Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Haftungsausschluss: Dieser Artikel wurde durch maschinelle Übersetzung erstellt.

ADFS mit OpenID SSO

Prev Next

Active Directory Federation Services (ADFS) ist Microsofts lokaler Identitätsanbieter, der federierte Identität und Single Sign-on über Anwendungen hinweg ermöglicht. Mit OpenID Connect SSO, das zwischen ADFS und Document360 konfiguriert ist, können Ihre Benutzer und Leser sich mit ihren bestehenden Active Directory-Zugangsdaten bei Document360 anmelden.

HINWEIS

Nur Benutzer mit der Rolle Eigentümer oder Administrator können SSO in Document360 konfigurieren.

Was du mit ADFS als deinem IdP machen kannst.

Leistungsfähigkeit Unterstützt
Benutzer-(Portal-)Authentifizierung Ja
Leser- (Wissensdatenbank-)Authentifizierung Ja
SCIM-Bereitstellung Ja (nur über Drittanbieter-Tools oder benutzerdefinierte Integrationen)
SSO-Konfigurationsvererbung (Eltern-Kind-Projekte) Ja

Bevor du anfängst

  • Du hast administrativen Zugriff sowohl auf Document360 als auch auf deinen ADFS-Server.
  • Du hast Eigentümer - oder Administratorzugriff in deinem Document360-Projekt.
  • Öffne Document360 und ADFS in zwei separaten Browser-Tabs, bevor du startest.

Wie man ADFS OpenID SSO in Document360 konfiguriert

Schritt 1: Fügen Sie den Antrag in ADFS hinzu

  1. Melden Sie sich in der ADFS-Verwaltungskonsole auf Ihrem ADFS-Server an.
  2. In der ADFS-Verwaltungskonsole navigieren Sie zu Vertrauensparteien (Vertrauenswürdige Parteitreuer).
  3. Klicken Sie mit der rechten Maustaste auf Relying Party Trusts und wählen Sie "Trust für vertrauende Partei hinzufügen".
  4. Im Wizard Add Relying Party Trust wählen Sie Claims aware und klicken Sie auf Start.
  5. Wählen Sie Daten über die vertrauende Partei manuell eingeben und klicken Sie auf Nächst.
  6. Gib einen Anzeigenamen an (zum Beispiel "Document360 OpenID SSO") und klicke auf Nächsten.
  7. Im Schritt Zertifikat konfigurieren klickst du auf Nächste (du kannst das überspringen, wenn du kein Zertifikat benutzt).

Schritt 2: Holen Sie die SP-Parameter aus Document360

  1. Öffne Document360 in einem separaten Tab.
  2. Navigiere zu Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration.
  3. Klicken Sie auf Create SSO.
Settings page displaying SSO configuration options and user permissions for identity providers.
  1. Wählen Sie ADFS als Ihren Identitätsanbieter aus, um automatisch zur Seite "Configure the Service Provider (SP)" zu gelangen.
Select an Identity Provider for SSO configuration, highlighting ADFS option prominently.
  1. Wählen Sie auf der Seite "Configure the Service Provider (SP)" die OpenID-Funktaste aus.
  2. Eine Reihe von Parametern wird angezeigt.
Configuration settings for OpenID in the Service Provider setup for SSO.

Schritt 3: Geben Sie die Document360-Parameter in ADFS ein

  1. Wechsle zum Tab ADFS-Management-Konsole und gib die Document360-Parameter in die entsprechenden Felder im Schritt URL konfigurieren mit der untenstehenden Abbildung ein.
ADFS Document360
Vertrauende Parteikennung Subdomainname
Anmelde-URL Anmelde-Umleitungs-URL
Abmelde-URL Ausloggen, Weiterleitungs-URL
  1. Klicken Sie auf Nächstes und schließen Sie die restlichen Schritte im Wizard ab, wie zum Beispiel die Einrichtung der Mehrfaktor-Authentifizierung bei Bedarf und die Erlaubnis des Zugriffs auf die Anwendung aller Nutzer.
  2. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Weiter, um den vertrauenswürdigen Trust hinzuzufügen.
  3. Auf dem letzten Bildschirm aktivieren Sie das Kästchen " Öffnen im Dialog Anspruchsregeln bearbeiten" und klicken Sie auf Schließen.

