Zum Inhalt springen

Konfigurieren von Active Directory Federation Services mit WS-Federation im Jitterbit App Builder

Der App Builder kann mit Active Directory Federation Services (AD FS) über das WS-Federation Passive-Protokoll integriert werden. Das WS-Federation Passive-Protokoll definiert die folgenden operativen Rollen:

Akteur Rolle
App Builder Vertrauenswürdige Partei
AD FS Identitätsanbieter (IdP) / Sicherheits-Token-Dienst (STS)
Benutzer Passiver Anforderer

Die Konfiguration umfasst die folgenden Verfahren:

  1. Erstellen Sie einen App Builder-Sicherheitsanbieter für AD FS
  2. Erstellen Sie ein AD FS-Vertrauensverhältnis für den App Builder

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugang zu AD FS.
  • Administratorzugang zum App Builder.
  • Der App Builder muss über HTTPS mit AD FS verbunden werden, um das Metadokument abzurufen. AD FS muss ein TLS-Zertifikat mit einer vertrauenswürdigen Root-CA verwenden: Der App Builder kann das Metadokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist.
  • Der App Builder muss über HTTPS verfügbar sein. Der Sicherheitsanbieter "Require HTTPS" sollte aktiviert sein (oder andere Maßnahmen ergriffen werden, um sicherzustellen, dass der App Builder nur über HTTPS zugänglich ist).
  • Client-Computer müssen so konfiguriert werden, dass sie AD FS vertrauen. Andernfalls wird AD FS den Benutzer zur Anmeldung auffordern.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder-URL https://example.com/Vinyl/ Der App Builder muss über HTTPS zugänglich sein. Die URL muss den abschließenden Schrägstrich enthalten. Der Pfad ist groß- und kleinschreibungsempfindlich.
Anbietername BeispielADFS Jeder Sicherheitsanbieter des App Builders erhält einen logischen Namen. Da der Anbietername in der URL des Passivprotokolls erscheint (siehe unten), vermeiden Sie Leerzeichen, Interpunktion und Sonderzeichen.
Passive-Protokoll-URL https://example.com/Vinyl/signin-BeispielADFS Der App Builder stellt automatisch einen Endpunkt für das Passive-Protokoll für WS-Federation-Sicherheitsanbieter bereit. Beachten Sie, dass der Anbietername in der URL erscheint.
URL des Föderationsmetadokuments https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml Die URL des Föderationsmetadokuments kann von AD FS abgerufen werden. Dazu starten Sie die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpunkte. Suchen Sie den Endpunkt vom Typ Föderationsmetadaten.
Zielgruppe https://example.com/Vinyl/signin-BeispielADFS Ein Wert für die Zielgruppe wird dringend empfohlen, um den Umfang der Authentifizierung zu begrenzen. Erwägen Sie die Verwendung der URL des Passivprotokolls.
Wtrealm https://example.com/Vinyl/signin-BeispielADFS Obwohl der Wtrealm willkürlich ist, müssen AD FS und der App Builder denselben Wert verwenden. Erwägen Sie die Verwendung der URL des Passivprotokolls.

Erstellen eines App Builder-Sicherheitsanbieters für AD FS

Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst als Administrator bei App Builder an:

  1. Navigieren Sie zum IDE
  2. Wählen Sie die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Panel Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes an:

    • Name: Sicherheitsanbieter-Name (siehe oben)

      Beispiel: ExampleADFS

    • Typ: WS-Federation

    • Aktiviert: Ankreuzen
    • Benutzerbereitstellung: Ankreuzen, um die Just-in-Time (JIT) Benutzerbereitstellung zu aktivieren.
    • Stellt Gruppenmitgliedschaft bereit: Ankreuzen, wenn AD FS so konfiguriert ist, dass die Gruppenmitgliedschaft des Benutzers übergeben wird.
    • Auf dem Anmeldeformular anzeigen: Ankreuzen

  5. Klicken Sie auf die Schaltfläche Speichern

  6. Klicken Sie im Panel Eigenschaften auf die Schaltfläche + Eigenschaft

  7. Geben Sie Folgendes an:

    • Parameter: MetadataAddress

    • Wert: Federation Metadata Document URL (siehe oben).

