Zum Inhalt springen

Konfigurieren von Active Directory Verbunddiensten mithilfe von WS-Federation im Jitterbit App Builder

App Builder kann mithilfe des WS-Federation Passive-Protokolls in Active Directory Federation Services (AD FS) integriert werden. Das WS-Federation Passive-Protokoll definiert die folgenden Operationsrollen:

Schauspieler Rolle
App Builder Vertrauende Partei
AD FS Identitätsanbieter (IdP) / Security Token Service (STS)
Benutzer Passiver Anforderer

Die Konfiguration umfasst die folgenden Schritte:

  1. Erstellen an App Builder Sicherheitsanbieter für AD FS
  2. Erstellen Sie einen AD FS Relying Party Trust für App Builder

Anforderungen

Um fortzufahren, benötigen Sie Folgendes:

  • Administratorzugriff auf AD FS.
  • Administratorzugriff auf App Builder.
  • App Builder muss sich per HTTPS mit AD FS verbinden, um das Metadatendokument abzurufen. AD FS muss ein TLS-Zertifikat mit einem vertrauenswürdigen Stamm verwenden: App Builder kann das Metadatendokument nicht abrufen, wenn das Zertifikat nicht vertrauenswürdig oder anderweitig ungültig ist.
  • App Builder muss über HTTPS verfügbar sein. Der Sicherheitsanbieter HTTPS erforderlich sollte aktiviert sein (oder andere Maßnahmen ergriffen werden, um sicherzustellen, dass App Builder ist nur über HTTPS zugänglich).
  • Client-Rechner müssen so konfiguriert werden, dass sie AD FS vertrauen. Andernfalls fordert AD FS den Benutzer auf, sich anzumelden.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Beispiel Hinweise
App Builder URL https://example.com/App Builder/ App Builder muss über HTTPS erreichbar sein. Die URL muss den abschließenden Schrägstrich enthalten. Bei der Angabe des Pfads wird zwischen Groß- und Kleinschreibung unterschieden.
Anbietername BeispielADFS Jeder App Builder Der Sicherheitsanbieter erhält einen logischen Namen. Da der Anbietername in der Passive Protocol-URL (siehe unten) erscheint, vermeiden Sie Leerzeichen, Satzzeichen und Sonderzeichen.
Passives Protokoll URL https://example.com/App Builder/signin-BeispielADFS App Builder stellt automatisch einen passiven Endpoint für WS-Federation-Sicherheitsanbieter bereit. Beachten Sie, dass der Anbietername in der URL erscheint.
URL des Federation-Metadata-Dokuments https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml Die URL des Federation-Metadata-Dokuments kann von AD FS abgerufen werden. Starten Sie dazu die AD FS-Verwaltungskonsole. Wählen Sie AD FS → Dienst → Endpoints. Suchen Sie den Endpoint vom Typ Federation Metadata.
Zielgruppe https://example.com/App Builder/signin-ExampleADFS Um den Umfang der Authentifizierung einzuschränken, wird dringend ein Audience-Wert empfohlen. Erwägen Sie die Verwendung der Passive Protocol URL.
Wtrealm https://example.com/App Builder/signin-ExampleADFS Obwohl der Wtrealm beliebig ist, AD FS und App Builder muss den gleichen Wert verwenden. Erwägen Sie die Verwendung der Passive Protocol URL.

Erstellen an App Builder Sicherheitsanbieter für AD FS

Um den Sicherheitsanbieter zu erstellen, melden Sie sich zunächst bei App Builder als Administrator:

  1. Navigieren Sie zur IDE
  2. Wählen Sie die Schaltfläche Sicherheitsanbieter
  3. Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

  4. Geben Sie Folgendes ein:

    • Name: Security Provider Name(siehe oben)

      Beispiel: ExampleADFS

    • Typ: WS-Federation

    • Aktiviert: Aktivieren
    • Benutzerbereitstellung: Aktivieren, um Just-in-Time (JIT)-Benutzerbereitstellung zu aktivieren.
    • Supplies Group Membership: Überprüfen, ob AD FS so konfiguriert wurde, dass die Benutzergruppenmitgliedschaft weitergegeben wird.
    • Auf Anmeldeformular anzeigen: Aktivieren

  5. Klicken Sie auf die Schaltfläche Speichern

  6. Klicken Sie im Bereich Eigenschaften auf die Schaltfläche + Eigenschaft

  7. Geben Sie Folgendes ein:

    • Parameter: MetadataAddress

    • Wert: Federation Metadata Document URL(siehe oben).

