hydden.docs

So konfigurieren Sie einen OpenID-Anbieter für AD FS

Dieses Thema beschreibt, wie Sie eine OpenID Connect-Konfiguration für einen On-Premise-Server ohne die Möglichkeit einrichten, internetverbundene SaaS-Authentifizierungsdienste zu nutzen.

Voraussetzungen

Beziehen Sie sich auf die Hardware-Anforderungen für die Server-Bereitstellung: Erste Schritte
Verwenden Sie während des Bootstrap-Prozesses die benutzerdefinierte Option für diese AD FS-Einrichtung.
Überprüfen Sie, dass Sie AD FS installiert und konfiguriert haben: Navigieren Sie in Ihrem Server-Manager zu Server-Rollen und prüfen Sie, dass Active Directory Federation Services (Installiert) markiert ist.

Konfigurieren einer AD FS-Authentifizierungsanwendung

Wählen Sie in Ihrem Server-Manager Tools > AD FS-Verwaltung.
Wählen Sie unter Anwendungsgruppen Anwendungsgruppe hinzufügen.
Wählen Sie Serveranwendung, die auf eine Web-API zugreift.
Geben Sie unter Willkommen einen Namen und eine Beschreibung ein und klicken Sie auf Weiter.
Kopieren Sie unter Serveranwendung aus dem Feld Client-Bezeichner die ID und fügen Sie sie in eine Notepad-Datei oder an einem anderen Ort für die spätere Verwendung ein.
Geben Sie für Weiterleitungs-URI die Weiterleitungs-URL Ihrer Hydden-Plattform ein, zum Beispiel etwa: https://my-new-hydden-server.demo.lab:22101/auth/oidc/callback. Sie können diese aus dem Modal OpenID Connect-Konfiguration hinzufügen oder OpenID Connect-Konfiguration bearbeiten in Hydden kopieren.
Klicken Sie auf Hinzufügen und Weiter.
Wählen Sie unter Anwendungsanmeldedaten konfigurieren Gemeinsames Geheimnis generieren und kopieren Sie das Geheimnis in die Zwischenablage. Sie möchten es möglicherweise zusammen mit dem zuvor gespeicherten Client-Bezeichner speichern.
Fügen Sie unter Web-API konfigurieren in das Feld Bezeichner den zuvor gespeicherten Client-Bezeichner ein.
Klicken Sie auf Hinzufügen und Weiter.
Unter Zugriffssteuerungsrichtlinie anwenden können Sie zunächst Alle zulassen wählen und diese Berechtigungen später anpassen.
Klicken Sie auf Weiter.
Fügen Sie unter Anwendungsberechtigungen konfigurieren > Zulässige Bereiche allatclaims, email, openID und profile hinzu.
Klicken Sie auf Weiter.
Überprüfen Sie die Zusammenfassung und klicken Sie auf Weiter.
Klicken Sie auf Schließen.
Sie können nun die Eigenschaften für Ihre Anwendung überprüfen, die etwa so aussehen werden:

Als nächstes müssen Sie Ausstellungs-Transformationsregeln hinzufügen.
Wählen Sie die Hydden - Web API-App.
Navigieren Sie zur Registerkarte Ausstellungs-Transformationsregeln.
Klicken Sie auf Regel hinzufügen.
Wählen Sie für Regeltyp wählen LDAP-Attribute als Ansprüche senden und klicken Sie auf Weiter.
Geben Sie einen Namen ein, zum Beispiel Hydden Attribute.
Wählen Sie Active Directory für den Attributspeicher.
Fügen Sie die fünf Zuordnungsregeln wie im obigen Bild gezeigt hinzu: E-Mail_Addresses, Company, Telephone-Number, Given-Name, Surname.

[!Hinweis] Damit sich AD FS-Benutzer bei Hydden registrieren und/oder authentifizieren können, müssen sie eine gültige E-Mail-Adresse sowie Vor- und Nachname in AD konfiguriert haben. Die Unternehmenszuordnung ist optional.

Die weitere Bearbeitung oder der Abruf von Anwendungsdetails ist jederzeit über den Eigenschaften-Dialog verfügbar.

Konfigurieren des OpenID-Anbieters

Navigieren Sie in Hydden zu Konfiguration > Mandant und wählen Sie die Registerkarte OpenID-Anbieter.
Klicken Sie auf + Anbieter hinzufügen.
Wählen Sie aus der Dropdown-Liste Anbieter Benutzerdefiniert.
Geben Sie Ihrem Anbieter einen Namen, zum Beispiel Active Directory (AD FS).
Geben Sie unter Client-ID die zuvor gespeicherte Client-Bezeichner-Zeichenfolge ein.
Geben Sie unter Client-Geheimnis die zuvor gespeicherte Gemeinsames Geheimnis-Zeichenfolge ein.
Geben Sie unter Aussteller den Namen Ihres AD FS-Servers ein, auf dem Sie die Serveranwendung erstellt haben, und fügen Sie /adfs zur Adresse hinzu. Zum Beispiel https://{IhrADFSServerName}/adfs.
Wählen Sie unter Schalter-Prompt login.
Klicken Sie auf Hinzufügen.

Sie sollten nun eine AD FS-Anmeldeaufforderung sehen: