Zum Inhalt springen

Verwandeln Sie Ihre Kontakte in Urlaubsgeld mit unserem neuen Kundenempfehlungsprogramm! Erfahren Sie mehr

Diese Dokumentation gilt für Version 4 und höher von App Builder, dem neuen Namen für Vinyl. Hier gelangen Sie zur Vinyl-Dokumentation.

Konfigurieren von Active Directory Federation Services mit WS-Federation im Jitterbit App Builder

App Builder kann mithilfe des WS-Federation Passive-Protokolls in Active Directory Federation Services (AD FS) integriert werden. Das WS-Federation Passive-Protokoll definiert die folgenden Betriebsrollen:

Schauspieler Rolle
App Builder Vertrauende Partei
AD FS Identitätsanbieter (IdP) / Sicherheitstokendienst (STS)
Benutzer Passiver Anforderer

Die Konfiguration umfasst die folgenden Schritte:

  1. Erstellen Sie einen App Builder Sicherheitsanbieter für AD FS
  2. Erstellen Sie einen AD FS Relying Party Trust für App Builder

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugriff auf AD FS.
  • Administratorzugriff auf App Builder. App Builder muss sich per HTTPS mit AD FS verbinden, um das Metadatendokument abzurufen. AD FS muss ein TLS-Zertifikat mit vertrauenswürdigem Stamm verwenden: App Builder kann das Metadatendokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist. App Builder muss über HTTPS verfügbar sein. Der Sicherheitsprovider „HTTPS erforderlich“ muss aktiviert sein (oder andere Maßnahmen ergreifen, um sicherzustellen, dass App Builder nur über HTTPS zugänglich ist).
  • Clientcomputer müssen so konfiguriert sein, dass sie AD FS vertrauen. Andernfalls fordert AD FS den Benutzer zur Anmeldung auf.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder URL https://example.com/App Builder/ Der App Builder muss über HTTPS erreichbar sein. Die URL muss einen abschließenden Schrägstrich enthalten. Bei der Pfadangabe wird die Groß- und Kleinschreibung beachtet.
Anbietername BeispielADFS Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Da der Anbietername in der Passive Protocol URL (siehe unten) erscheint, vermeiden Sie Leerzeichen, Satzzeichen und Sonderzeichen.
Passives Protokoll URL https://example.com/App Builder/signin-ExampleADFS App Builder stellt automatisch einen passiven Protokoll-Endpoint für WS-Federation-Sicherheitsanbieter bereit. Beachten Sie, dass der Anbietername in der URL erscheint.
URL des Federation-Metadatendokuments https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml Die URL des Federation-Metadatendokuments kann von AD FS abgerufen werden. Starten Sie dazu die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpoints. Suchen Sie den Endpoint vom Typ „Federation Metadata“.
Zielgruppe https://example.com/App Builder/signin-ExampleADFS Die Angabe eines Zielgruppenwerts wird dringend empfohlen, um den Umfang der Authentifizierung einzuschränken. Erwägen Sie die Verwendung der Passive Protocol URL.
Wtrealm https://example.com/App Builder/signin-ExampleADFS Obwohl Wtrealm beliebig ist, müssen AD FS und App Builder denselben Wert verwenden. Erwägen Sie die Verwendung der Passive Protocol URL.

Erstellen eines App Builder Sicherheitsanbieters für AD FS

Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst als Administrator beim App Builder an:

  1. Navigieren Sie zur IDE
  2. Wählen Sie die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes an:

    • Name: Security Provider Name(siehe oben)

      Beispiel: ExampleADFS

    • Typ: WS-Federation

    • Aktiviert: Aktivieren
    • Benutzerbereitstellung: Aktivieren, um die Just-in-Time-Benutzerbereitstellung (JIT) zu aktivieren.
    • Gruppenmitgliedschaft bereitstellen: Prüfen, ob AD FS für die Weitergabe der Benutzergruppenmitgliedschaft konfiguriert ist.
    • Im Anmeldeformular anzeigen: Aktivieren

  5. Klicken Sie auf die Schaltfläche Speichern.

  6. Klicken Sie im Bereich Eigenschaften auf die Schaltfläche + Eigenschaft.

  7. Geben Sie Folgendes ein:

    • Parameter: MetadataAddress

    • Wert: Federation Metadata Document URL(siehe oben).