      Beispiel: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

  9. Klicken Sie im Panel Eigenschaften auf die Schaltfläche + Eigenschaft

  10. Geben Sie Folgendes an:

    • Parameter: Wtrealm

    • Wert: Wtrealm (siehe oben).

      Beispiel: https://example.com/Vinyl/signin-ExampleADFS

  11. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

  12. Klicken Sie im Panel Eigenschaften auf die Schaltfläche + Eigenschaft

  13. Geben Sie Folgendes an:

    • Parameter: Audience

    • Wert: Audience (siehe oben).

      Beispiel: https://example.com/Vinyl/signin-ExampleADFS

  14. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche auch in App Builder zugeordnet werden. Um beispielsweise den E-Mail-Anspruch zuzuordnen:

  1. Klicken Sie im Panel Ansprüche auf die Schaltfläche + Anspruch

  2. Geben Sie Folgendes an:

    • Identifier: Name des Anspruchstyps.\

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.\

      Beispiel: E-Mail-Adresse

  3. Klicken Sie auf das Speichern-Symbol (Ankreuzen)

Erstellen eines AD FS-Vertrauensverhältnisses für App Builder

Jede Instanz von App Builder muss innerhalb von AD FS als Vertrauensverhältnis registriert werden. Die vollständigen Details zur Erstellung, Konfiguration und Wartung von Vertrauensverhältnissen liegen außerhalb des Rahmens dieses Dokuments. Für zusätzliche Informationen zur Erstellung eines AD FS-Vertrauensverhältnisses siehe den folgenden TechNet-Artikel:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Die Erstellung eines Vertrauensverhältnisses erfordert die folgenden Informationen:

  • Protokoll: WS-Federation Passive

  • URL des WS-Federation Passive-Protokolls des Vertrauensverhältnisses: Entspricht der Passive Protocol URL (siehe oben).\

    Beispiel: https://example.com/Vinyl/signin-ExampleADFS

  • Identifikator des Vertrauensverhältnisses: Entspricht der Wtrealm-Eigenschaft (siehe oben).\

    Beispiel: https://example.com/Vinyl/signin-ExampleADFS

Erstellen einer AD FS-Endpunkt-URL für App Builder

Jede Instanz von App Builder muss innerhalb von AD FS als Endpunkt registriert werden. Erstellen Sie einen Endpunkt auf der Registerkarte Endpunkte in AD FS wie folgt:

  1. Klicken Sie auf die Schaltfläche Add WS-Federation.
  2. Setzen Sie den Endpunkt als Standard (Kontrollkästchen).

  3. Vertrauenswürdige URL: Entspricht der Wtrealm-Eigenschaft (siehe oben).

    Beispiel: https://example.com/Vinyl/signin-ExampleADFS

Anspruchszuordnungen (optional)

Sie können auch optionale Anspruchszuordnungen bereitstellen. Der folgende TechNet-Artikel beschreibt, wie man AD FS-Vertrauensverhältnisse für Anspruchsregeln erstellt:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Häufig zugeordnete Ansprüche sind:

  • E-Mail-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

Siehe Ansprüche für zusätzliche Informationen zu Ansprüchen.

Fehlersuche

Konfigurationseinstellungen

Hinweis

Ihre Konfigurationseinstellungen können von den in diesem Artikel bereitgestellten Beispielen abweichen, abhängig von Ihrer genauen Umgebung. Zum Beispiel, je nachdem, wie Ihr App-Pool konfiguriert ist, verwenden Sie möglicherweise demo.zudy.com/signin-AD oder demo.zudy.com/vinyl/signin-AD.

Die URL könnte lauten: http://example.com/Vinyl/service/authentication/external?returnUrl=...

