Konfigurieren von Active Directory Federation Services mit SAML Single Sign-On im Jitterbit App Builder
Der App Builder kann mit Active Directory Federation Services (AD FS) über das SAML Single Sign-On (SSO) Protokoll integriert werden. Das SAML SSO Protokoll definiert die folgenden operativen Rollen:
Akteur | Rolle |
---|---|
App Builder | Dienstanbieter (SP) |
AD FS | Identitätsanbieter (IdP) / Sicherheits-Token-Dienst (STS) |
Benutzer | Browser |
Die Konfiguration umfasst die folgenden Verfahren:
- Erstellen eines App Builder Sicherheitsanbieters für AD FS
- Erstellen eines AD FS Relying Party Trust für App Builder
Anforderungen
Um fortzufahren, benötigen Sie Folgendes:
- Administratorzugang zu AD FS.
- Administratorzugang zum App Builder.
- Der App Builder muss über HTTPS mit AD FS verbunden werden, um das Metadokument abzurufen. AD FS muss ein TLS-Zertifikat mit einer vertrauenswürdigen Root-CA verwenden: Der App Builder kann das Metadokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist.
- Der App Builder muss über HTTPS verfügbar sein. Der Sicherheitsanbieter "Require HTTPS" sollte aktiviert sein (oder andere Maßnahmen ergriffen werden, um sicherzustellen, dass der App Builder nur über HTTPS zugänglich ist).
- Client-Computer müssen so konfiguriert werden, dass sie AD FS vertrauen. Andernfalls wird AD FS den Benutzer zur Anmeldung auffordern.
Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:
Beispiel | Hinweise | |
---|---|---|
App Builder URL | https://example.com/Vinyl/ | Der App Builder muss über HTTPS zugänglich sein. Die URL muss den abschließenden Schrägstrich enthalten. Der Pfad ist groß- und kleinschreibungsempfindlich. |
Anbietername | ADFS | Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Da der Anbietername in der Assertion Consumer Service URL erscheinen wird (siehe unten), vermeiden Sie Leerzeichen, Interpunktion und Sonderzeichen. |
Assertion Consumer Service URL | https://example.com/Vinyl/signin-Okta | Der App Builder stellt automatisch einen Assertion Consumer Service (ACS) Endpunkt für SAML Single Sign-On (SSO) Sicherheitsanbieter bereit. AD FS bezeichnet die ACS-URL als die "Relying party SAML 2.0 SSO-Dienst-URL". Beachten Sie, dass der Anbietername in der URL erscheint. |
Audience URI | https://example.com/Vinyl/ | Obwohl die Audience-URI willkürlich ist, müssen AD FS und App Builder denselben Wert verwenden. Erwägen Sie die Verwendung der App Builder URL. |
Federation Metadata Document URL | https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml | Die Federation Metadata Document URL kann von AD FS abgerufen werden. Dazu starten Sie die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpunkte. Suchen Sie den Endpunkt vom Typ Federation Metadata. |
Erstellen eines Sicherheitsanbieters für App Builder für AD FS
Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst als Administrator bei App Builder an:
- Navigieren Sie zum IDE
- Wählen Sie die Schaltfläche Sicherheitsanbieter
- Klicken Sie im Panel Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung
-
Geben Sie Folgendes an:
- Name:
Sicherheitsanbieter-Name
(siehe oben) Beispiel: ADFS - Typ: SAML
- Aktiviert: Ankreuzen
- Benutzerbereitstellung: Ankreuzen, um die Just-in-Time (JIT) Benutzerbereitstellung zu aktivieren
- Stellt Gruppenmitgliedschaft bereit: Ankreuzen, wenn AD FS so konfiguriert ist, dass die Gruppenmitgliedschaft des Benutzers übergeben wird
- Auf Anmeldeformular anzeigen: Ankreuzen
- Name:
-
Klicken Sie auf die Schaltfläche Speichern
- Klicken Sie im Panel Eigenschaften auf + Eigenschaft
-
Geben Sie Folgendes an:
- Parameter: MetadataEndpoint
-
Wert:
Federation Metadata Document URL
(siehe oben).\Beispiel:
https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
-
Klicken Sie auf das Speichern-Symbol (Ankreuzen)
- Klicken Sie im Panel Eigenschaften auf + Eigenschaft
-
Geben Sie Folgendes an:
- Parameter: Audience
-
Wert:
Audience URI
(siehe oben).Beispiel:
https://example.com/Vinyl/
-
Klicken Sie auf das Speichern-Symbol (Ankreuzen)
Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche auch in App Builder zugeordnet werden. Um beispielsweise den E-Mail-Anspruch zuzuordnen:
- Klicken Sie im Panel Anspruch auf + Anspruch
-
Geben Sie Folgendes an:
-
Identifier: Name des Anspruchstyps.
