AD FS IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (auch „IdP“ und „SP“ genannt). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel betrachtet die Implementierung von Active Directory Federation Services (AD FS).

Vorbereiten von AD FS für die SSO-Einrichtung

1. Installieren Sie die neueste AD DS-Version (Active Directory Domain Service) mit allen offiziellen Updates und Patches.
2. Installieren Sie die neueste AD FS-Version mit allen offiziellen Updates und Patches.
   Um AD FS von Grund auf bereitzustellen, können Sie die folgenden Anweisungen verwenden.
3. Überprüfen Sie, ob der Link zu den AD FS-Metadaten öffentlich verfügbar ist. Gehen Sie dazu wie folgt vor:
   1. Öffnen Sie im Server-Manager Tools -> AD FS-Verwaltung.
   2. Gehen Sie zu AD FS \ Service \ Endpoints,
   3. Suchen Sie in der Tabelle nach der Zeile mit dem Typ Federation Metadata. Der Link zu den IdP-Metadaten wird nach folgendem Schema erstellt:

      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}

      Alternativ können Sie den folgenden PowerShell-Befehl verwenden:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      Als Ergebnis sollten Sie einen Link erhalten, der wie folgt aussieht:

      https://myportal-address.com/FederationMetadata/2007-06/FederationMetadata.xml

   4. Um zu überprüfen, ob AD FS korrekt gestartet wurde, öffnen Sie den erhaltenen Link in einem Webbrowser. Die XML-Datei sollte angezeigt oder heruntergeladen werden.
      

      Kopieren Sie den Link zur Metadaten-XML: Er wird im nächsten Schritt benötigt. Stellen Sie sicher, dass Sie als Administrator bei Ihrem ONLYOFFICE DocSpace angemeldet sind. Öffnen Sie die Seite Einstellungen -> Integration -> Single Sign-On.

ONLYOFFICE SP konfigurieren

1. 
   Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den aus AD FS kopierten Link in das Feld URL zu IDP-Metadaten-XML ein.
   
2. Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom AD FS IdP ausgefüllt.
   
3. Wählen Sie im Selektor NameID-Format den folgenden Wert aus: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
   
4. Deaktivieren Sie im Abschnitt Öffentliche IdP-Zertifikate \ Erweiterte Einstellungen die Option Signatur der Abmeldeantwort überprüfen, da AD FS dies standardmäßig nicht erfordert.
   
5. Nun müssen Sie Zertifikate zum Abschnitt SP-Zertifikate hinzufügen. Sie können selbstsignierte Zertifikate generieren oder andere Zertifikate hinzufügen.
   WichtigStellen Sie im Fenster Neues Zertifikat den Selektor Verwenden für auf die Option Signatur und Verschlüsselung, da AD FS IdP automatisch so konfiguriert ist, dass digitale Signaturen überprüft und Daten verschlüsselt werden.
   
6. Deaktivieren Sie in den SP-Zertifikaten \ Erweiterten Einstellungen die Option Abmeldeantworten signieren, da AD FS dies standardmäßig nicht erfordert.
   
7. Es ist nicht notwendig, das Formular Attributzuordnung anzupassen, da wir diese Parameter später im AD FS IdP festlegen werden.
8. Klicken Sie auf die Schaltfläche Speichern.
9. Der Abschnitt ONLYOFFICE SP-Metadaten sollte geöffnet sein.
   
10. Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche SP-Metadaten-XML herunterladen klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
    
11. Kopieren Sie den Link zu den ONLYOFFICE SP-Metadaten aus dem Feld SP-Entitäts-ID (Link zu Metadaten-XML) und gehen Sie zu dem Computer, auf dem AD FS installiert ist.
    

Konfigurieren von AD FS IdP

1. Öffnen Sie im Server-Manager Tools -> AD FS-Verwaltung.
   
2. Wählen Sie im Bereich AD FS-Verwaltung die Option Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite aus. Klicken Sie rechts auf die Option Vertrauensstellung der vertrauenden Seite hinzufügen.... Der Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite wird geöffnet.
   
3. Wählen Sie im Assistentenfenster das Optionsfeld Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren, fügen Sie den zuvor kopierten Link zu den ONLYOFFICE SP-Metadaten in das Feld Adresse der Verbundmetadaten (Hostname oder URL) ein und klicken Sie auf die Schaltfläche Weiter.
   
4. Geben Sie im Feld Anzeigename einen beliebigen Namen ein und klicken Sie auf die Schaltfläche Weiter.
   
5. Wählen Sie die Option Jedem erlauben und klicken Sie auf die Schaltfläche Weiter.
   
6. Überprüfen Sie die resultierenden Einstellungen und klicken Sie auf die Schaltfläche Weiter.
   
7. Lassen Sie die Standardoption unverändert und klicken Sie auf die Schaltfläche Schließen.
   
8. Ein neues Fenster wird geöffnet. Klicken Sie auf der Registerkarte Richtlinie zur Anspruchsausstellung bearbeiten auf die Schaltfläche Regel hinzufügen....
   
9. Wählen Sie die Option LDAP-Attribute als Ansprüche senden aus der Liste Anspruchsregelvorlage und klicken Sie auf die Schaltfläche Weiter.
   
10. Geben Sie im Feld Name der Anspruchsregel einen beliebigen Namen ein. Wählen Sie in der Liste Attributspeicher die Option Active Directory aus und füllen Sie das Formular Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen gemäß der folgenden Tabelle aus. Klicken Sie anschließend auf Fertig.

    LDAP-Attribut (Auswählen oder eingeben, um weitere hinzuzufügen)	Ausgehender Anspruchstyp (Auswählen oder eingeben, um mehr hinzuzufügen)
    Given-Name	givenName
    Surname	sn
    E-Mail-Addresses	mail

    
11. Klicken Sie im Fenster Anspruchsregeln bearbeiten erneut auf die Schaltfläche Regel hinzufügen..., wählen Sie die Option Eingehenden Anspruch umwandeln aus der Liste Anspruchsregelvorlage und klicken Sie auf die Schaltfläche Weiter.
    
12. Geben Sie im Feld Name der Anspruchsregel einen beliebigen Namen ein und wählen Sie die folgenden Optionen aus den Listen aus:
    • Eingehender Anspruchstyp: mail,
    • Ausgehender Anspruchstyp: Name ID,
    • Format der ausgehenden Namens-ID: Email
    

    Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Fertig.

13. Wenn die Abmeldung von AD FS nicht funktioniert, wird empfohlen, eine benutzerdefinierte Anspruchsregel hinzuzufügen, bei der Sie {portal-domain} durch Ihre SP-Domäne ersetzen und {ad-fs-domain} in Ihre IdP-Domäne ändern:

    c:[Type == "mail"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");

    
14. Klicken Sie auf die Schaltfläche OK.
15. Öffnen Sie die Eigenschaften des erstellten Relying Party Trusts und wechseln Sie zur Registerkarte Erweitert.

    Wählen Sie die Option SHA-1 in der Liste Sicherer Hash-Algorithmus.