Active Directory Federation Services (ADFS) ist Microsofts lokaler Identitätsanbieter, der federierte Identität und Single Sign-on über Anwendungen hinweg ermöglicht. Mit OpenID Connect SSO, das zwischen ADFS und Document360 konfiguriert ist, können Ihre Benutzer und Leser sich mit ihren bestehenden Active Directory-Zugangsdaten bei Document360 anmelden.
Nur Benutzer mit der Rolle Eigentümer oder Administrator können SSO in Document360 konfigurieren.
Was du mit ADFS als deinem IdP machen kannst.
| Leistungsfähigkeit | Unterstützt |
|---|---|
| Benutzer-(Portal-)Authentifizierung | Ja |
| Leser- (Wissensdatenbank-)Authentifizierung | Ja |
| SCIM-Bereitstellung | Ja (nur über Drittanbieter-Tools oder benutzerdefinierte Integrationen) |
| SSO-Konfigurationsvererbung (Eltern-Kind-Projekte) | Ja |
Bevor du anfängst
- Du hast administrativen Zugriff sowohl auf Document360 als auch auf deinen ADFS-Server.
- Du hast Eigentümer - oder Administratorzugriff in deinem Document360-Projekt.
- Öffne Document360 und ADFS in zwei separaten Browser-Tabs, bevor du startest.
Wie man ADFS OpenID SSO in Document360 konfiguriert
Schritt 1: Fügen Sie den Antrag in ADFS hinzu
- Melden Sie sich in der ADFS-Verwaltungskonsole auf Ihrem ADFS-Server an.
- In der ADFS-Verwaltungskonsole navigieren Sie zu Vertrauensparteien (Vertrauenswürdige Parteitreuer).
- Klicken Sie mit der rechten Maustaste auf Relying Party Trusts und wählen Sie "Trust für vertrauende Partei hinzufügen".
- Im Wizard Add Relying Party Trust wählen Sie Claims aware und klicken Sie auf Start.
- Wählen Sie Daten über die vertrauende Partei manuell eingeben und klicken Sie auf Nächst.
- Gib einen Anzeigenamen an (zum Beispiel "Document360 OpenID SSO") und klicke auf Nächsten.
- Im Schritt Zertifikat konfigurieren klickst du auf Nächste (du kannst das überspringen, wenn du kein Zertifikat benutzt).
Schritt 2: Holen Sie die SP-Parameter aus Document360
- Öffne Document360 in einem separaten Tab.
- Navigiere zu Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration.
- Klicken Sie auf Create SSO.
- Wählen Sie ADFS als Ihren Identitätsanbieter aus, um automatisch zur Seite "Configure the Service Provider (SP)" zu gelangen.
- Wählen Sie auf der Seite "Configure the Service Provider (SP)" die OpenID-Funktaste aus.
- Eine Reihe von Parametern wird angezeigt.
Schritt 3: Geben Sie die Document360-Parameter in ADFS ein
- Wechsle zum Tab ADFS-Management-Konsole und gib die Document360-Parameter in die entsprechenden Felder im Schritt URL konfigurieren mit der untenstehenden Abbildung ein.
| ADFS | Document360 |
|---|---|
| Vertrauende Parteikennung | Subdomainname |
| Anmelde-URL | Anmelde-Umleitungs-URL |
| Abmelde-URL | Ausloggen, Weiterleitungs-URL |
- Klicken Sie auf Nächstes und schließen Sie die restlichen Schritte im Wizard ab, wie zum Beispiel die Einrichtung der Mehrfaktor-Authentifizierung bei Bedarf und die Erlaubnis des Zugriffs auf die Anwendung aller Nutzer.
- Überprüfen Sie Ihre Einstellungen und klicken Sie auf Weiter, um den vertrauenswürdigen Trust hinzuzufügen.
- Auf dem letzten Bildschirm aktivieren Sie das Kästchen " Öffnen im Dialog Anspruchsregeln bearbeiten" und klicken Sie auf Schließen.
Schritt 4: Fügen Sie Anspruchsregeln in ADFS hinzu
- Im Dialogfeld Anspruchsregeln bearbeiten klicken Sie auf Regel hinzufügen.
- Wählen Sie LDAP-Attribute als Claims als Regelvorlage senden und klicken Sie auf Weiter.
- Gib einen Namen für die Claim-Regel an (zum Beispiel "Send LDAP Attributes").
