Zum Inhalt springen

Konfigurieren von Active Directory Federation Services mit SAML Single Sign-On im Jitterbit App Builder

Der App Builder kann mit Active Directory Federation Services (AD FS) über das SAML Single Sign-On (SSO) Protokoll integriert werden. Das SAML SSO Protokoll definiert die folgenden operativen Rollen:

Akteur Rolle
App Builder Dienstanbieter (SP)
AD FS Identitätsanbieter (IdP) / Sicherheits-Token-Dienst (STS)
Benutzer Browser

Die Konfiguration umfasst die folgenden Verfahren:

  1. Erstellen eines App Builder Sicherheitsanbieters für AD FS
  2. Erstellen eines AD FS Relying Party Trust für App Builder

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugang zu AD FS.
  • Administratorzugang zum App Builder.
  • Der App Builder muss über HTTPS mit AD FS verbunden werden, um das Metadokument abzurufen. AD FS muss ein TLS-Zertifikat mit einer vertrauenswürdigen Root-CA verwenden: Der App Builder kann das Metadokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist.
  • Der App Builder muss über HTTPS verfügbar sein. Der Sicherheitsanbieter "Require HTTPS" sollte aktiviert sein (oder andere Maßnahmen ergriffen werden, um sicherzustellen, dass der App Builder nur über HTTPS zugänglich ist).
  • Client-Computer müssen so konfiguriert werden, dass sie AD FS vertrauen. Andernfalls wird AD FS den Benutzer zur Anmeldung auffordern.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder URL https://example.com/Vinyl/ Der App Builder muss über HTTPS zugänglich sein. Die URL muss den abschließenden Schrägstrich enthalten. Der Pfad ist groß- und kleinschreibungsempfindlich.
Anbietername ADFS Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Da der Anbietername in der Assertion Consumer Service URL erscheinen wird (siehe unten), vermeiden Sie Leerzeichen, Interpunktion und Sonderzeichen.
Assertion Consumer Service URL https://example.com/Vinyl/signin-Okta Der App Builder stellt automatisch einen Assertion Consumer Service (ACS) Endpunkt für SAML Single Sign-On (SSO) Sicherheitsanbieter bereit. AD FS bezeichnet die ACS-URL als die "Relying party SAML 2.0 SSO-Dienst-URL". Beachten Sie, dass der Anbietername in der URL erscheint.
Audience URI https://example.com/Vinyl/ Obwohl die Audience-URI willkürlich ist, müssen AD FS und App Builder denselben Wert verwenden. Erwägen Sie die Verwendung der App Builder URL.
Federation Metadata Document URL https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml Die Federation Metadata Document URL kann von AD FS abgerufen werden. Dazu starten Sie die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpunkte. Suchen Sie den Endpunkt vom Typ Federation Metadata.

Erstellen eines Sicherheitsanbieters für App Builder für AD FS

Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst als Administrator bei App Builder an:

  1. Navigieren Sie zum IDE
  2. Wählen Sie die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Panel Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung
  4. Geben Sie Folgendes an:

    • Name: Sicherheitsanbieter-Name (siehe oben) Beispiel: ADFS
    • Typ: SAML
    • Aktiviert: Ankreuzen
    • Benutzerbereitstellung: Ankreuzen, um die Just-in-Time (JIT) Benutzerbereitstellung zu aktivieren
    • Stellt Gruppenmitgliedschaft bereit: Ankreuzen, wenn AD FS so konfiguriert ist, dass die Gruppenmitgliedschaft des Benutzers übergeben wird
    • Auf Anmeldeformular anzeigen: Ankreuzen
  5. Klicken Sie auf die Schaltfläche Speichern

  6. Klicken Sie im Panel Eigenschaften auf + Eigenschaft
  7. Geben Sie Folgendes an:

    • Parameter: MetadataEndpoint
    • Wert: Federation Metadata Document URL (siehe oben).\

      Beispiel: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

  9. Klicken Sie im Panel Eigenschaften auf + Eigenschaft
  10. Geben Sie Folgendes an:

    • Parameter: Audience
    • Wert: Audience URI (siehe oben).

      Beispiel: https://example.com/Vinyl/

  11. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche auch in App Builder zugeordnet werden. Um beispielsweise den E-Mail-Anspruch zuzuordnen:

  1. Klicken Sie im Panel Anspruch auf + Anspruch
  2. Geben Sie Folgendes an:

    • Identifier: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: E-Mail-Adresse

  3. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

Erstellen eines AD FS-Vertrauensverhältnisses für App Builder

Jede Instanz von App Builder muss innerhalb von AD FS als Vertrauensverhältnis registriert werden. Die vollständigen Details zur Erstellung, Konfiguration und Wartung von Vertrauensverhältnissen fallen nicht in den Rahmen dieses Dokuments. Für weitere Informationen zur Erstellung eines AD FS-Vertrauensverhältnisses siehe den folgenden TechNet-Artikel:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Die Erstellung eines Vertrauensverhältnisses für eine vertrauende Partei erfordert die folgenden Informationen:

  • SAML 2.0 SSO-Dienst-URL der vertrauenden Partei: Entspricht der Assertion Consumer Service URL.

    Beispiel: https://example.com/Vinyl/signin-ADFS

  • Identifikator des Vertrauensverhältnisses der vertrauenden Partei: Entspricht der Audience URI-Eigenschaft.

    Beispiel: https://example.com/Vinyl/

Es können auch optionale Anspruchszuordnungen bereitgestellt werden. Der folgende TechNet-Artikel beschreibt, wie man Anspruchsregeln für das AD FS-Vertrauensverhältnis der vertrauenden Partei erstellt:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Häufig zugeordnete Ansprüche umfassen:

  • E-Mail-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

Siehe Claims für zusätzliche Informationen zu Ansprüchen.

Fehlerbehebung

Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Einstellungen des Vertrauensverhältnisses der vertrauenden Partei zu drucken:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS

Das Identifier-Argument entspricht der Assertion Consumer Service URL (wie oben beschrieben).

Fehlende Gruppenmitgliedschaft

Standardmäßig schließt ADFS keine Gruppenansprüche in SAML-Assertions ein. Administratoren müssen eine oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzuschließen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften umfasst. Bei Verwendung der integrierten ADFS-"Gruppenanspruch"-Regel ist jedoch eine separate Regel für jede Gruppe erforderlich.

Der folgende Artikel beschreibt, wie man Gruppenmitgliedschaften, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit "App Builder" beginnen), einbezieht:

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

Der folgende Artikel beschreibt, wie man reguläre Ausdrücke in Anspruchstransformationsregeln verwendet:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Fehler "Die AudienceRestrictionCondition war nicht gültig, da die angegebene Audience nicht in AudienceUris vorhanden ist."

Dieser Fehler zeigt an, dass die Audience-URI nicht übereinstimmt. Stellen Sie sicher, dass die Audience-Eigenschaft explizit festgelegt wurde. Wenn sie nicht festgelegt ist, wird sie standardmäßig auf die aktuelle URL gesetzt, die je nach Benutzer variieren kann. Der Wert ist groß- und kleinschreibungsempfindlich.