite von AD FS finden Sie im folgenden TechNet-Artikel:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Zum Erstellen einer Vertrauensstellung der vertrauenden Seite sind die folgenden Informationen erforderlich:

  • Relying Party SAML 2.0 SSO Service URL: Entspricht der Assertion Consumer Service URL.

    Beispiel: https://example.com/App Builder/signin-ADFS

  • Vertrauenskennung der vertrauenden Partei: Entspricht der Audience URI Eigenschaft.

    Beispiel: https://example.com/App Builder/

Sie können auch optionale Anspruchszuordnungen angeben. Der folgende TechNet-Artikel beschreibt, wie Sie AD FS-Vertrauensanspruchsregeln für vertrauende Parteien erstellen:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Zu den häufig zugeordneten Ansprüchen gehören:

  • Email Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

Siehe Ansprüche für weitere Informationen zu Ansprüchen.

Fehlerbehebung

Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Vertrauenseinstellungen der vertrauenden Seite auszudrucken:

> Get-ADFSRelyingPartyTrust-Identifier https://example.com/App Builder/signin-ADFS

Das Argument Identifier entspricht dem Assertion Consumer Service URL(wie oben beschrieben).

Fehlende Gruppenmitgliedschaft

Standardmäßig schließt ADFS keine Gruppenansprüche in SAML -Assertionen ein. Administratoren müssen eine oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzuschließen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften einschließt. Bei Verwendung der integrierten ADFS-Regel „Gruppenanspruch“ ist jedoch für jede Gruppe eine separate Regel erforderlich.

Der folgende Artikel beschreibt, wie man Gruppenmitgliedschaften einbezieht, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit "App Builder"):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

Im folgenden Artikel wird die Verwendung regulärer Ausdrücke in Transformation beschrieben:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Fehler „Die AudienceRestrictionCondition war ungültig, da die angegebene Zielgruppe nicht in AudienceUris vorhanden ist.“

Dieser Fehler weist darauf hin, dass die Zielgruppen-URI nicht übereinstimmt. Stellen Sie sicher, dass die Zielgruppen-Eigenschaft explizit festgelegt wurde. Wenn sie nicht festgelegt ist, wird standardmäßig die aktuelle URL verwendet, die je nach Benutzer unterschiedlich sein kann. Bei dem Wert wird die Groß-/Kleinschreibung beachtet.