SSO Einstellungen

Wenn die SSO Einstellungen Option aktiviert ist, können sich Benutzer automatisch bei ADSelfService Plus anmelden, indem sie sich einfach an ihrem Windows-Gerät anmelden oder über einen Drittanbieter-Identitätsanbieter.

ADSelfService Plus unterstützt Single Sign-On (SSO) mit zwei Arten der Authentifizierung:

1. NTLM Authentifizierung
2. SAML Authentifizierung

1. NTLM Authentifizierung

Bei dieser Authentifizierungsmethode melden sich Benutzer bei der ADSelfService Plus Webkonsole mit den Anmeldedaten an, die sie zur Anmeldung am Gerät verwendet haben. Um die NTLM-Authentifizierung zu aktivieren, folgen Sie den untenstehenden Schritten.

Voraussetzungen:

• Navigieren Sie zu Admin > Anpassen > Anmeldeeinstellungen > Single Sign-On.
• Aktivieren Sie das Kontrollkästchen Enable SSO
• um SSO in ADSelfService Plus zu aktivieren.
• Jespa Bereitstellung Laden Sie die neueste
• Jespa JAR-Datei herunter. Entpacken Sie die heruntergeladene Datei und fügen Sie die Jespa JAR-Datei (Dateiname jespa-2.0.0.jar) in den <ADSelfServicePlus_install_directory> /lib
• Ordner ein, wobei <ADSelfServicePlus_install_directory> der Installationspfad von ADSelfService Plus ist. Starten Sie
• ADSelfService Plus

unbegrenzte Benutzer für 60 Tage und danach nur 25 Benutzer

unterstützt. Wenn Sie Jespa zur NTLM-Authentifizierung für unbegrenzte Benutzer über 60 Tage hinaus weiter verwenden möchten, müssen Sie es bei IOPLEX erwerben.

• Navigieren Sie zu Bitte kontaktieren Sie support@adselfserviceplus.com, wenn Sie Hilfe bei der Konfiguration der NTLM-Authentifizierung für Ihre Benutzer benötigen.
• Konfigurationsschritte: Kontrollkästchen Admin > Anpassen > Anmeldeeinstellungen > Single Sign-On.
• Klicken Sie auf das Kontrollkästchen, um SSO in ADSelfService Plus zu aktivieren.
• Wählen Sie
• NTLM Authentifizierung. Um den NTLM-Authentifizierungsdienst zu verwenden, muss ein Computer-Konto erstellt werden, das nicht mit einem physischen Computer in Ihrem Netzwerk verbunden ist, mit einem spezifischen Passwort, das den Passwort-Richtlinien in AD entspricht. Dies ist erforderlich, da nur ein Computer-Konto die NTLM-Anmeldedaten (Domänenname, Benutzername und Einweg-Hash des Passworts, der während der Geräteanmeldung erhalten wird) eines Benutzers validieren kann. Klicken Sie auf



• Jetzt konfigurieren , um die Details des Computer-Kontos anzugeben. Die NTLM-Authentifizierung ist domänenbasiert, sodass dieser Authentifizierungstyp für eine ausgewählte Domänengruppe aktiviert werden kann. Wenn Sie bereits ein solches Computer-Konto besitzen, geben Sie den Computernamen und dessen Passwort in die vorgesehenen Felder ein. Sie können auch ein neues Computer-Konto erstellen, indem Sie die erforderlichen Details angeben und das Kästchen Dieses Computerkonto in der Domäne erstellen



• NTLM Authentifizierung. aktivieren. Aktivieren oder deaktivieren Sie die Computer-Konten durch Klicken auf die
• Aktivieren/Deaktivieren Schaltfläche. Speichern. Wenn Sie ADSelfService Plus auf einem Gerät installiert haben, das nicht zur gewählten Domäne gehört, klicken Sie auf die Erweitert Schaltfläche und geben Sie die DNS

Server

• und
• DNS-Site der Domäne an. A. Finden der IP-Adresse der DNS-Server

Öffnen Sie auf einem Gerät, das zur ausgewählten Domäne gehört, die Eingabeaufforderung, geben Sie „ipconfig /all“ ein und drücken Sie Enter.

• Navigieren Sie zu Tragen Sie die unter den
• DNS-Servern

angezeigte IP-Adresse in das entsprechende Feld in

ADSelfService Plus

• ein.
• B. Finden der DNS-Site

Active Directory Sites and Services.

