Zum Inhalt springen

Verwandeln Sie Ihre Kontakte in Urlaubsgeld mit unserem neuen Kundenempfehlungsprogramm! Erfahren Sie mehr

Diese Dokumentation gilt für Version 4 und höher von App Builder, dem neuen Namen für Vinyl. Hier gelangen Sie zur Vinyl-Dokumentation.

Konfigurieren von Active Directory Federation Services mit SAML Single Sign-On im Jitterbit App Builder

App Builder kann mithilfe des SAML SSO-Protokolls (Single Sign-On) in Active Directory Federation Services (AD FS) integriert werden. Das SAML SSO-Protokoll definiert die folgenden Betriebsrollen:

Schauspieler Rolle
App Builder Dienstanbieter (SP)
AD FS Identitätsanbieter (IdP) / Sicherheitstokendienst (STS)
Benutzer Browser

Die Konfiguration umfasst die folgenden Schritte:

  1. Erstellen Sie einen App Builder Sicherheitsanbieter für AD FS
  2. Erstellen Sie einen AD FS Relying Party Trust für App Builder

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugriff auf AD FS.
  • Administratorzugriff auf App Builder. App Builder muss sich per HTTPS mit AD FS verbinden, um das Metadatendokument abzurufen. AD FS muss ein TLS-Zertifikat mit vertrauenswürdigem Stamm verwenden: App Builder kann das Metadatendokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist. App Builder muss über HTTPS verfügbar sein. Der Sicherheitsprovider „HTTPS erforderlich“ muss aktiviert sein (oder andere Maßnahmen ergreifen, um sicherzustellen, dass App Builder nur über HTTPS zugänglich ist).
  • Clientcomputer müssen so konfiguriert sein, dass sie AD FS vertrauen. Andernfalls fordert AD FS den Benutzer zur Anmeldung auf.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder URL https://example.com/App Builder/ Der App Builder muss über HTTPS erreichbar sein. Die URL muss einen abschließenden Schrägstrich enthalten. Bei der Pfadangabe wird die Groß- und Kleinschreibung beachtet.
Anbietername ADFS Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Da der Anbietername in der Assertion Consumer Service URL (siehe unten) erscheint, vermeiden Sie Leerzeichen, Satzzeichen und Sonderzeichen.
Assertion Consumer Service URL https://example.com/App Builder/signin-Okta App Builder stellt automatisch einen Assertion Consumer Service (ACS) Endpoint für SAML Single Sign-On (SSO)-Sicherheitsanbieter bereit. AD FS bezeichnet die ACS URL als „SAML 2.0 SSO-Dienst-URL der vertrauenden Partei“. Beachten Sie, dass der Anbietername in der URL erscheint.
Zielgruppen-URI https://example.com/App Builder/ Obwohl die Zielgruppen-URI beliebig ist, müssen AD FS und App Builder denselben Wert verwenden. Erwägen Sie die Verwendung der App Builder URL.
URL des Federation-Metadatendokuments https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml Die URL des Federation-Metadatendokuments kann von AD FS abgerufen werden. Starten Sie dazu die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpoints. Suchen Sie den Endpoint vom Typ „Federation Metadata“.

Erstellen eines App Builder Sicherheitsanbieters für AD FS

Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst als Administrator bei App Builder an:

  1. Navigieren Sie zur IDE
  2. Wählen Sie die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes an:

    • Name: Security Provider Name (siehe oben) Beispiel: ADFS
    • Typ: * SAML*
    • Aktiviert: Aktivieren
    • Benutzerbereitstellung: Aktivieren Sie dieses Kontrollkästchen, um die Just-in-Time (JIT)-Benutzerbereitstellung zu aktivieren.
    • Supplies Group Membership: Überprüfen Sie, ob AD FS so konfiguriert wurde, dass die Benutzergruppenmitgliedschaft weitergegeben wird
    • Im Anmeldeformular anzeigen: Aktivieren

  5. Klicken Sie auf die Schaltfläche Speichern

  6. Klicken Sie im Bereich Eigenschaften auf + Eigenschaft

  7. Geben Sie Folgendes an:

    • Parameter: MetadataEndpoint

    • Wert: Federation Metadata Document URL(siehe oben).