      Beispiel: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Klicken Sie auf das Symbol Speichern (Häkchen)

  9. Klicken Sie im Fenster Eigenschaften auf die Schaltfläche + Eigenschaft

  10. Geben Sie Folgendes ein:

    • Parameter: Wtrealm

    • Wert: Wtrealm (siehe oben).

      Beispiel: https://example.com/App Builder/signin-ExampleADFS

  11. Klicken Sie auf das Symbol Speichern (Häkchen)

  12. Klicken Sie im Fenster Eigenschaften auf die Schaltfläche + Eigenschaft

  13. Geben Sie Folgendes ein:

    • Parameter: Zielgruppe

    • Wert: Zielgruppe (siehe oben).

      Beispiel: https://example.com/App Builder/signin-ExampleADFS

  14. Klicken Sie auf das Symbol Speichern (Häkchen)

Darüber hinaus müssen alle in AD FS zugeordneten Ansprüche in App Builder So ordnen Sie beispielsweise den Email-Anspruch zu:

  1. Klicken Sie im Bereich Ansprüche auf die Schaltfläche + Anspruch

  2. Geben Sie Folgendes an:

    • Bezeichner: Name des Anspruchstyps.\t

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.\t

      Beispiel: Email Adresse

  3. Klicken Sie auf das Symbol Speichern (Häkchen)

Erstellen einer AD FS-Vertrauensstellung für App Builder

Jede Instanz von App Builder muss innerhalb von AD FS als Vertrauensstellung der vertrauenden Seite registriert sein. Die vollständigen Details zum Erstellen, Konfigurieren und Verwalten von Vertrauensstellungen der vertrauenden Seite fallen nicht in den Rahmen dieses Dokuments. Weitere Informationen zum Erstellen einer Vertrauensstellung der vertrauenden Seite von AD FS finden Sie im folgenden TechNet-Artikel:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Zum Erstellen einer Vertrauensstellung der vertrauenden Seite sind die folgenden Informationen erforderlich:

  • Protokoll: WS-Federation Passive

  • Relying Party WS-Federation Passive Protokoll URL: Entspricht der Passive Protocol URL (siehe oben).

    Beispiel: https://example.com/App Builder/signin-ExampleADFS

  • Vertrauenskennung der vertrauenden Partei: Entspricht der Wtrealm Eigenschaft (siehe oben).

    Beispiel: https://example.com/App Builder/signin-ExampleADFS

Erstellen Sie eine AD FS- Endpoint URL für App Builder

Jede Instanz von App Builder muss in AD FS als Endpoint registriert sein. Erstellen Sie einen Endpoint auf der Tab „Endpoints“ in AD FS wie folgt:

  1. Klicken Sie auf die Schaltfläche WS-Federation hinzufügen.
  2. Legen Sie den Endpoint als Standard fest (Kontrollkästchen).

  3. Vertrauenswürdige URL: Entspricht der Wtrealm-Eigenschaft (siehe oben).

    Beispiel: https://example.com/App Builder/signin-ExampleADFS

Anspruchszuordnungen (optional)

Sie können auch optionale Anspruchszuordnungen angeben. Der folgende TechNet-Artikel beschreibt, wie Sie AD FS-Vertrauensanspruchsregeln für vertrauende Parteien erstellen:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Zu den häufig zugeordneten Ansprüchen gehören:

  • Email Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

Siehe Ansprüche für weitere Informationen zu Ansprüchen.

Fehlerbehebung

Konfigurationseinstellungen

Notiz

Ihre Konfigurationseinstellungen können je nach Ihrer genauen Umfeld von den in diesem Artikel angegebenen Beispielen abweichen. Je nachdem, wie Ihr App-Pool konfiguriert ist, verwenden Sie beispielsweise möglicherweise demo.zudy.com/signin-AD oder demo.zudy.com/vinyl/signin-AD.

