SAML-Authentifizierung

Hinweis: SAML-Authentifizierung ist ein Erweiterter Authentifikator verfügbar als Teil der Professional Edition von ADSelfService Plus.

Die SAML-Authentifizierung fügt dem Passwort-Zurücksetzen- und Kontosperrungsprozess eine zusätzliche Sicherheitsebene hinzu. Wenn Ihre Organisation bereits SAML-basierte Identity Provider (IdP)-Anwendungen wie OneLogin oder Okta verwendet, ist es sinnvoll, SAML-Authentifizierung als Methode zur Verifizierung von Benutzeridentitäten einzusetzen. Wenn die SAML-Authentifizierung aktiviert ist, werden Benutzer während der Passwort-Selbstbedienungsprozesse zur Authentifizierung an die Anmelde-URL ihres IdP weitergeleitet. Nach erfolgreicher Authentifizierung werden Benutzer zurück zum ADSelfService Plus-Portal geleitet, wo sie ihr Passwort zurücksetzen oder ihr Konto entsperren können. Endbenutzer müssen sich nicht bei ADSelfService Plus registrieren, um SAML-Authentifizierung zu nutzen.

Schritte für die SAML-Authentifizierung

Die Konfiguration der SAML-Authentifizierung muss an zwei Stellen erfolgen:

1. Beim Service Provider (SP).
2. Beim Identity Provider (IdP).

Hier ist der IdP die SAML-basierte Identity Provider-Anwendung wie OneLogin oder Okta. Der SP ist ADSelfService Plus.

Voraussetzungen

1. Melden Sie sich mit Administratorrechten an der ADSelfService Plus Webkonsole an. Navigieren Sie zu Registerkarte Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Setup > SAML-Authentifizierung. Klicken Sie ACS-URL/Empfänger-URL und der Relay State.
2. Der SAML-basierte Identity Provider, den Sie verwenden möchten, muss ADSelfService Plus als eine seiner SAML-unterstützten Anwendungen haben. Wenn dies nicht standardmäßig unterstützt wird, können Sie ADSelfService Plus als neue Anwendung in Ihrem Identity Provider hinzufügen. Die Schritte zum Hinzufügen einer neuen Anwendung finden Sie hier: Okta, OneLogin, AD  Line Works, Microsoft Entra ID, 1Kosmos und RSA Cloud. Für andere Identity Provider wenden Sie sich bitte an den Support des Identity Providers für weitere Unterstützung.
3. Melden Sie sich mit Admin-Zugangsdaten bei der Webkonsole Ihrer Identity Provider-Anwendung an und navigieren Sie in der Anwendungsübersicht zu ADSelfService Plus.
4. Laden Sie entweder die Metadaten im XML-Format herunter oder erhalten Sie die erforderlichen Daten, indem Sie die Issuer URL/Entity ID, IdP Login URLund das X.509-Zertifikat

kopieren.

1. Schritt 1: Konfiguration des Service Providers (ADSelfService Plus) Melden Sie sich mit Administratorrechten an der ADSelfService Plus
2. Webkonsole an. Navigieren Sie zu.
3. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren SAML-Authentifizierung. Klicken Sie Klicken Sie aufÄndern

4. , falls Sie die SAML-Authentifizierung bereits zuvor konfiguriert haben.Identity Provider (IdP) konfigurieren: Klicken Sie auf das Dropdown-Menü Select IdP und wählen Sie einen IdP aus.
5. Es gibt zwei SAML-Konfigurationsmodi: Metadaten-Datei hochladen und Manuelle
   • Wählen Sie Metadaten-Datei hochladen um die vom Identity Provider heruntergeladene IdP-Metadatendatei manuell hochzuladen (siehe Schritt 4 der Voraussetzungen).
     • Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Durchsuchen Sie , um die IdP-Metadatendatei hochzuladen.
   • Wählen Sie Manuelle Konfiguration um URLs und Zertifikate manuell zu konfigurieren.
     • Geben Sie die Issuer URL/Entity ID URL ein, die Sie vom Identity Provider erhalten haben, in das jeweilige Feld ein (siehe Schritt 4 der Voraussetzungen).
     • In der IdP Login URL, geben Sie die Login-URL ein, die Sie vom Identity Provider erhalten haben (siehe Schritt 4 der Voraussetzungen).
     • Im Feld für X.509-Zertifikat, geben Sie den öffentlichen Zertifikatsschlüssel ein, der vom Identity Provider bereitgestellt wurde (siehe Schritt der Voraussetzungen).
     Hinweis: Das X.509-Zertifikat beginnt mit '-----BEGIN CERTIFICATE-----' und endet mit '-----END CERTIFICATE-----'. Dieses Muster ist in den meisten Fällen standardmäßig, aber wenn es fehlt, müssen Sie es manuell in die Datei einfügen.
     • Kopieren Sie die ACS-URL/Empfänger-URL und SP Issuer URL Werte unter Service Provider (SP) Details. Diese werden Sie in einem späteren Schritt benötigen.