- Konfigurieren Sie Folgendes:
- Attribute Store: Wählen Sie Active Directory aus.
- Kartierung:
- LDAP-Attribut: Benutzer-Principal-Name | Ausgehende Antragsart: Namens-ID
- LDAP-Attribut: E-Mail-Adressen | Art des ausgehenden Antrags: E-Mail
- LDAP-Attribut: Display-Name | Ausgehender Anspruchstyp: Name
- Klicken Sie auf Beenden , um die Regel hinzuzufügen.
- Klicken Sie auf Anwenden , um Ihre Änderungen zu speichern und den Dialog zu schließen.
Schritt 5: Konfigurieren Sie den Identitätsanbieter in Document360
- Kehren Sie auf der Seite "Configure the Service Provider (SP)" zu Document360 zurück und klicken Sie auf Nächsten, um zur Seite "Configure the Identity Provider (IdP) zu gelangen.
- Gib die entsprechenden Werte aus deiner ADFS-Konfiguration mit der untenstehenden Abbildung ein.
| ADFS | Document360 |
|---|---|
| Client-Kennung (Client-ID) | Kunden-ID |
| Kundengeheimnis | Kundengeheimnis |
| Aussteller-URL | Autorität (Autorisierungs-URL oder Endpunkt) |
Stellen Sie sicher, dass die Client-ID in Document360 mit der in ADFS konfigurierten Relying Party Identifier übereinstimmt.
- Im Feld Scope (optional) geben Sie einen Scope-Wert ein und klicken Sie auf + , um ihn als Chip hinzuzufügen. Dies definiert, welche Benutzerinformationen oder Berechtigungen Document360 von ADFS anfordert. Du kannst bis zu 3 Zielfernrohre hinzufügen.
- Klicken Sie auf Weiter, um zur SCIM-Bereitstellungsseite zu gelangen.
Schritt 6: Konfigurieren Sie die SCIM-Bereitstellung
SCIM-Provisionierung ermöglicht es Ihnen, das Lebenszyklusmanagement von Benutzern und Lesern zwischen ADFS und Document360 zu automatisieren. Da ADFS SCIM nicht nativ unterstützt, erfordert dies ein Drittanbieter-Tool oder eine eigens entwickelte Integration.
Wenn Sie keine SCIM-Bereitstellung benötigen, springen Sie zu Schritt 7: Konfigurieren Sie den SSO-Namen und die Anmeldeoptionen.
- Schalte den Enable SCIM-Provisionierungs-Schalter ein.
- Ein Bestätigungsdialog erscheint. Überprüfen Sie die Bedingungen, aktivieren Sie das Kästchen und klicken Sie auf Zustimmen.
- Die Parameter, die zur Durchführung der SCIM-Konfiguration erforderlich sind, werden dann angezeigt.
Die SCIM-Bereitstellung in ADFS kann ausschließlich mit Drittanbieter-Tools oder individuell erstellten Integrationen aktiviert werden. ADFS unterstützt keine native SCIM-Bereitstellung.
- Gib die erforderlichen Parameter aus Document360 in die entsprechenden Felder in deiner benutzerdefinierten App ein.
- Im Feld Standardrolle ist die Rolle standardmäßig auf Beitragsmitglied gesetzt. Du kannst das bei Bedarf im Dropdown-Menü ändern.
- In den Feldern Benutzergruppen und Lesergruppen wählen Sie die Gruppen aus, die Sie hinzufügen möchten. Mehrere Gruppen können hinzugefügt werden, und sie übernehmen die zuvor gewählte Standardrolle.
- Klicken Sie auf Weiter, um zur Seite Mehr-Einstellungen zu gelangen.
Schritt 7: Konfigurieren Sie den SSO-Namen und die Login-Optionen
- Im SSO-Namensfeld geben Sie einen Namen für die SSO-Konfiguration ein.
- Im Login-Anpassen-Button geben Sie den Text für den Login-Button ein, der den Nutzern angezeigt wird.
- Automatische Zuweisung der Lesegruppe: Diese Option ist nur für bestehende SSO-Konfigurationen verfügbar. Bei neu erstellten SSO-Konfigurationen wird dieser Schalter nicht angezeigt, da SCIM Benutzer und Gruppen automatisch bereitstellt.
- Schalten Sie Abmelden, leerer SSO-Nutzer je nach Ihren Anforderungen ein- oder aus.