1. Geben Sie die DNS-Site ein, die den Domänencontroller der ausgewählten Domäne enthält, in das entsprechende Feld in ADSelfService Plus. C. Hinzufügen von Sites zur lokalen Intranetzone Klicken Sie auf das Es gibt zwei Möglichkeiten, die erforderliche Konfiguration anzuwenden:
2. NTLM Authentifizierung. Verwendung einer Gruppenrichtlinie Manuelle Konfiguration Methode 1: Verwendung einer Gruppenrichtlinie (unterstützt in Google Chrome und Internet Explorer) Erstellen Sie ein neues Gruppenrichtlinienobjekt und navigieren Sie zuBenutzerkonfiguration > AdministrativeVorlagen > Windows-Komponenten > Internet Explorer > Internetsteuerung > Sicherheitsseite >Sites to Zones Assignment Liste.
3. Navigieren Sie zu Aktivieren. Klicken Sie auf das Es gibt zwei Möglichkeiten, die erforderliche Konfiguration anzuwenden:
4. Anzeigen um die Zonenzuweisungen anzuzeigen. Geben Sie die Zugriffs-URL im Wertnamen ein und ordnen Sie sie den vertrauenswürdigen Sites zu, indem Sie „1“ in Wert Sites to Zones Assignment Liste.

eingeben, dann klicken Sie 

OK.

• Navigieren Sie zu Benutzerkonfiguration > Administrative Vorlagen > Alle Einstellungen > Anmeldeoptionen.
• Konfigurationsschritte: Wählen Sie in der Liste der Anmeldeoptionen die Option Nur automatische Anmeldung in der Intranetzone
• Konfigurationsschritte: , dann Methode 2: Manuelle Konfiguration 1. Google Chrome:

Einstellungen > Erweitertes Dropdown > Systemmodul > Proxy-Einstellungen öffnen.

• Navigieren Sie zu Sicherheits-
• Konfigurationsschritte: Wählen Sie in der Liste der Anmeldeoptionen die Option Nur automatische Anmeldung in der Intranetzone
• Konfigurationsschritte: , dann Methode 2: Manuelle Konfiguration 1. Google Chrome:

Tab und wählen Sie das

• Lokales Intranet Symbol aus. WebsitesSchaltfläche, geben Sie die Zugriffs-URL von ADSelfService Plus im erforderlichen Feld ein und klicken Sie auf
• Hinzufügen. 2. Internet Explorer: Extras > Internetoptionen > Sicherheit.
• 3. Mozilla Firefox:
• NTLM Authentifizierung. Sites to Zones Assignment Liste.

Geben Sie

„about:config“

in die Adressleiste ein und drücken Sie die Eingabetaste, um die Liste der

Voraussetzungen:

1. Einstellungen anzuzeigen. Wenn eine Warnmeldung erscheint, klicken Sie  Ich akzeptiere das Risiko,um fortzufahren. Kontrollkästchen Navigieren Sie zur Einstellung SAML Authentifizierung network.automatic-ntlm-auth.trusted-urls. Doppelklicken Sie auf diese Einstellung und geben Sie die Zugriffs-URL von ADSelfService Plus ein (z. B. selfservice-5994:8888). 2. SAML Authentifizierung
   
2. Bei dieser Authentifizierungsmethode melden sich Benutzer bei der ADSelfService Plus Webkonsole mit den Anmeldedaten eines SAML-basierten Identitätsanbieters an. Nach Aktivierung der SAML-basierten SSO-Option erhält der IdP bei jedem Versuch eines Benutzers, auf die ADSelfService Plus-Webkonsole zuzugreifen, die Authentifizierungsanfrage. IdP authentifiziert den Benutzer, und nach erfolgreicher Authentifizierung wird der Benutzer automatisch im ADSelfService Plus-Portal angemeldet. Ist der Benutzer bereits beim Identitätsanbieter angemeldet, erhält er beim Zugriff auf ADSelfService Plus automatisch Zugang., Melden Sie sich bei der ADSelfService Plus Webkonsole als Administrator an. Navigieren Sie zu, AD, Leitung, Entra, und 1Kosmos.

3. Melden Sie sich bei Ihrem Identitätsanbieter mit Administrator-Anmeldeinformationen an und navigieren Sie zu ADSelfService Plus aus Metadaten im XML-Format herunter Herausgeber-URL/Entity-ID, IdP-Anmelde-URL, IdP-Abmelde-URL, Erweitert X509-Zertifikat. Sie benötigen diese Informationen bei der

Service-Provider-Konfiguration (ADSelfService Plus)

1. Navigieren Sie zu Admin > Anpassen > Anmeldeeinstellungen > Single Sign-On.
2. Aktivieren Sie das Kontrollkästchen Kontrollkästchen zum Aktivieren von SSO in ADSelfService Plus.