Schritt 4: Fügen Sie Anspruchsregeln in ADFS hinzu

  1. Im Dialogfeld Anspruchsregeln bearbeiten klicken Sie auf Regel hinzufügen.
  2. Wählen Sie LDAP-Attribute als Claims als Regelvorlage senden und klicken Sie auf Weiter.
  3. Gib einen Namen für die Claim-Regel an (zum Beispiel "Send LDAP Attributes").
  4. Konfigurieren Sie Folgendes:
    • Attribute Store: Wählen Sie Active Directory aus.
    • Kartierung:
      • LDAP-Attribut: Benutzer-Principal-Name | Ausgehende Antragsart: Namens-ID
      • LDAP-Attribut: E-Mail-Adressen | Art des ausgehenden Antrags: E-Mail
      • LDAP-Attribut: Display-Name | Ausgehender Anspruchstyp: Name
  5. Klicken Sie auf Beenden , um die Regel hinzuzufügen.
  6. Klicken Sie auf Anwenden , um Ihre Änderungen zu speichern und den Dialog zu schließen.

Schritt 5: Konfigurieren Sie den Identitätsanbieter in Document360

  1. Kehren Sie auf der Seite "Configure the Service Provider (SP)" zu Document360 zurück und klicken Sie auf Nächsten, um zur Seite "Configure the Identity Provider (IdP) zu gelangen.
  2. Gib die entsprechenden Werte aus deiner ADFS-Konfiguration mit der untenstehenden Abbildung ein.
ADFS Document360
Client-Kennung (Client-ID) Kunden-ID
Kundengeheimnis Kundengeheimnis
Aussteller-URL Autorität (Autorisierungs-URL oder Endpunkt)
HINWEIS

Stellen Sie sicher, dass die Client-ID in Document360 mit der in ADFS konfigurierten Relying Party Identifier übereinstimmt.

  1. Im Feld Scope (optional) geben Sie einen Scope-Wert ein und klicken Sie auf + , um ihn als Chip hinzuzufügen. Dies definiert, welche Benutzerinformationen oder Berechtigungen Document360 von ADFS anfordert. Du kannst bis zu 3 Zielfernrohre hinzufügen.
Configure the Identity Provider page for ADFS OpenID Connect in Document360.
  1. Klicken Sie auf Weiter, um zur SCIM-Bereitstellungsseite zu gelangen.

Schritt 6: Konfigurieren Sie die SCIM-Bereitstellung

SCIM-Provisionierung ermöglicht es Ihnen, das Lebenszyklusmanagement von Benutzern und Lesern zwischen ADFS und Document360 zu automatisieren. Da ADFS SCIM nicht nativ unterstützt, erfordert dies ein Drittanbieter-Tool oder eine eigens entwickelte Integration.

Wenn Sie keine SCIM-Bereitstellung benötigen, springen Sie zu Schritt 7: Konfigurieren Sie den SSO-Namen und die Anmeldeoptionen.

  1. Schalte den Enable SCIM-Provisionierungs-Schalter ein.
Instructions for enabling SCIM provisioning in Document360 for user synchronization.
  1. Ein Bestätigungsdialog erscheint. Überprüfen Sie die Bedingungen, aktivieren Sie das Kästchen und klicken Sie auf Zustimmen.
  2. Die Parameter, die zur Durchführung der SCIM-Konfiguration erforderlich sind, werden dann angezeigt.
HINWEIS

Die SCIM-Bereitstellung in ADFS kann ausschließlich mit Drittanbieter-Tools oder individuell erstellten Integrationen aktiviert werden. ADFS unterstützt keine native SCIM-Bereitstellung.

  1. Gib die erforderlichen Parameter aus Document360 in die entsprechenden Felder in deiner benutzerdefinierten App ein.
Configuration settings for SCIM provisioning and identity provider setup in a web interface.
  1. Im Feld Standardrolle ist die Rolle standardmäßig auf Beitragsmitglied gesetzt. Du kannst das bei Bedarf im Dropdown-Menü ändern.
  2. In den Feldern Benutzergruppen und Lesergruppen wählen Sie die Gruppen aus, die Sie hinzufügen möchten. Mehrere Gruppen können hinzugefügt werden, und sie übernehmen die zuvor gewählte Standardrolle.
  3. Klicken Sie auf Weiter, um zur Seite Mehr-Einstellungen zu gelangen.

Schritt 7: Konfigurieren Sie den SSO-Namen und die Login-Optionen

  1. Im SSO-Namensfeld geben Sie einen Namen für die SSO-Konfiguration ein.
  2. Im Login-Anpassen-Button geben Sie den Text für den Login-Button ein, der den Nutzern angezeigt wird.
  3. Automatische Zuweisung der Lesegruppe: Diese Option ist nur für bestehende SSO-Konfigurationen verfügbar. Bei neu erstellten SSO-Konfigurationen wird dieser Schalter nicht angezeigt, da SCIM Benutzer und Gruppen automatisch bereitstellt.
  4. Schalten Sie Abmelden, leerer SSO-Nutzer je nach Ihren Anforderungen ein- oder aus.
  5. Entscheiden Sie, ob Sie bestehende Nutzer- und Leserkonten zum SSO einladen.
Settings for creating a new SSO, including name and login button customization options.
  1. Klicken Sie auf Erstellen , um die OpenID-SSO-Konfiguration abzuschließen.