      Beispiel: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Klicken Sie auf das Symbol Speichern (Häkchen setzen).

  9. Klicken Sie im Bereich Eigenschaften auf die Schaltfläche + Eigenschaft.

  10. Geben Sie Folgendes ein:

    • Parameter: Wtrealm

    • Wert: Wtrealm(siehe oben).

      Beispiel: https://example.com/App Builder/signin-ExampleADFS

  11. Klicken Sie auf das Symbol Speichern (Häkchen setzen).

  12. Klicken Sie im Bereich Eigenschaften auf die Schaltfläche + Eigenschaft.

  13. Geben Sie Folgendes ein:

    • Parameter: Zielgruppe

    • Wert: Zielgruppe (siehe oben).

      Beispiel: https://example.com/App Builder/signin-ExampleADFS

  14. Klicken Sie auf das Symbol Speichern (Häkchen)

Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche auch im App Builder zugeordnet werden. So ordnen Sie beispielsweise den Anspruch „Email“ zu:

  1. Klicken Sie im Bereich Ansprüche auf die Schaltfläche + Anspruch

  2. Geben Sie Folgendes an:

    • Kennung: Name des Anspruchstyps.\

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.\

      Beispiel: * Email-Adresse*

  3. Klicken Sie auf das Symbol Speichern (Häkchen)

Erstellen einer AD FS-Vertrauensstellung der vertrauenden Seite für App Builder

Jede Instanz von App Builder muss in AD FS als Vertrauensstellung der vertrauenden Seite registriert sein. Die detaillierten Informationen zum Erstellen, Konfigurieren und Verwalten von Vertrauensstellungen der vertrauenden Seite liegen außerhalb des Rahmens dieses Dokuments. Weitere Informationen zum Erstellen einer AD FS-Vertrauensstellung der vertrauenden Seite finden Sie im folgenden TechNet-Artikel:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Zum Erstellen einer Vertrauensstellung der vertrauenden Seite sind die folgenden Informationen erforderlich:

  • Protokoll: WS-Federation Passive

  • Relying Party WS-Federation Passive Protokoll-URL: Entspricht der Passive Protocol URL(siehe oben).

    Beispiel: https://example.com/App Builder/signin-ExampleADFS

  • Vertrauenskennung der vertrauenden Partei: Entspricht der Wtrealm Eigenschaft (siehe oben).

    Beispiel: https://example.com/App Builder/signin-ExampleADFS

Erstellen einer AD FS- Endpoint URL für App Builder

Jede Instanz von App Builder muss in AD FS als Endpoint registriert sein. Erstellen Sie einen Endpoint auf der Tab „Endpoints“ in AD FS wie folgt:

  1. Klicken Sie auf die Schaltfläche WS-Federation hinzufügen.
  2. Legen Sie den Endpoint als Standard fest (Kontrollkästchen).

  3. Vertrauenswürdige URL: Entspricht der Wtrealm-Eigenschaft (siehe oben).

    Beispiel: https://example.com/App Builder/signin-ExampleADFS

Anspruchszuordnungen (optional)

Sie können optionale Anspruchszuordnungen angeben. Der folgende TechNet-Artikel beschreibt die Erstellung von AD FS-Vertrauensanspruchsregeln für die vertrauende Partei:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Zu den häufig abgebildeten Ansprüchen gehören:

  • E- Email-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress- Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/GroupSiehe Ansprüche für weitere Informationen zu Ansprüchen.

Fehlerbehebung

Konfigurationseinstellungen

Notiz

Ihre Konfigurationseinstellungen können je nach Ihrer genauen Umfeld von den Beispielen in diesem Artikel abweichen. Je nach Konfiguration Ihres App-Pools verwenden Sie beispielsweise demo.zudy.com/signin-AD oder demo.zudy.com/vinyl/signin-AD.

