Authentifizierung über SAML2 mit ADFS einrichten

Vorgehensweise:

1. Setzen Sie die notwendigen Startparameter im Aeneis-Anwendungsverzeichnis

2. Konfigurieren Sie SAML2 in Aeneis

3. Konfigurieren Sie in ADFS Management die relevanten SAML-Einstellungen

Startparameter im Anwendungsverzeichnis setzen

Setzen Sie im Anwendungsverzeichnis von Aeneis in den vmoptions folgende Startparameter:

• -Daeneis.hostname=

• -Daeneis.webserver.ssl.enabled=true

• -Daeneis.webserver.ssl.keystore.password=aeneis

• -Daeneis.webserver.ssl.cipher.suites=TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

• -Daeneis.webserver.ssl.keystore.key-alias=[KEY-ALIAS]

SAML2 in Aeneis konfigurieren

Um die Authentifizierung über SAML2 in Aeneis einzurichten, erstellen und konfigurieren Sie in der ServerAdministration eine neue tokenbasierte Authentifizierung.

Anleitung:

1. Navigieren Sie in der ServerAdministration in den Bereich Authentifizierung und wechseln Sie in den Tab Tokenbasierte Authentifizierung

2. Klicken Sie auf Tokenbasierte Authentifizierung erstellen:

   

3. Tragen Sie im Dialog Tokenbasierte Authentifizierung erstellen folgende Eigenschaften ein:

   Eigenschaft	Erklärung
   Authentifizierungsanbieter	Wählen Sie hier SAML2 aus.
   Name	Der Name, den Sie hier vergeben, entspricht dem späteren Anzeigenamen der zugehörigen Schaltfläche beim Portal-Login.
   Metadaten-Datei	Hier hinterlegen Sie die ADFS-Metadaten-XML.
   Metadaten-URL	Tragen Sie hier folgende URL ein: https://[ADFS_SERVER]/FederationMetadata/2007-06/FederationMetadata.xml Hinweis: Wenn ein eigenes SSL-Zertifikat vorliegt, können Sie optional das Zertifikat unter Zertifikate (Beta) hinzufügen.

4. Klicken Sie im Dialog Tokenbasierte Authentifizierung erstellen auf Erstellen

5. Starten Sie den Aeneis-Server neu

Hinweis: Damit sich die Benutzer/-innen im Portal über die Authentifizierung anmelden können, starten Sie Aeneis nach der Einrichtung oder Anpassung neu.

6. Navigieren Sie in der ServerAdministration erneut in den Bereich Authentifizierung und wechseln Sie in den Tab Tokenbasierte Authentifizierung

7. Klicken Sie in der Tabelle Tokenbasierte Authentifizierungsanbieter bei der Saml2-Authentifizierung auf Bearbeiten:

   

   Hinweis: Über die Schaltfläche Bearbeiten können Sie jederzeit Änderungen an der jeweiligen Authentifizierung vornehmen, um z. B. den Namen anzupassen.

8. Klicken Sie im Dialog Tokenbasierte Authentifizierung bearbeiten auf Datei herunterladen

   

9. Klicken Sie im Dialog Tokenbasierte Authentifizierung bearbeiten auf Bearbeiten

SAML-Einstellungen in ADFS Management konfigurieren

Um die Einrichtung der SAML-Authentifizierung abzuschließen, konfigurieren Sie im ADFS Management die entsprechenden SAML-Einstellungen.

Anleitung:

1. Wählen Sie unter Control Panel | Administrative Tools den Eintrag Add Relying Party Trust aus

   Hinweis: Möglicherweise ist es notwendig Active Directory Federation Services zu installieren.

2. Wählen Sie die Option Import data about the relying party from a file aus und hinterlegen Sie die Metadaten-Datei

   Hinweis: Bei Klick auf Next erscheint eine Meldung, dass manche Inhalte der Metadaten nicht unterstützt werden. Diese Meldung ignorieren.

3. Geben Sie einen Display name (*) ein und klicken Sie auf Next

4. Aktivieren Sie die Option I do not want to configure multi-factor authentication settings for this relying party trust at this time und klicken Sie auf Next

5. Aktivieren Sie die Option Permit all users to access this relying party und klicken Sie auf Next

6. Überprüfen Sie im Eintrag Ready to Add Trust im Tab Endpoint, ob mehrere Endpoint values gesetzt sind. Wenn nicht, überprüfen Sie, ob die Metadaten-Datei über HTTPS generiert wurde

7. Aktivieren Sie die Option Open the Edit Claim Rules dialog und beenden Sie

8. Fügen Sie über Add Rule eine neue Regel hinzu

9. Wählen Sie den Regeltyp LDAP-Attribute als Ansprüche senden(Send LDAP Attributes as Claims) aus und klicken Sie auf Weiter

10. Geben Sie einen Anspruchsregelname

11. Wählen Sie als Attributspeicher Active Directory aus

12. Legen Sie folgende Regeln an:

    

    LDAP-Attribut	Ausgehender Anspruchstyp	Beschreibung
    E-Mail-Adresses	E-Mail-Adresse	Mit E-Mail-Adresses wird die E-Mail-Adresse des/der Benutzers/-in gesetzt, falls er/sie beim Login erstellt wird.
    Display-Name	Angegebener Name	Mit dem Display-Name wird die Bezeichnung des/der Benutzers/-in gesetzt, falls er/sie beim Login erstellt wird.
    Token-Groups - unqualifizierte Namen	Gruppe	Dieses Attribut wird nur konfiguriert, wenn in Aeneis externe Gruppen mit den Namen aus ADFS existieren und mit den Benutzern/-innen synchronisiert werden sollen. Dadurch werden die Benutzer/-innen, wenn sie sich einloggen, in die Gruppen hinzugefügt oder daraus entfernt, falls sie im ADFS auch in den Gruppen sind oder entfernt wurden.
    User-Principal-Name	Namens-ID	Muss zwingend konfiguriert werden! Mit dem User-Principal-Name wird definiert, mit welchem Attribut als ID der/die Benutzer/-innen eingeloggt wird.

13. Beenden Sie den Assistenten über OK

14. Ergänzen Sie im ADFS-Server folgendes:
    Set-AdfsRelyingPartyTrust -SamlResponseSignature "MessageAndAssertion" -TargetName "Display-Name"

    Hinweis: Geben Sie als "Display-Name" den vorher angegebenen Display name aus Schritt 3 an.
    

Ergebnis:

Die Authentifizierung in Aeneis über SAML2 ist nun eingerichtet. Benutzer/-innen können sich per Klick auf die Schaltfläche mit dem konfigurierten Namen über die Authentifizierung im Portal anmelden.

Elektronische Signatur ergänzen

Wenn Sie in Aeneis die elektronische Signatur (Eigenschaft Zeige Login-Dialog in Transitionen) verwenden und die Authentifizierung über SAML2 ADFS eingerichtet haben, ergänzen Sie im Aeneis-Anwendungsverzeichnis in der Datei application.yml ganz am Ende folgenden Eintrag:

urls: {adfs: '[URL des ADFS]'}