Authentifizierung über SAML2 mit ADFS einrichten
Vorgehensweise:
(1) Startparameter in Aeneis setzen
(2) SAML2 in Aeneis konfigurieren
(3) In ADFS Management SAML-Einstellungen konfigurieren
Hinweis: SAML2 funktioniert nur mit SHA-256. SHA-1 oder andere werden aktuell nicht unterstützt.
Hinweis: Die Authentifizierung über SAML2 funktioniert erst, wenn in der config.yml der Link auf den IDP ergänzt wurde.
Anleitung:
-
Setzen Sie im Anwendungsverzeichnis von Aeneis in den vmoptions folgende Startparameter:
-
-Daeneis.hostname=
-
-Daeneis.webserver.ssl.enabled=true
-
-Daeneis.webserver.ssl.keystore.password=aeneis
-
-Daeneis.webserver.ssl.cipher.suites=TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA
-
-Daeneis.webserver.ssl.keystore.key-alias=[KEY-ALIAS]
-
Hinweis: Über den Startparameter -Daeneis.webserver.ssl.keystore.key-alias= wird der Alias-Name des Schlüsselpaars aus der Datei aeneis-server-keystore.jks gesetzt.
-
Konfigurieren Sie in der Aeneis ServerAdministration unter Authentifizierung | Tokenbasierte Authentifizierung die Authentifizierung über SAML2. Für die Konfiguration wird die Aeneis-Metadaten-Datei benötigt. Wenn die Metadaten-Datei bereits vorhanden ist, können Sie diese in der Eigenschaft Metadaten-Datei hinterlegen. Wenn noch keine Metadaten-Datei vorhanden ist, können Sie diese wie folgt generieren:
-
Tragen Sie in die Eigenschaft Metadaten-URL folgende URL ein: https://[ADFS_SERVER]/FederationMetadata/2007-06/FederationMetadata.xml
-
Optional: Wenn ein eigenes SSL-Zertifikat vorliegt, fügen Sie das Zertifikat unter Zertifikate (Beta) hinzu
-
Straten Sie den Aeneis-Server neu
-
Laden Sie die Metadaten-Datei auf eine der folgenden Weisen herunter:
-
Laden Sie in der ServerAdministration unter Authentifizierung | Tokenbasierte Authentifizierung über den Button Datei herunterladen die Metadaten-Datei herunter
-
Laden Sie über folgenden Link die Metadaten-Datei herunter: https://[HOST:PORT]/saml/metadata/SSO
-
-
-
Konfigurieren Sie im ADFS Management folgende Einstellungen:
-
Wählen Sie unter Control Panel | Administrative Tools den Eintrag Add Relying Party Trust aus
Hinweis: Möglicherweise ist es notwendig Active Directory Federation Services zu intallieren.
-
Wählen Sie die Option Import data about the relying party from a file aus und hinterlegen Sie die Metadaten-Datei
Hinweis: Bei Klick auf Next erscheint eine Meldung, dass manche Inhalte der Metadaten nicht unterstützt werden. Diese Meldung ignorieren.
-
Geben Sie einen Display name (*) ein und klicken Sie auf Next
-
Aktivieren Sie die Option I do not want to configure multi-factor authentication settings for this relying party trust at this time und klicken Sie auf Next
-
Aktivieren Sie die Option Permit all users to access this relying party und klicken Sie auf Next
-
Überprüfen Sie im Eintrag Ready to Add Trust im Tab Endpoint, ob mehrere Endpoint values gesetzt sind. Wenn nicht, überprüfen Sie, ob die Metadaten-Datei über HTTPS generiert wurde
-
Aktivieren Sie die Option Open the Edit Claim Rules dialog und beenden Sie
-
Fügen Sie über Add Rule eine neue Regel hinzu
-
Wählen Sie den Regeltyp LDAP-Attribute als Ansprüche senden(Send LDAP Attributes as Claims) aus und klicken Sie auf Weiter
-
Geben Sie einen Anspruchsregelname
-
Wählen Sie als Attributspeicher Active Directory aus
-
Legen Sie folgende Regeln an:
LDAP-Attribut
Ausgehender Anspruchstyp
Beschreibung
E-Mail-Adresses
E-Mail-Adresse
Display-Name
Angegebener Name
Mit dem Display-Name wird die Bezeichnung des/der Benutzers/-in gesetzt, falls dieser beim Login erstellt wird
Token-Groups - unqualifizierte Namen
Gruppe
Dieses Attribut wird nur konfiguriert, wenn in Aeneis externe Gruppen mit den Namen aus ADFS existieren und mit den Benutzern/-innen synchronisiert werden sollen. Dadurch werden die Benutzer/-innen, wenn sie sich einloggen, in die Gruppen hinzugefügt oder daraus entfernt, falls sie im ADFS auch in den Gruppen sind oder entfernt wurden.
User-Principal-Name
Namens-ID
Muss zwingend konfiguriert werden! Mit dem User-Principal-Name wird definiert, mit welchem Attribut als ID der Benutzer eingeloggt wird
-
Beenden Sie den Assistenten über OK
-
-
Ergänzen Sie im ADFS-Server folgendes:
Set-AdfsRelyingPartyTrust -SamlResponseSignature "MessageAndAssertion" -TargetName "Display-Name"
(*) Geben Sie als "Display-Name" den vorher angegebenen Display name aus Schritt 3.c. an.
Wenn Sie in Aeneis die elektronische Signatur (Eigenschaft Zeige Login-Dialog in Transitionen) verwenden und die Authentifizierung über SAML2 ADFS eingerichtet haben, ergänzen Sie im Aeneis-Anwendungsverzeichnis in der Datei application.yml ganz am Ende folgenden Eintrag:
urls: {adfs: '[URL des ADFS]'}