Authentifizierung über SAML2 mit ADFS einrichten

Vorgehensweise:

(1) Startparameter in Aeneis setzen

(2) SAML2 in Aeneis konfigurieren

(3) In ADFS Management SAML-Einstellungen konfigurieren

Hinweis: SAML2 funktioniert nur mit SHA-256. SHA-1 oder andere werden aktuell nicht unterstützt.

Anleitung:

  1. Setzen Sie im Anwendungsverzeichnis von Aeneis in den vmoptions folgende Startparameter:

    • -Daeneis.hostname=

    • -Daeneis.webserver.ssl.enabled=true

    • -Daeneis.webserver.ssl.keystore.password=aeneis

    • -Daeneis.webserver.ssl.cipher.suites=TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

    • -Daeneis.webserver.ssl.keystore.key-alias=[KEY-ALIAS]

Hinweis: Über den Startparameter -Daeneis.webserver.ssl.keystore.key-alias= wird der Alias-Name des Schlüsselpaars aus der Datei aeneis-server-keystore.jks gesetzt.

  1. Konfigurieren Sie in der Aeneis ServerAdministration unter Authentifizierung | Tokenbasierte Authentifizierung die Authentifizierung über SAML2. Für die Konfiguration wird die Aeneis-Metadaten-Datei benötigt. Wenn die Metadaten-Datei bereits vorhanden ist, können Sie diese in der Eigenschaft Metadaten-Datei hinterlegen. Wenn noch keine Metadaten-Datei vorhanden ist, können Sie diese wie folgt generieren:

    1. Tragen Sie in die Eigenschaft Metadaten-URL folgende URL ein: https://[ADFS_SERVER]/FederationMetadata/2007-06/FederationMetadata.xml

    2. Optional: Wenn ein eigenes SSL-Zertifikat vorliegt, fügen Sie das Zertifikat unter Zertifikate (Beta) hinzu

    3. Straten Sie den Aeneis-Server neu

    4. Laden Sie die Metadaten-Datei auf eine der folgenden Weisen herunter:

      • Laden Sie in der ServerAdministration unter Authentifizierung | Tokenbasierte Authentifizierung über den Button Datei herunterladen die Metadaten-Datei herunter

      • Laden Sie über folgenden Link die Metadaten-Datei herunter: https://[HOST:PORT]/saml/metadata/SSO

  2. Konfigurieren Sie im ADFS Management folgende Einstellungen:

    1. Wählen Sie unter Control Panel | Administrative Tools den Eintrag Add Relying Party Trust aus

      Hinweis: Möglicherweise ist es notwendig Active Directory Federation Services zu Installieren.

    2. Wählen Sie die Option Import data about the relying party from a file aus und hinterlegen Sie die Metadaten-Datei

      Hinweis: Bei Klick auf Next erscheint eine Meldung, dass manche Inhalte der Metadaten nicht unterstützt werden. Diese Meldung ignorieren.

    3. Geben Sie einen Display name (*) ein und klicken Sie auf Next

    4. Aktivieren Sie die Option I do not want to configure multi-factor authentication settings for this relying party trust at this time und klicken Sie auf Next

    5. Aktivieren Sie die Option Permit all users to access this relying party und klicken Sie auf Next

    6. Überprüfen Sie im Eintrag Ready to Add Trust im Tab Endpoint, ob mehrere Endpoint values gesetzt sind. Wenn nicht, überprüfen Sie, ob die Metadaten-Datei über HTTPS generiert wurde

    7. Aktivieren Sie die Option Open the Edit Claim Rules dialog und beenden Sie

    8. Fügen Sie über Add Rule eine neue Regel hinzu

    9. Wählen Sie den Regeltyp LDAP-Attribute als Ansprüche senden(Send LDAP Attributes as Claims) aus und klicken Sie auf Weiter

    10. Geben Sie einen Anspruchsregelname

    11. Wählen Sie als Attributspeicher Active Directory aus

    12. Legen Sie folgende Regeln an:

      LDAP-Attribut

      Ausgehender Anspruchstyp

      Beschreibung

      E-Mail-Adresses

      E-Mail-Adresse

       

      Display-Name

      Angegebener Name

      Mit dem Display-Name wird die Bezeichnung des/der Benutzers/-in gesetzt, falls dieser beim Login erstellt wird

      Token-Groups - unqualifizierte Namen

      Gruppe

      Dieses Attribut wird nur konfiguriert, wenn in Aeneis externe Gruppen mit den Namen aus ADFS existieren und mit den Benutzern/-innen synchronisiert werden sollen. Dadurch werden die Benutzer/-innen, wenn sie sich einloggen, in die Gruppen hinzugefügt oder daraus entfernt, falls sie im ADFS auch in den Gruppen sind oder entfernt wurden.

      User-Principal-Name

      Namens-ID

      Muss zwingend konfiguriert werden! Mit dem User-Principal-Name wird definiert, mit welchem Attribut als ID der Benutzer eingeloggt wird

    13. Beenden Sie den Assistenten über OK

  3. Ergänzen Sie im ADFS-Server folgendes:
    Set-AdfsRelyingPartyTrust -SamlResponseSignature "MessageAndAssertion" -TargetName "Display-Name"
    (*) Geben Sie als "Display-Name" den vorher angegebenen Display name aus Schritt 3.c. an.

Elektronische Signatur:

Wenn Sie in Aeneis die elektronische Signatur (Eigenschaft Zeige Login-Dialog in Transitionen) verwenden und die Authentifizierung über SAML2 ADFS eingerichtet haben, ergänzen Sie im Aeneis-Anwendungsverzeichnis in der Datei application.yml ganz am Ende folgenden Eintrag:

urls: {adfs: '[URL des ADFS]'}