- Entscheiden Sie, ob Sie bestehende Nutzer- und Leserkonten zum SSO einladen.
- Klicken Sie auf Erstellen , um die OpenID-SSO-Konfiguration abzuschließen.
Die SSO-Konfiguration mit ADFS und dem OpenID Connect-Protokoll ist nun in Document360 aktiv.
Verwaltung von Benutzern in ADFS
Um Reader anzuzeigen, die durch Ihre ADFS-Integration hinzugefügt wurden:
- In Document360 navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > Readers & Gruppen.
- Wählen Sie den Leser aus, um zu seinem Leserprofil zu gelangen.
Leser, die über SCIM bereitgestellt wurden, zeigen neben ihrem Namen ein SSO-SCIM-Badge an.
Wenn SCIM aktiviert ist, ist das Bearbeiten eines Benutzernamens oder das direkte Löschen eines Benutzers in Document360 deaktiviert, da diese Aktionen über Ihr IdP verwaltet werden müssen, um beide Plattformen synchron zu halten. Du kannst den Inhaltszugriff nur über Document360 verwalten. Das Löschen eines Profils in Ihrem IdP entfernt es nicht aus Document360 – das Profil bleibt mit dem Status Inaktiv.
Verwaltung des Inhaltszugriffs von Lesern, Nutzern und Gruppen
Die Standard-Inhaltsrolle, die jedem neuen Nutzer, Leser oder Gruppe zugewiesen wird, basiert auf dem, was während der SCIM-Bereitstellung konfiguriert wurde. Die Berechtigungen werden standardmäßig auf Keine gesetzt, können aber jederzeit aktualisiert werden.
- Wählen Sie den gewünschten Reader aus und klicken Sie auf Inhaltszugriff verwalten.
- Wählen Sie die gewünschte Zugriffsstufe aus dem Dropdown-Menü und klicken Sie auf Aktualisieren.
Best Practices
- Überprüfen Sie, ob die Client-ID mit der Relying Party Identifier übereinstimmt. Die in Document360 eingegebene Client-ID muss exakt mit der in ADFS konfigurierten Relying Party Identifier übereinstimmen. Eine Fehlanpassung führt zu Authentifizierungsfehlern.
- Verwenden Sie den korrekten ausgehenden Anspruchstyp für E-Mails. Für OpenID Connect ADFS ist der ausgehende Anspruchstyp für E-Mail E-Mail, nicht E-Mail-Adressen wie in der SAML-Konfiguration verwendet. Die Verwendung des falschen Anspruchstyps führt zu Fehlern in der Benutzeridentität.
- Nutze ein Drittanbieter-Tool für SCIM. ADFS unterstützt keine native SCIM-Bereitstellung. Plane deinen Ansatz zur Benutzerbereitstellung, bevor du SCIM in Document360 aktivierst.
- Rotiere die Client-Geheimnisse vor dem Ablauf. Das in ADFS konfigurierte Client-Geheimnis hat ein Ablaufdatum. Wenn sie abläuft, schlägt die SSO-Authentifizierung fehl. Überwachen Sie den Ablauf und rotieren Sie die Geheimnisse im Voraus.
FAQ
Warum wird SCIM in ADFS nicht nativ unterstützt?
ADFS ist ein Föderationsdienst vor Ort, der auf SAML- und WS-Federation-Protokollen basiert. Es enthält keinen eingebauten SCIM-Endpunkt. Um SCIM mit ADFS in Document360 zu nutzen, benötigen Sie ein Drittanbieter-Provisioning-Tool oder eine benutzerdefinierte Integration, die ADFS mit dem SCIM-Protokoll verbindet.
Was passiert mit dem Profil eines Benutzers in Document360, wenn ich ihn in ADFS lösche?
Das Löschen eines Benutzerprofils in Ihrem IdP entfernt es nicht aus Document360. Das Profil bleibt in Document360 mit dem Status Inaktiv.
Wie unterscheidet sich die ADFS OpenID Claim-Rule Mapping von der SAML Claim Rule Mapping?
Die Claim-Rule-Mapping für OpenID Connect ADFS verwendet E-Mail als ausgehenden Antragstyp für E-Mail-Adressen, während die SAML-Konfiguration E-Mail-Adressen verwendet. Stellen Sie sicher, dass Sie den richtigen Anspruchstyp für das Protokoll verwenden, das Sie konfigurieren.