AD FS IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

Wenn ein Webportal mehrere große unabhängige Bereiche (Forum, Chat, Blogs usw.) umfasst, kann ein Benutzer das Authentifizierungsverfahren innerhalb eines der Dienste durchlaufen und erhält automatisch Zugriff auf alle anderen Dienste, ohne dass er seine Anmeldeinformationen mehrmals eingeben muss.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (auch „IdP“ und „SP“ genannt). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel betrachtet die Implementierung von Active Directory Federation Services (AD FS).

Vorbereiten von AD FS für die SSO-Einrichtung

  1. Installieren Sie die neueste AD DS-Version (Active Directory Domain Service) mit allen offiziellen Updates und Patches.
  2. Installieren Sie die neueste AD FS-Version mit allen offiziellen Updates und Patches.
    Um AD FS von Grund auf bereitzustellen, können Sie die folgenden Anweisungen verwenden.
  3. Überprüfen Sie, ob der Link zu den AD FS-Metadaten öffentlich verfügbar ist. Gehen Sie dazu wie folgt vor:
    1. Öffnen Sie im Server-Manager Tools -> AD FS-Verwaltung.
    2. Gehen Sie zu AD FS \ Service \ Endpoints,
    3. Suchen Sie in der Tabelle nach der Zeile mit dem Typ Federation Metadata. Der Link zu den IdP-Metadaten wird nach folgendem Schema erstellt:
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}

      Alternativ können Sie den folgenden PowerShell-Befehl verwenden:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      Als Ergebnis sollten Sie einen Link erhalten, der wie folgt aussieht:

      https://myportal-address.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. Um zu überprüfen, ob AD FS korrekt gestartet wurde, öffnen Sie den erhaltenen Link in einem Webbrowser. Die XML-Datei sollte angezeigt oder heruntergeladen werden.
      How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

      Kopieren Sie den Link zur Metadaten-XML: Er wird im nächsten Schritt benötigt. Stellen Sie sicher, dass Sie als Administrator bei Ihrem ONLYOFFICE DocSpace angemeldet sind. Öffnen Sie die Seite Einstellungen -> Integration -> Single Sign-On.

ONLYOFFICE SP konfigurieren

  1. How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
    Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den aus AD FS kopierten Link in das Feld URL zu IDP-Metadaten-XML ein.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  2. Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom AD FS IdP ausgefüllt.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  3. Wählen Sie im Selektor NameID-Format den folgenden Wert aus: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. Deaktivieren Sie im Abschnitt Öffentliche IdP-Zertifikate \ Erweiterte Einstellungen die Option Signatur der Abmeldeantwort überprüfen, da AD FS dies standardmäßig nicht erfordert.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  5. Nun müssen Sie Zertifikate zum Abschnitt SP-Zertifikate hinzufügen. Sie können selbstsignierte Zertifikate generieren oder andere Zertifikate hinzufügen.
    WichtigStellen Sie im Fenster Neues Zertifikat den Selektor Verwenden für auf die Option Signatur und Verschlüsselung, da AD FS IdP automatisch so konfiguriert ist, dass digitale Signaturen überprüft und Daten verschlüsselt werden.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  6. Deaktivieren Sie in den SP-Zertifikaten \ Erweiterten Einstellungen die Option Abmeldeantworten signieren, da AD FS dies standardmäßig nicht erfordert.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  7. Es ist nicht notwendig, das Formular Attributzuordnung anzupassen, da wir diese Parameter später im AD FS IdP festlegen werden.
  8. Klicken Sie auf die Schaltfläche Speichern.
  9. Der Abschnitt ONLYOFFICE SP-Metadaten sollte geöffnet sein.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  10. Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche SP-Metadaten-XML herunterladen klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  11. Kopieren Sie den Link zu den ONLYOFFICE SP-Metadaten aus dem Feld SP-Entitäts-ID (Link zu Metadaten-XML) und gehen Sie zu dem Computer, auf dem AD FS installiert ist.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Konfigurieren von AD FS IdP

  1. Öffnen Sie im Server-Manager Tools -> AD FS-Verwaltung.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  2. Wählen Sie im Bereich AD FS-Verwaltung die Option Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite aus. Klicken Sie rechts auf die Option Vertrauensstellung der vertrauenden Seite hinzufügen.... Der Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite wird geöffnet.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  3. Wählen Sie im Assistentenfenster das Optionsfeld Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren, fügen Sie den zuvor kopierten Link zu den ONLYOFFICE SP-Metadaten in das Feld Adresse der Verbundmetadaten (Hostname oder URL) ein und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. Geben Sie im Feld Anzeigename einen beliebigen Namen ein und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  5. Wählen Sie die Option Jedem erlauben und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  6. Überprüfen Sie die resultierenden Einstellungen und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  7. Lassen Sie die Standardoption unverändert und klicken Sie auf die Schaltfläche Schließen.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  8. Ein neues Fenster wird geöffnet. Klicken Sie auf der Registerkarte Richtlinie zur Anspruchsausstellung bearbeiten auf die Schaltfläche Regel hinzufügen....
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  9. Wählen Sie die Option LDAP-Attribute als Ansprüche senden aus der Liste Anspruchsregelvorlage und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  10. Geben Sie im Feld Name der Anspruchsregel einen beliebigen Namen ein. Wählen Sie in der Liste Attributspeicher die Option Active Directory aus und füllen Sie das Formular Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen gemäß der folgenden Tabelle aus. Klicken Sie anschließend auf Fertig.
    LDAP-Attribut (Auswählen oder eingeben, um weitere hinzuzufügen)Ausgehender Anspruchstyp (Auswählen oder eingeben, um mehr hinzuzufügen)
    Given-NamegivenName
    Surnamesn
    E-Mail-Addressesmail
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  11. Klicken Sie im Fenster Anspruchsregeln bearbeiten erneut auf die Schaltfläche Regel hinzufügen..., wählen Sie die Option Eingehenden Anspruch umwandeln aus der Liste Anspruchsregelvorlage und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  12. Geben Sie im Feld Name der Anspruchsregel einen beliebigen Namen ein und wählen Sie die folgenden Optionen aus den Listen aus:
    • Eingehender Anspruchstyp: mail,
    • Ausgehender Anspruchstyp: Name ID,
    • Format der ausgehenden Namens-ID: Email
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Fertig.

  13. Wenn die Abmeldung von AD FS nicht funktioniert, wird empfohlen, eine benutzerdefinierte Anspruchsregel hinzuzufügen, bei der Sie {portal-domain} durch Ihre SP-Domäne ersetzen und {ad-fs-domain} in Ihre IdP-Domäne ändern:
    c:[Type == "mail"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  14. Klicken Sie auf die Schaltfläche OK.
  15. Öffnen Sie die Eigenschaften des erstellten Relying Party Trusts und wechseln Sie zur Registerkarte Erweitert.

    Wählen Sie die Option SHA-1 in der Liste Sicherer Hash-Algorithmus.

    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Hosten ONLYOFFICE DocSpace auf Ihrem eigenen Server oder nutzen Sie es in der Cloud

Artikel zum Thema:
Alle Schlagwörter