Konfigurieren der zentralen Benutzeranmeldung zu ADAudit Plus mit Active Directory Federation Services (AD FS)

Schritt 1: ADAudit Plus in AD FS konfigurieren

Voraussetzungen

Um AD FS für die Identitätsüberprüfung in ADAudit Plus zu konfigurieren, benötigen Sie:

1. Um den AD FS-Server zu installieren. Die detaillierten Schritte zur Installation und Konfiguration von AD FS finden Sie in diesem Microsoft-Artikel.
2. Ein SSL-Zertifikat, um Ihre AD FS-Anmeldeseite zu signieren, sowie den Fingerabdruck für dieses Zertifikat.

Konfigurationsschritte

Anspruchsregeln und Vertrauensstellung der sich darauf stützenden Parteien

Während der Konfiguration müssen Sie eine Vertrauensstellung für sich darauf stützende Parteien hinzufügen und Anspruchsregeln erstellen. Eine Vertrauensstellung für sich darauf stützende Parteien wird eingerichtet, um die Verbindung zwischen zwei Anwendungen für Authentifizierungszwecke durch die Überprüfung von Ansprüchen herzustellen.

In diesem Fall wird AD FS der sich darauf stützenden Partei (ADAudit Plus) vertrauen und Benutzer basierend auf den generierten Ansprüchen authentifizieren. Ansprüche werden aus Anspruchsregeln generiert, indem bestimmte Bedingungen auf sie angewendet werden. Ein Anspruch ist ein Attribut, das zur Identifizierung einer Entität verwendet wird, um den Zugriff zu gewähren. Zum Beispiel der Active Directory SAMAccountName.

1. Öffnen Sie die AD FS-Verwaltungskonsole.
2. Die Verbindung zwischen AD FS und ADAudit Plus wird mithilfe einer Vertrauensstellung für sich darauf stützende Parteien (RPT) eingerichtet. Wählen Sie den Ordner Vertrauensstellungen für sich darauf stützende Parteien.

   

3. Klicken Sie auf Aktionen > Vertrauensstellung für sich darauf stützende Partei hinzufügen. Wenn der Assistent zum Hinzufügen einer Vertrauensstellung geöffnet wird, klicken Sie auf Start.
4. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die Partei manuell eingeben aus und klicken Sie auf Weiter.

   

5. Geben Sie auf der Seite Anzeige-Namen angeben einen Anzeigennamen Ihrer Wahl ein und fügen Sie bei Bedarf zusätzliche Notizen hinzu. Klicken Sie auf Weiter.
6. Wählen Sie auf der Seite Profil auswählen AD FS-Profil aus. Klicken Sie auf Weiter.
7. Auf der Seite Zertifikat konfigurieren wurden bereits die Standardeinstellungen angewendet. Klicken Sie auf Weiter.
8. Auf der Seite URL konfigurieren aktivieren Sie das Kontrollkästchen neben Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren. Die SAML 2.0 SSO-Dienst-URL der sich darauf stützenden Partei ist die ACS-URL von ADAudit Plus.
   Hinweis:

   Es gibt keinen abschließenden Schrägstrich am Ende der URL. Beispiel:

   https://ADAuditPlus-server/samlLogin/955060d15d6bb8166c13b8b6e10144e5f755c953

   Um den Wert der ACS-URL zu erhalten, öffnen Sie die ADAudit Plus-Konsole, navigieren Sie zu Admin → Verwaltung → Anmeldeeinstellungen → Single Sign-On. Aktivieren Sie das Kontrollkästchen neben Single Sign-On aktivieren und wählen Sie SAML-Authentifizierung → Identitätsanbieter (IdP) → ADFS. Hier finden Sie den Wert der ACS-URL / Empfänger-URL.

9. Auf der Seite Identifikatoren konfigurieren fügen Sie im Feld für die Identifikatoren des vertrauenswürdigen Dienstanbieters den Wert der Entität ein.
   Hinweis: Um den Wert der Entität zu finden, melden Sie sich bei der ADAudit Plus-Konsole an, navigieren Sie zu Admin → Verwaltung → Anmeldeeinstellungen → Single Sign-On. Aktivieren Sie das Kontrollkästchen neben Single Sign-On aktivieren und wählen Sie SAML-Authentifizierung → Identitätsanbieter (IdP) → ADFS. Hier finden Sie den Wert der Entität.
10. Auf der Seite Multi-Faktor-Authentifizierung jetzt konfigurieren? können Sie wählen, ob Sie die Einstellungen zur Multi-Faktor-Authentifizierung für den vertrauenswürdigen Dienstanbieter konfigurieren möchten. Klicken Sie auf Weiter.
11. Auf der Seite Auswahl der Ausgabeautorisierungsregeln können Sie wählen, ob Sie Allen Benutzern den Zugriff auf diesen vertrauenswürdigen Dienstanbieter erlauben. Klicken Sie auf Weiter.
12. Die nächsten beiden Seiten zeigen eine Übersicht über die von Ihnen konfigurierten Einstellungen an. Auf der Seite Abschließen klicken Sie auf Schließen, um den Assistenten zu beenden.