Die URL könnte lauten: http://example.com/App Builder/service/authentication/external?returnUrl=...

Überprüfen Sie das Windows Ereignisprotokoll. Suchen Sie insbesondere im Anwendungsprotokoll nach ASP.Net-Warnungen mit der Ereignis-ID 1309. Möglicherweise finden Sie einen Eintrag mit der folgenden Ausnahmemeldung:

Unable to get document from: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

Dies deutet darauf hin, dass App Builder das Federation-Metadatendokument nicht abrufen konnte. Stellen Sie sicher, dass der App Builder Webserver eine HTTPS-Verbindung zum AD FS-Metadatendokument Endpoint herstellen kann. Stellen Sie außerdem sicher, dass das TLS-Zertifikat gültig ist. Wenn das Zertifikat nicht von einem vertrauenswürdigen Stammzertifikat signiert ist, können Sie es manuell registrieren.

„laufzeit “ nach der Anmeldung bei AD FS

Die URL könnte lauten: http://example.com/App Builder/signin-ADFS

Überprüfen Sie das Windows Ereignisprotokoll. Suchen Sie insbesondere im Anwendungsprotokoll nach ASP.Net-Warnungen mit der Ereignis-ID 1309. Möglicherweise finden Sie einen Eintrag mit einer der folgenden Ausnahmemeldungen.

Fehlender Anspruch

The identity does not contain a claim matching the given type.

Dies weist darauf hin, dass in der SAML -Assertion ein oder mehrere erforderliche Ansprüche fehlen. Überprüfen Sie die Konfiguration der Anspruchsregel.

Ungültige Zielgruppe

IDX10214: Audience validation failed. Audiences: 'https://example.com/App Builder'. Did not match:  validationParameters.ValidAudience: 'https://example.com/App Builder/' or validationParameters.ValidAudiences: 'null'

Dies weist darauf hin, dass die SAML Assertion eine ungültige Zielgruppenbeschränkung aufweist. In diesem Beispiel fehlt der abschließende Schrägstrich. Stellen Sie sicher, dass die Vertrauenskennung der vertrauenden Partei korrekt ist.

Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Vertrauenseinstellungen der vertrauenden Seite auszudrucken:

> Get-ADFSRelyingPartyTrust-Identifier https://example.com/App Builder/signin-ADFS`

The Identifier argument corresponds to the Passive Protocol URL (wie oben beschrieben).

Fehlende Gruppenmitgliedschaft

ADFS schließt Gruppenansprüche standardmäßig nicht in SAML -Assertions ein. Administratoren müssen eine oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzubeziehen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften einschließt. Bei Verwendung der integrierten ADFS-Regel „Gruppenanspruch“ ist jedoch für jede Gruppe eine separate Regel erforderlich.

Der folgende Artikel beschreibt, wie Sie Gruppenmitgliedschaften einschließen, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit „App Builder“ beginnen):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

Im folgenden Artikel wird die Verwendung regulärer Ausdrücke in Transformation beschrieben:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Fehlende oder falsche Anspruchskonfiguration

Nach der Authentifizierung wird möglicherweise die folgende Fehlermeldung angezeigt:

The user account (`<Benutzername>`) has successfully signed in, but no available landing page has been configured for their applications.

Dies zeigt eine erfolgreiche Konfiguration des Sicherheitsanbieters und des AD FS-Endes an, bedeutet jedoch, dass Ansprüche noch nicht konfiguriert wurden oder korrigiert werden müssen.

Überprüfen Sie die von ADFS an App Builder zurückgegebenen Ansprüche (stellen Sie sicher, dass „Store Claims“ aktiviert ist), um sicherzustellen, dass die richtigen Ansprüche (Gruppenmitgliedschaften, benutzerdefinierte Attribute) an App Builder übergeben werden und diese dann in der Konfiguration der Security Provider Claims zugeordnet werden können.