Die SSO-Konfiguration mit ADFS und dem OpenID Connect-Protokoll ist nun in Document360 aktiv.


Verwaltung von Benutzern in ADFS

Um Reader anzuzeigen, die durch Ihre ADFS-Integration hinzugefügt wurden:

Overview of reader management settings, highlighting user accounts and permissions synchronization.
  1. In Document360 navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > Readers & Gruppen.
  2. Wählen Sie den Leser aus, um zu seinem Leserprofil zu gelangen.

Leser, die über SCIM bereitgestellt wurden, zeigen neben ihrem Namen ein SSO-SCIM-Badge an.

HINWEIS

Wenn SCIM aktiviert ist, ist das Bearbeiten eines Benutzernamens oder das direkte Löschen eines Benutzers in Document360 deaktiviert, da diese Aktionen über Ihr IdP verwaltet werden müssen, um beide Plattformen synchron zu halten. Du kannst den Inhaltszugriff nur über Document360 verwalten. Das Löschen eines Profils in Ihrem IdP entfernt es nicht aus Document360 – das Profil bleibt mit dem Status Inaktiv.

Verwaltung des Inhaltszugriffs von Lesern, Nutzern und Gruppen

Die Standard-Inhaltsrolle, die jedem neuen Nutzer, Leser oder Gruppe zugewiesen wird, basiert auf dem, was während der SCIM-Bereitstellung konfiguriert wurde. Die Berechtigungen werden standardmäßig auf Keine gesetzt, können aber jederzeit aktualisiert werden.

  1. Wählen Sie den gewünschten Reader aus und klicken Sie auf Inhaltszugriff verwalten.
  2. Wählen Sie die gewünschte Zugriffsstufe aus dem Dropdown-Menü und klicken Sie auf Aktualisieren.
Editing reader account settings, including content access and associated groups options.

Best Practices

  • Überprüfen Sie, ob die Client-ID mit der Relying Party Identifier übereinstimmt. Die in Document360 eingegebene Client-ID muss exakt mit der in ADFS konfigurierten Relying Party Identifier übereinstimmen. Eine Fehlanpassung führt zu Authentifizierungsfehlern.
  • Verwenden Sie den korrekten ausgehenden Anspruchstyp für E-Mails. Für OpenID Connect ADFS ist der ausgehende Anspruchstyp für E-Mail E-Mail, nicht E-Mail-Adressen wie in der SAML-Konfiguration verwendet. Die Verwendung des falschen Anspruchstyps führt zu Fehlern in der Benutzeridentität.
  • Nutze ein Drittanbieter-Tool für SCIM. ADFS unterstützt keine native SCIM-Bereitstellung. Plane deinen Ansatz zur Benutzerbereitstellung, bevor du SCIM in Document360 aktivierst.
  • Rotiere die Client-Geheimnisse vor dem Ablauf. Das in ADFS konfigurierte Client-Geheimnis hat ein Ablaufdatum. Wenn sie abläuft, schlägt die SSO-Authentifizierung fehl. Überwachen Sie den Ablauf und rotieren Sie die Geheimnisse im Voraus.

FAQ

Warum wird SCIM in ADFS nicht nativ unterstützt?

ADFS ist ein Föderationsdienst vor Ort, der auf SAML- und WS-Federation-Protokollen basiert. Es enthält keinen eingebauten SCIM-Endpunkt. Um SCIM mit ADFS in Document360 zu nutzen, benötigen Sie ein Drittanbieter-Provisioning-Tool oder eine benutzerdefinierte Integration, die ADFS mit dem SCIM-Protokoll verbindet.

Was passiert mit dem Profil eines Benutzers in Document360, wenn ich ihn in ADFS lösche?

Das Löschen eines Benutzerprofils in Ihrem IdP entfernt es nicht aus Document360. Das Profil bleibt in Document360 mit dem Status Inaktiv.

Wie unterscheidet sich die ADFS OpenID Claim-Rule Mapping von der SAML Claim Rule Mapping?

Die Claim-Rule-Mapping für OpenID Connect ADFS verwendet E-Mail als ausgehenden Antragstyp für E-Mail-Adressen, während die SAML-Konfiguration E-Mail-Adressen verwendet. Stellen Sie sicher, dass Sie den richtigen Anspruchstyp für das Protokoll verwenden, das Sie konfigurieren.