      Beispiel: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Klicken Sie auf das Symbol Speichern (Häkchen setzen).

  9. Klicken Sie im Bereich Eigenschaften auf + Eigenschaft.

  10. Geben Sie Folgendes ein:

    • Parameter: Zielgruppe

    • Wert: Audience URI(siehe oben).

      Beispiel: https://example.com/App Builder/

  11. Klicken Sie auf das Symbol Speichern (Häkchen)

Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche auch im App Builder zugeordnet werden. So ordnen Sie beispielsweise den Anspruch „Email“ zu:

  1. Klicken Sie im Bereich Anspruch auf + Anspruch

  2. Geben Sie Folgendes an:

    • Kennung: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: * Email-Adresse*

  3. Klicken Sie auf das Symbol Speichern (Häkchen)

Erstellen einer AD FS-Vertrauensstellung der vertrauenden Seite für App Builder

Jede Instanz von App Builder muss in AD FS als Vertrauensstellung der vertrauenden Seite registriert sein. Die detaillierten Informationen zum Erstellen, Konfigurieren und Verwalten von Vertrauensstellungen der vertrauenden Seite liegen außerhalb des Rahmens dieses Dokuments. Weitere Informationen zum Erstellen einer AD FS-Vertrauensstellung der vertrauenden Seite finden Sie im folgenden TechNet-Artikel:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Zum Erstellen einer Vertrauensstellung der vertrauenden Seite sind die folgenden Informationen erforderlich:

  • URL des SAML 2.0 SSO-Dienstes der vertrauenden Partei: Entspricht der Assertion Consumer Service URL.

    Beispiel: https://example.com/App Builder/signin-ADFS

  • Vertrauenskennung der vertrauenden Partei: Entspricht der Audience URIEigenschaft.

    Beispiel: https://example.com/App Builder/

Sie können optionale Anspruchszuordnungen angeben. Der folgende TechNet-Artikel beschreibt die Erstellung von AD FS-Vertrauensanspruchsregeln für die vertrauende Partei:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Zu den häufig abgebildeten Ansprüchen gehören:

  • E- Email-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress- Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/GroupSiehe Ansprüche für weitere Informationen zu Ansprüchen.

Fehlerbehebung

Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Vertrauenseinstellungen der vertrauenden Seite auszudrucken:

> Get-ADFSRelyingPartyTrust-Identifier https://example.com/App Builder/signin-ADFS

Das Argument Identifier entspricht dem Assertion Consumer Service URL(wie oben beschrieben).

Fehlende Gruppenmitgliedschaft

ADFS schließt Gruppenansprüche standardmäßig nicht in SAML -Assertions ein. Administratoren müssen eine oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzubeziehen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften einschließt. Bei Verwendung der integrierten ADFS-Regel „Gruppenanspruch“ ist jedoch für jede Gruppe eine separate Regel erforderlich.

Der folgende Artikel beschreibt, wie Sie Gruppenmitgliedschaften einschließen, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit „App Builder“ beginnen):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

Im folgenden Artikel wird die Verwendung regulärer Ausdrücke in Transformation beschrieben:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Fehler „Die AudienceRestrictionCondition war ungültig, da die angegebene Zielgruppe nicht in AudienceUris vorhanden ist.“

Dieser Fehler weist darauf hin, dass die Zielgruppen-URI nicht übereinstimmt. Stellen Sie sicher, dass die Eigenschaft Zielgruppe explizit festgelegt wurde. Andernfalls wird standardmäßig die aktuelle URL verwendet, die je nach Benutzer variieren kann. Der Wert berücksichtigt die Groß- und Kleinschreibung.