SAML SSO mit ADFS

Bevor Sie Single Sign-On (SSO) zwischen Document360 und ADFS mit dem SAML-Protokoll einrichten, stellen Sie sicher, dass Sie sowohl Document360 als auch zum ADFS-Server Administratorzugriff haben. Bitte beachten Sie, dass nur Benutzer mit Eigentümer oder Administrator als Projektrolle SSO in Document360 konfigurieren können.

PRO-TIPP

Es wird empfohlen, Document360 und ADFS in zwei separaten Tabs/Browserfenstern zu öffnen, da die Konfiguration von SSO in Document360 dazu führt, dass Sie mehrfach zwischen Okta und Document360 wechseln müssen.

Hinzufügen einer Anwendung in ADFS

Sie müssen eine neue SAML-Anwendung in ADFS erstellen:

1. Melden Sie sich in der ADFS-Verwaltungskonsole auf Ihrem ADFS-Server an.

2. In der ADFS-Verwaltungskonsole navigieren Sie zu Vertrauensparteien (Vertrauenswürdige Parteitreuer).

3. Klicken Sie mit der rechten Maustaste auf Relying Party Trusts und wählen Sie "Trust für vertrauende Partei hinzufügen".

4. Im Wizard Add Relying Party Trust wählen Sie Claims aware und klicken Sie auf Start.

5. Wählen Sie Daten über die vertrauende Partei manuell eingeben und klicken Sie auf Nächst.

6. Geben Sie einen Anzeigenamen an (z. B. "Document360 SAML SSO") und klicken Sie auf Next.

7. Im Schritt Zertifikat konfigurieren klickst du auf Nächste (du kannst das überspringen, wenn du kein Zertifikat benutzt).

8. Unter URL konfigurieren wählen Sie Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren.

Konfiguration des Document360 Service Provider (SP)

Als Nächstes müssen Sie ADFS mit den von Document360 bereitgestellten Service Provider (SP)-Daten konfigurieren:

1. Öffne Document360 in einem separaten Tab oder Panel.

2. Navigieren Sie zu Einstellungen > Benutzer und Berechtigungen > SSO-Konfiguration in Document360.

3. Klicken Sie auf die Schaltfläche SSO erstellen .

4. Wählen Sie ADFS als Ihren Identitätsanbieter (IdP) aus, um automatisch zur Seite "Service Provider konfigurieren" (SP) zu gelangen.

5. Auf der Seite Configure the Service Provider (SP) wählen Sie SAML als Protokoll.

6. Sie werden zur Seite "Service Provider konfigurieren" (SP) weitergeleitet, die folgende Werte enthält:

   • Subdomainname: Die eindeutige Subdomain Ihrer Document360-Instanz (z. B. yourcompany.document360.io).

   • Rückrufweg: Die URI, bei der Nutzer nach dem Anmelden umgeleitet werden.

   • Ausloggter Rückrufpfad: Die URI, bei der Nutzer nach dem Ausloggen umgeleitet werden.

   • Metadatenpfad: Die URL, auf die die SAML-Metadaten für Document360 abgerufen werden können.

   • Dienstanbieter-Entitäts-ID: Die eindeutige Kennung des Document360-Dienstanbieters.

7. Geben Sie diese Werte in die entsprechenden Felder der Schritte URL und Identifier konfigurieren in ADFS ein:

   • Relying Party Identifier: Verwenden Sie die von Document360 bereitgestellte Serviceprovider-Entitäts-ID .

   • Anmelde-URL: Geben Sie den Callback-Pfad ein.

   • Sign-out-URL: Geben Sie den Signout-Callback-Pfad ein.

   • Relying Party Trust Identifier: Verwenden Sie den Unterdomainnamen.

   • Metadaten-URL: Geben Sie den Metadatenpfad ein, um ADFS so zu konfigurieren, dass es die SAML-Metadaten automatisch aus Document360 abruft.

8. Klicken Sie auf Nächstes und schließen Sie die restlichen Schritte im Wizard ab, wie zum Beispiel die Einrichtung der Mehrfaktor-Authentifizierung bei Bedarf und die Erlaubnis des Zugriffs auf die Anwendung aller Nutzer.

9. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Weiter, um den vertrauenswürdigen Trust hinzuzufügen.

10. Auf dem letzten Bildschirm aktivieren Sie das Kästchen für das Feld "Anspruchsregeln bearbeiten" und klicken Sie auf Schließen.

Konfiguration von Anspruchsregeln

1. Im Dialogfeld Anspruchsregeln bearbeiten klicken Sie auf Regel hinzufügen.

2. Wählen Sie LDAP-Attribute als Claims als Regelvorlage senden und klicken Sie auf Weiter.

3. Gib einen Namen für die Claim-Regel an (z. B. "Send LDAP Attributes").

4. Konfigurieren Sie Folgendes:

   • Attribute Store: Wählen Sie Active Directory aus.

   • Kartierung:

     • LDAP-Attribut: Benutzer-Principal-Name | Ausgehende Antragsart: Namens-ID

     • LDAP-Attribut: E-Mail-Adressen | Art des ausgehenden Antrags: E-Mail

     • LDAP-Attribut: Display-Name | Ausgehender Anspruchstyp: Name

5. Klicken Sie auf Beenden , um die Regel hinzuzufügen.

6. Klicken Sie auf Anwenden , um Ihre Änderungen zu speichern und den Dialog zu schließen.

Document360 SAML SSO-Konfiguration

Jetzt konfigurieren Sie die SSO-Einstellungen in Document360:

1. Kehren Sie zum Document360-Tab/Panel zurück, das die Seite "Service Provider konfigurieren" (SP) anzeigt, und klicken Sie auf Next, um zur Seite "Configure the Identity Provider (IdP) zu gelangen.

2. Geben Sie die entsprechenden Werte aus Ihrer ADFS-Konfiguration ein:

3. Laden Sie das X.509-Zertifikat von ADFS herunter und laden Sie es im SAML-Zertifikatsfeld in Document360 hoch.

4. Schalten Sie die Option "Admit IdP initiierte Anmeldung" basierend auf Ihren Projektbedürfnissen ein- oder aus.

5. Klicken Sie auf Weiter, um zur Seite Mehr-Einstellungen zu gelangen.

Weitere Schauplätze

Konfigurieren Sie auf der Seite "Mehr Einstellungen " Folgendes:

• SSO-Name: Geben Sie einen Namen für die SSO-Konfiguration ein.

• Login-Button anpassen: Geben Sie den Text für den Login-Button ein, der den Nutzern angezeigt wird.

• Lesegruppe automatisch zuweisen: Schalte bei Bedarf ein- oder aus.

• Ausloggen, leerer SSO-Nutzer: Ein- oder ausschalten, je nach Anforderung.

6. Klicken Sie auf Erstellen , um die SAML SSO-Konfiguration abzuschließen.