    Halten Sie die Option Den Dialog Bearbeiten von Anspruchsregeln für diesen vertrauenswürdigen Dienstanbieter öffnen, wenn der Assistent geschlossen wird ausgewählt, um den Editor für Anspruchsregeln automatisch zu öffnen.

    

13. Im Editor für Anspruchsregeln klicken Sie im Tab Ausgabe-Transformationsregeln auf Regel hinzufügen.
14. Wählen Sie im Dropdown-Menü Vorlage für Anspruchsregeln LDAP-Attribuate als Ansprüche senden und klicken Sie auf Weiter.

    

15. Auf der Seite Anspruchsregel konfigurieren geben Sie einen Namen für die Anspruchsregel ein und wählen Active Directory aus dem Dropdown-Menü Attributsspeicher aus. Wählen Sie in der Spalte LDAP-Attribut Benutzer-Prinzipal-Name aus. In der Spalte Ausgehender Anspruchstyp wählen Sie Name ID und klicken auf Fertigstellen.

    

16. Sie können jetzt die Regel ansehen, die erstellt wurde. Klicken Sie auf OK.
17. Laden Sie als Nächstes die Metadatendatei herunter, indem Sie auf den Link Metadaten des Identitätsanbieters klicken. Zum Beispiel: https://<server_name>/FederationMetadata/2007-06/FederationMetadata.xml.
    Hinweis: Ersetzen Sie <server_name> durch den Hostnamen der AD FS

    Speichern Sie diese Datei, da Sie sie bei der Konfiguration der SAML-Authentifizierung in ADAudit Plus benötigen.

18. Navigieren Sie zurück zu Vertrauenswürdige Parteien und suchen Sie die Regel, die Sie erstellt haben. Klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Eigenschaften. Klicken Sie im sich öffnenden Fenster auf Endpunkte → SAML hinzufügen → OK.

    

19. Fügen Sie im Feld Vertrauenswürdige URL die SP Logout-URL ein.
    Hinweis: Um die SP Logout-URL zu erhalten, öffnen Sie die ADAudit Plus-Konsole, navigieren Sie zu Admin → Administration → Anmeldeeinstellungen → Einzelanmeldung. Aktivieren Sie das Kontrollkästchen neben Einzelanmeldung aktivieren, und wählen Sie SAML-Authentifizierung → Identitätsanbieter (IdP) → ADFS. Hier finden Sie den Wert der SP Logout-URL. Klicken Sie auf OK.
20. Klicken Sie als Nächstes auf Signatur und laden Sie das X.509-Zertifikat hoch.
    Hinweis: Um das X.509-Zertifikat zu erhalten, öffnen Sie die ADAudit Plus-Konsole, navigieren Sie zu Admin → Administration → Anmeldeeinstellungen → Einzelanmeldung. Aktivieren Sie das Kontrollkästchen neben Einzelanmeldung aktivieren, und wählen Sie SAML-Authentifizierung → Identitätsanbieter (IdP) → ADFS. Hier finden Sie das X.509-Zertifikat. Klicken Sie auf OK.

Schritt 2: AD FS in ADAudit Plus konfigurieren

Voraussetzungen

RelayState in AD FS aktivieren.

Für Windows Server 2012

• Navigieren Sie zur Datei %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config auf Ihrem AD FS-Server.
• Geben Sie im Abschnitt <microsoft.identityServer.web> den folgenden Code ein: <useRelayStateForIdpInitiatedSignOn enabled="true" />
  Beispielcode:
  <microsoft.identityServer.web>
  …..
  <useRelayStateForIdpInitiatedSignOn enabled="true" />
  </microsoft.identityServer.web>
• Starten Sie den AD FS-Server neu.

Für Windows Server 2016:

• Öffnen Sie eine erweiterte PowerShell-Eingabeaufforderung (Rechtsklick auf PowerShell, und wählen Sie Als Administrator ausführen) auf Ihrem AD FS-Server.
• Führen Sie den folgenden Befehl aus, um die IdP-initiierten SSO zu aktivieren: Set-ADFSProperties -EnableIdPInitiatedSignonPage $true
• Führen Sie den folgenden Code aus, um RelayState zu aktivieren: Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true
• Starten Sie den AD FS-Server neu.

Melden Sie sich mit Administratoranmeldeinformationen in der ADAudit Plus-Webkonsole an und navigieren Sie zu Admin → Administration → Anmeldeeinstellungen → Einzelanmeldung. Aktivieren Sie das Kontrollkästchen neben Einzelanmeldung aktivieren, und wählen Sie SAML-Authentifizierung → Identitätsanbieter (IdP) → ADFS. Klicken Sie auf Durchsuchen und laden Sie die Metadatendatei hoch, die Sie in Schritt 1 heruntergeladen haben: 17. Klicken Sie auf Speichern.

Zugriff auf ADAudit Plus über AD FS

1. Um auf ADAudit Plus zuzugreifen, verwenden Sie die unten angegebene URL: https:// <ADFSserver>/adfs/ls/idpinitiatedsignon.aspx
2. Dabei ist ADFSserver der Server, auf dem AD FS bereitgestellt ist.
3. Wählen Sie in der AD FS-Webkonsole ADAudit Plus aus der Liste der Anwendungen aus.