Beispiel:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Verwendung: Verwendung des Anspruchstyps.
Beispiel: E-Mail-Adresse
-
-
Klicken Sie auf das Speichern-Symbol (Ankreuzen)
Erstellen eines AD FS-Vertrauensverhältnisses für App Builder
Jede Instanz von App Builder muss innerhalb von AD FS als Vertrauensverhältnis registriert werden. Die vollständigen Details zur Erstellung, Konfiguration und Wartung von Vertrauensverhältnissen fallen nicht in den Rahmen dieses Dokuments. Für weitere Informationen zur Erstellung eines AD FS-Vertrauensverhältnisses siehe den folgenden TechNet-Artikel:
https://technet.microsoft.com/en-ca/library/dd807108.aspx
Die Erstellung eines Vertrauensverhältnisses für eine vertrauende Partei erfordert die folgenden Informationen:
-
SAML 2.0 SSO-Dienst-URL der vertrauenden Partei: Entspricht der
Assertion Consumer Service URL
.Beispiel:
https://example.com/Vinyl/signin-ADFS
-
Identifikator des Vertrauensverhältnisses der vertrauenden Partei: Entspricht der
Audience URI
-Eigenschaft.Beispiel:
https://example.com/Vinyl/
Es können auch optionale Anspruchszuordnungen bereitgestellt werden. Der folgende TechNet-Artikel beschreibt, wie man Anspruchsregeln für das AD FS-Vertrauensverhältnis der vertrauenden Partei erstellt:
https://technet.microsoft.com/en-us/library/dd807115.aspx
Häufig zugeordnete Ansprüche umfassen:
- E-Mail-Adresse -
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Gruppenmitgliedschaft -
http://schemas.xmlsoap.org/claims/Group
Siehe Claims für zusätzliche Informationen zu Ansprüchen.
Fehlerbehebung
AD FS-Vertrauensverhältnisseinstellungen drucken
Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Einstellungen des Vertrauensverhältnisses der vertrauenden Partei zu drucken:
> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS
Das Identifier-Argument entspricht der Assertion Consumer Service URL
(wie oben beschrieben).
Fehlende Gruppenmitgliedschaft
Standardmäßig schließt ADFS keine Gruppenansprüche in SAML-Assertions ein. Administratoren müssen eine oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzuschließen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften umfasst. Bei Verwendung der integrierten ADFS-"Gruppenanspruch"-Regel ist jedoch eine separate Regel für jede Gruppe erforderlich.
Der folgende Artikel beschreibt, wie man Gruppenmitgliedschaften, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit "App Builder" beginnen), einbezieht:
Der folgende Artikel beschreibt, wie man reguläre Ausdrücke in Anspruchstransformationsregeln verwendet:
Fehler "Die AudienceRestrictionCondition war nicht gültig, da die angegebene Audience nicht in AudienceUris vorhanden ist."
Dieser Fehler zeigt an, dass die Audience-URI nicht übereinstimmt. Stellen Sie sicher, dass die Audience-Eigenschaft explizit festgelegt wurde. Wenn sie nicht festgelegt ist, wird sie standardmäßig auf die aktuelle URL gesetzt, die je nach Benutzer variieren kann. Der Wert ist groß- und kleinschreibungsempfindlich.