Überprüfen Sie das Windows-Ereignisprotokoll. Überprüfen Sie insbesondere das Anwendungsprotokoll auf ASP.Net-Warnungen mit der Ereignis-ID 1309. Möglicherweise finden Sie einen Eintrag mit folgender Ausnahme-Nachricht:

Unable to get document from: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

Dies zeigt an, dass der App Builder das Federation Metadata Document nicht abrufen konnte. Stellen Sie sicher, dass der Webserver des App Builders eine HTTPS-Verbindung zum Endpunkt des AD FS Metadata Documents herstellen kann. Stellen Sie auch sicher, dass das TLS-Zertifikat gültig ist. Wenn das Zertifikat nicht von einer vertrauenswürdigen Stammstelle signiert ist, müssen Sie es möglicherweise manuell registrieren.

"Laufzeitfehler" nach der Anmeldung bei AD FS

Die URL könnte lauten: http://example.com/Vinyl/signin-ADFS

Überprüfen Sie das Windows-Ereignisprotokoll. Überprüfen Sie insbesondere das Anwendungsprotokoll auf ASP.Net-Warnungen mit der Ereignis-ID 1309. Möglicherweise finden Sie einen Eintrag mit einer der folgenden Ausnahme-Nachrichten.

Fehlender Anspruch

The identity does not contain a claim matching the given type.

Dies zeigt an, dass die SAML-Assertion einen oder mehrere erforderliche Ansprüche vermisst. Überprüfen Sie die Konfiguration der Anspruchsregeln.

Ungültige Zielgruppe

IDX10214: Audience validation failed. Audiences: 'https://example.com/Vinyl'. Did not match:  validationParameters.ValidAudience: 'https://example.com/Vinyl/' or validationParameters.ValidAudiences: 'null'

Dies zeigt an, dass die SAML-Assertion eine ungültige Zielgruppenbeschränkung hat. In diesem speziellen Beispiel fehlt der Zielgruppe der abschließende Schrägstrich. Stellen Sie sicher, dass der Bezeichner des vertrauenden Dritten korrekt ist.

Drucken der AD FS-Einstellungen für vertrauende Dritte

Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Einstellungen des vertrauenden Dritten zu drucken:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS`

Das Identifier-Argument entspricht der Passive Protocol URL (wie oben beschrieben).

Fehlende Gruppenmitgliedschaft

Standardmäßig schließt ADFS keine Gruppenansprüche in SAML-Assertions ein. Administratoren müssen ein oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzuschließen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften umfasst. Bei Verwendung der integrierten ADFS-"Gruppenanspruch"-Regel ist jedoch eine separate Regel für jede Gruppe erforderlich.

Der folgende Artikel beschreibt, wie man Gruppenmitgliedschaften, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit "App Builder" beginnen), einbezieht:

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

Der folgende Artikel beschreibt, wie man reguläre Ausdrücke in Anspruchstransformationsregeln verwendet:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Fehlende oder falsche Anspruchskonfiguration

Die folgende Fehlermeldung kann nach der Authentifizierung angezeigt werden:

Das Benutzerkonto (`<username>`) hat sich erfolgreich angemeldet, aber es wurde keine verfügbare Zielseite für ihre Anwendungen konfiguriert.

Dies zeigt eine erfolgreiche Konfiguration des Sicherheitsanbieters und des AD FS-Endpunkts an, bedeutet jedoch, dass Ansprüche noch nicht konfiguriert oder korrigiert werden müssen.

Überprüfen Sie die Ansprüche, die von ADFS an App Builder zurückgegeben werden (stellen Sie sicher, dass "Store Claims" aktiviert ist), um sicherzustellen, dass die richtigen Ansprüche (Gruppenmitgliedschaften, benutzerdefinierte Attribute) an App Builder übergeben werden, und diese dann in der Konfiguration der Sicherheitsanbieteransprüche zugeordnet werden können.