3. Konfigurationsschritte: SAML Authentifizierung Schaltfläche zum Aktivieren der SAML-Konfiguration in Ihrer Domäne.
4. Wählen Sie den Identitätsanbieter Ihrer Wahl im IdP auswählen Dropdown-Menü. Wenn Sie Benutzerdefiniertes SAML aus dem Dropdown-Menü, müssen Sie den IdP eingeben und das IdP-Logo in die jeweiligen Felder hochladen.
5. Es gibt zwei SAML-Konfigurationsmodi: Metadatendatei hochladen Erweitert Manuelle
• Klicken Sie auf das Metadatendatei hochladen wenn Sie die IdP-Metadatendatei vom
• NTLM Authentifizierung. Durchsuchen zum Hochladen der IdP-Metadatendatei.



• Klicken Sie auf das Manuelle Konfiguration zum manuellen Konfigurieren der URLs und Zertifikate.
• Geben Sie die Herausgeber-URL/Entity-ID-URL ein, die Sie vom Identitätsanbieter erhalten haben, in Schritt 3 der Voraussetzungen).
• Im IdP-Anmelde-URL, geben Sie die Anmelde-URL ein, die Sie vom Schritt 3 der Voraussetzungen).
• Im zur Verfügung gestellten Feld für X.509-Zertifikat, geben Sie den öffentlichen Zertifikatsschlüssel ein, Schritt 3 der



Wichtig: Standardmäßig verwendet ADSelfService Plus
• Wenn Sie einen benutzerdefinierten SAML-IdP verwenden möchten, wählen Sie Benutzerdefiniertes SAML aus dem IdP auswählen Dropdown-Menü und geben Sie einen Namen im IdP Feld ein. Sie können auch das IdP-Logo im IdP Feld anhängen.



• NTLM Authentifizierung. Erweiterte Einstellungen zum Konfigurieren der SAML-Anfrage und -Antwort, die



• Wählen Sie aus, ob die SAML-Anfrage an den IdP signiert oder nicht signiert SAML-Anfrage Dropdown-Menü gesendet wird.
• Wählen Sie den Authentifizierungskontextklasse aus, die in der SAML-Anfrage gesendet wird, aus dem Authentifizierungskontext Klassen-Dropdown-Menü aus.
• Wählen Sie den SAML-Antwort Erweitert Assertion-Signatur aus den jeweiligen Dropdown-Menüs, um zu bestimmen, ob die vom IdP empfangenen Nachrichten



• Wählen Sie den Signaturalgorithmus den der IdP verwendet, um die SAML- Signaturalgorithmus Dropdown-Menü gesendet wird.



• Klicken Sie auf das Verschlüsselt oder Unverschlüsselt aus dem Assertion
Hinweis: Bitte überprüfen Sie bei Ihrem IdP, ob verschlüsselte Assertionen



• Wenn die SAML-Assertion verschlüsselt ist, wählen Sie entweder Selbstsigniert oder CA-signiert aus dem Verschlüsselungszertifikat Dropdown-Optionen aus.
• Wenn das Verschlüsselungszertifikat CA-signiert ist, laden Sie den CA-öffentlichen Schlüssel Erweitert CA-privaten Schlüssel hoch, wie von der Zertifizierungsstelle (CA) angegeben.



• Wenn das Verschlüsselungszertifikat selbstsigniert ist, können Sie das selbstsignierte Selbstsigniertes Zertifikat herunterladenklicken. Sie benötigen dies zur Konfiguration der SAML-Authentifizierung im IdP.



Hinweis: Sie können basierend auf den Anforderungen Ihrer Organisation auswählen, welches Verschlüsselungszertifikat Sie verwenden möchten. Das Verwenden eines CA-signierten
• Wählen Sie entweder Aktivieren oder Deaktivieren aus dem Einzelne aus dem Dropdown-Menü. Wenn die Einzelne Abmeldung Option konfiguriert ist und sich ein Benutzer von ADSelfService Plus abmeldet, wird der Benutzer automatisch auch vom IdP abgemeldet und umgekehrt.



6. NTLM Authentifizierung. Speichern.
7. Eine Zusammenfassung der IdP- und Service-Provider-Konfigurationen wird unten angezeigt.
8. Um das SAML-Signier- und selbstsignierte Verschlüsselungszertifikat neu zu generieren, klicken Sie auf Neu generieren entsprechend den jeweiligen Signierzertifikat Erweitert Verschlüsselungszertifikat Feldern. Die Zertifikate laufen standardmäßig nach einem Zeitraum von einem



Hinweis: Siehe die vollständige Liste der SAML-Authentifizierungsfehlercodes und deren Beschreibungen.