SAML-SSO mit ADFS

Pläne, die Single Sign-On (SSO) unterstützen

Bevor Sie Single Sign-On (SSO) zwischen Document360 und ADFS mithilfe des SAML-Protokolls einrichten, stellen Sie sicher, dass Sie administrativen Zugriff sowohl auf Document360 als auch auf den ADFS-Server haben. Bitte beachten Sie, dass nur Benutzer mit der Rolle "Besitzer " oder "Administrator " als Projekt SSO in Document360 konfigurieren können.

PROFI-TIPP

Es wird empfohlen, Document360 und ADFS in zwei separaten Registerkarten/Browserfenstern zu öffnen, da Sie für die Konfiguration von SSO in Document360 mehrmals zwischen Okta und Document360 wechseln müssen.

Hinzufügen einer Anwendung in ADFS

Sie müssen eine neue SAML-Anwendung in ADFS erstellen:

1. Melden Sie sich bei der ADFS-Verwaltungskonsole auf Ihrem ADFS-Server an.

2. Navigieren Sie in der ADFS-Verwaltungskonsole zu Vertrauensstellungen der vertrauenden Seite.

3. Klicken Sie mit der rechten Maustaste auf Vertrauensstellungen der vertrauenden Seite , und wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus.

4. Wählen Sie im Assistenten zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite die Option Ansprüche unterstützend aus, und klicken Sie auf Start.

5. Wählen Sie Daten über die vertrauende Seite manuell eingeben aus, und klicken Sie auf Weiter.

6. Geben Sie einen Anzeigenamen ein (z. B. "Document360 SAML SSO") und klicken Sie auf Weiter.

7. Klicken Sie im Schritt Zertifikat konfigurieren auf Weiter (Sie können dies überspringen, wenn Sie kein Zertifikat verwenden).

8. Wählen Sie unter URL konfigurieren die Option Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren aus.

Konfiguration des Document360-Dienstanbieters (SP)

Als Nächstes müssen Sie ADFS mit den von Document360 bereitgestellten Details zum Dienstanbieter (SP) konfigurieren:

1. Öffnen Sie Document360 in einer separaten Registerkarte oder einem separaten Fenster.

2. Navigieren Sie in Document360 zu Einstellungen > Benutzer und Sicherheit > SAML/OpenID .

3. Klicken Sie auf die Schaltfläche SSO erstellen .

4. Wählen Sie ADFS als Identitätsanbieter (IdP) aus, um automatisch zur Seite Dienstanbieter (SP) konfigurieren zu navigieren.

5. Wählen Sie auf der Seite Configure the Service Provider (SP) (Dienstanbieter (SP) konfigurieren die Option SAML als Protokoll aus.

6. Sie werden zur Seite "Dienstanbieter konfigurieren" weitergeleitet, die die folgenden Werte enthält:

   • Subdomain-Name: Die eindeutige Subdomain Ihrer Document360-Instanz (z. B. yourcompany.document360.io).

   • Callback-Pfad: Der URI, an den Benutzer nach der Anmeldung umgeleitet werden.

   • Callback-Pfad für abgemeldete Benutzer: Der URI, an den Benutzer nach der Abmeldung umgeleitet werden.

   • Metadatenpfad: Die URL, unter der die SAML-Metadaten für Document360 abgerufen werden können.

   • Entitäts-ID des Dienstanbieters: Die eindeutige Kennung für den Document360-Dienstanbieter.

7. Geben Sie diese Werte in die entsprechenden Felder in den Schritten Konfigurieren von URL und Bezeichnern in ADFS ein:

   • Relying Party Identifier: Verwenden Sie die von Document360 bereitgestellte Entitäts-ID des Dienstanbieters .

   • Anmelde-URL: Geben Sie den Rückrufpfad ein.

   • Abmelde-URL: Geben Sie den Callback-Pfad "Abmelden" ein.

   • Trust Identifier der vertrauenden Seite: Verwenden Sie den Namen der Subdomain.

   • Metadaten-URL: Geben Sie den Metadatenpfad ein, um ADFS so zu konfigurieren, dass die SAML-Metadaten automatisch von Document360 abgerufen werden.

8. Klicken Sie auf Weiter , und führen Sie die verbleibenden Schritte im Assistenten aus, z. B. das Einrichten der mehrstufigen Authentifizierung, falls erforderlich, und das Zulassen des Zugriffs auf die Anwendung für alle Benutzer.

9. Überprüfen Sie Ihre Einstellungen, und klicken Sie auf Weiter , um die Vertrauensstellung der vertrauenden Seite hinzuzufügen.

10. Aktivieren Sie auf dem letzten Bildschirm das Kontrollkästchen für das Dialogfeld "Anspruchsregeln bearbeiten" öffnen und klicken Sie auf "Schließen".

Konfigurieren von Anspruchsregeln

1. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "Regel hinzufügen".

2. Wählen Sie als Regelvorlage LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.

3. Geben Sie einen Namen für die Anspruchsregel an (z. B. "LDAP-Attribute senden").

4. Konfigurieren Sie Folgendes:

   • Attributspeicher: Wählen Sie Active Directory aus.

   • Kartierung:

     • LDAP-Attribut: Benutzer-Prinzipal-Name | Ausgehender Anspruchstyp: Namens-ID

     • LDAP-Attribut: E-Mail-Adressen | Ausgehende Anspruchsart: E-Mail

     • LDAP-Attribut: Anzeigename | Ausgehender Anspruchstyp: Name

5. Klicken Sie auf Fertig stellen , um die Regel hinzuzufügen.

6. Klicken Sie auf Übernehmen , um Ihre Änderungen zu speichern und das Dialogfeld zu schließen.

Document360 SAML SSO-Konfiguration

Konfigurieren Sie nun die SSO-Einstellungen in Document360:

1. Kehren Sie zur Registerkarte/zum Fenster von Document360 zurück, in dem die Seite "Dienstanbieter (SP) konfigurieren" angezeigt wird, und klicken Sie auf Weiter , um zur Seite "Identitätsanbieter (IdP) konfigurieren" zu navigieren.

2. Geben Sie die entsprechenden Werte aus Ihrer ADFS-Konfiguration ein:

3. Laden Sie das X.509-Zertifikat von ADFS herunter und laden Sie es in Document360 im Feld SAML-Zertifikat hoch.

4. Schalten Sie die Option "Vom IdP initiierte Anmeldung zulassen " je nach Ihren Projektanforderungen ein/aus.

5. Klicken Sie auf Weiter , um zur Seite Weitere Einstellungen zu gelangen.

Weitere Einstellungen

Konfigurieren Sie auf der Seite Weitere Einstellungen Folgendes:

• SSO-Name: Geben Sie einen Namen für die SSO-Konfiguration ein.

• Anmeldeschaltfläche anpassen: Geben Sie den Text für die Anmeldeschaltfläche ein, die Benutzern angezeigt wird.

• Lesegruppe automatisch zuweisen: Nach Bedarf ein- und ausschalten.

• SSO-Teamkonto im Leerlauf abmelden: Schalten Sie es je nach Bedarf ein/aus.

6. Klicken Sie auf Erstellen , um die SAML-SSO-Konfiguration abzuschließen.