Die URL kann lauten: http://example.com/App Builder/service/authentication/external?returnUrl=...

Überprüfen Sie das Windows-Ereignisprotokoll. Suchen Sie insbesondere im Anwendungsprotokoll nach ASP.Net-Warnungen mit der Ereignis-ID 1309. Möglicherweise finden Sie einen Eintrag mit der folgenden Ausnahmemeldung:

Unable to get document from: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

Dies zeigt an, dass App Builder konnte das Federation Metadata Document nicht abrufen. Stellen Sie sicher, dass das App Builder Der Webserver kann eine HTTPS-Verbindung zum AD FS-Metadatendokument Endpoint herstellen. Stellen Sie außerdem sicher, dass das TLS-Zertifikat gültig ist. Wenn das Zertifikat nicht von einer vertrauenswürdigen Stammadresse signiert ist, können Sie es manuell registrieren.

„laufzeit “ nach der Anmeldung bei AD FS

Die URL kann lauten: http://example.com/App Builder/signin-ADFS

Überprüfen Sie das Windows Ereignisprotokoll. Suchen Sie insbesondere im Anwendungsprotokoll nach ASP.Net-Warnungen mit der Ereignis-ID 1309. Möglicherweise finden Sie einen Eintrag mit einer der folgenden Ausnahmemeldungen.

Fehlender Anspruch

The identity does not contain a claim matching the given type.

Dies weist darauf hin, dass in der SAML -Assertion ein oder mehrere erforderliche Ansprüche fehlen. Überprüfen Sie die Konfiguration der Anspruchsregel.

Ungültiges Publikum

IDX10214: Audience validation failed. Audiences: 'https://example.com/App Builder'. Did not match:  validationParameters.ValidAudience: 'https://example.com/App Builder/' or validationParameters.ValidAudiences: 'null'

Dies weist darauf hin, dass die SAML -Assertion eine ungültige Zielgruppenbeschränkung aufweist. In diesem speziellen Beispiel fehlt der abschließende Schrägstrich der Zielgruppe. Stellen Sie sicher, dass die Vertrauenskennung der vertrauenden Seite korrekt ist.

Führen Sie den folgenden PowerShell-Befehl vom AD FS-Server aus, um die Vertrauenseinstellungen der vertrauenden Seite auszudrucken:

> Get-ADFSRelyingPartyTrust-Identifier https://example.com/App Builder/signin-ADFS`

The Identifier argument corresponds to the Passive Protocol URL (wie oben beschrieben).

Fehlende Gruppenmitgliedschaft

Standardmäßig schließt ADFS keine Gruppenansprüche in SAML -Assertionen ein. Administratoren müssen eine oder mehrere Anspruchsregeln erstellen, um die Gruppenmitgliedschaft einzuschließen. Es ist möglich, eine einzelne Anspruchsregel zu erstellen, die alle Gruppenmitgliedschaften einschließt. Bei Verwendung der integrierten ADFS-Regel „Gruppenanspruch“ ist jedoch für jede Gruppe eine separate Regel erforderlich.

Der folgende Artikel beschreibt, wie man Gruppenmitgliedschaften einbezieht, die einem regulären Ausdruck entsprechen (z. B. Gruppen, die mit "App Builder"):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

Im folgenden Artikel wird die Verwendung regulärer Ausdrücke in Transformation beschrieben:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Fehlende oder falsche Anspruchskonfiguration

Nach der Authentifizierung wird möglicherweise die folgende Fehlermeldung angezeigt:

The user account (`<Benutzername>`) has successfully signed in, but no available landing page has been configured for their applications.

Dies zeigt eine erfolgreiche Konfiguration des Sicherheitsanbieters und des AD FS-Endes an, bedeutet aber, dass Ansprüche noch nicht konfiguriert wurden oder korrigiert werden müssen.

Überprüfen Sie zurückgegebene Ansprüche App Builder von ADFS (stellen Sie sicher, dass Store Claims aktiviert ist), um sicherzustellen, dass die richtigen Ansprüche (Gruppenmitgliedschaften, benutzerdefinierte Attribute) an App Builder und diese können dann in der Security Provider Claims-Konfiguration zugeordnet werden.