     

     Wichtig:

     • Standardmäßig verwendet ADSelfService Plus dieselbe SAML-Authentifizierungskonfiguration für die Multi-Faktor-Authentifizierung bei Passwort-Selbstbedienung und für Single Sign-On (SSO) beim Login. Das bedeutet, dass die MFA-SAML-Konfigurationen automatisch in den Login-SSO-Einstellungen widergespiegelt werden, sofern diese aktiviert sind.
     • Wenn Sie das Kästchen Neues SAML-SSO erstellen aktivieren, können Sie eine separate SAML-Konfiguration für die Multi-Faktor-Authentifizierung erstellen, indem Sie eine neue ACS-URL/Empfänger-URL und SP generieren. Verwenden Sie die neu generierte ACS-URL/Empfänger-URL oder die SP-Metadatendatei, um eine neue SAML-Konfiguration für ADSelfService Plus in Ihrem Identity Provider anzulegen.
     • Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Speichern und die neue ACS-/Empfänger-URL wird erstellt.
     • Kopieren Sie die Relay State Wert.
     • Wenn Sie einen benutzerdefinierten SAML-IdP verwenden möchten, wählen Sie Custom SAML aus dem Select IdP Dropdown-Menü und geben Sie den Namen des IdP im Feld IdP Name ein.
     
     • Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Erweiterte Einstellungen zum Konfigurieren der verarbeiteten SAML-Anfrage und Antwort.
     
     • Wählen Sie aus dem Dropdown-Menü SAML-Anfrage aus, ob die an den IdP gesendete SAML-Anfrage signiert oder unsigniert ist.
     • Klicken Sie auf das Dropdown-Menü Authentication Context Class und wählen Sie die im SAML-Anfrageprotokoll gesendete Authentication Context Class aus.
     • Wenn Ihr IdP die Einstellung hat, die Erstfaktor-Authentifizierung zu umgehen, können Sie wählen, ob Sie Einschließen oder Ausschließen des SAML Subjectkonfigurieren. Diese Einstellung bestimmt, ob der aktuell authentifizierte Benutzername in der SAML-Anfrage enthalten ist, sodass der SAML-IdP die Erstfaktor-Authentifizierung überspringen kann.

       

       • Wenn Sie Enthaltenwählen, können Benutzer die primäre Authentifizierung während MFA überspringen. Klicken Sie auf die Schaltfläche Bearbeiten [] neben Format und wählen Sie ein geeignetes SAML-Subject-Muster aus. Klicken Sie auf Speichern.

         

       • Wenn Ausgeschlossengewählt ist, müssen Benutzer die primäre Authentifizierung beim IdP abschließen, bevor sie mit MFA fortfahren.
     • Wählen Sie die SAML Response und Assertion Signature aus den jeweiligen Dropdown-Menüs, um festzustellen, ob die vom IdP empfangenen Nachrichten signiert sind oder nicht.
     
     • Wählen Sie den Signaturalgorithmus aus, den der IdP verwendet, um die SAML-Antwort und Assertion zu signieren aus dem Signaturalgorithmus aus, ob die an den IdP gesendete SAML-Anfrage signiert oder unsigniert ist.
     • Wählen Sie aus, ob die SAML-Assertion verschlüsselt oder unverschlüsselt ist, aus dem Assertion-Verschlüsselung aus, ob die an den IdP gesendete SAML-Anfrage signiert oder unsigniert ist.
     Hinweis: Bitte prüfen Sie bei Ihrem IdP, ob verschlüsselte Assertionen unterstützt werden.
     
     • Wenn die SAML-Assertion verschlüsselt ist, wählen Sie anschließend, ob das Verschlüsselungszertifikat ist selbstsigniert oder von einer Zertifizierungsstelle signiert aus den verfügbaren Dropdown-Optionen.
     • Wenn das Verschlüsselungszertifikat von einer Zertifizierungsstelle signiert, dann laden Sie den öffentlichen CA-Schlüssel und privaten CA-Schlüssel wie von der Zertifizierungsstelle angegeben hoch.
     
     • Wenn das Verschlüsselungszertifikat selbstsigniert, dann können Sie das selbstsignierte Zertifikat herunterladen, indem Sie auf Selbstsigniertes Zertifikat herunterladenklicken. Sie benötigen dies zur Konfiguration der SAML-Authentifizierung im IdP.
       
       Hinweis: Sie können das zu verwendende Verschlüsselungszertifikat basierend auf den Anforderungen Ihrer Organisation auswählen. Die Verwendung eines von einer Zertifizierungsstelle signierten Verschlüsselungszertifikats ist jedoch die empfohlene Praxis.
6. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Speichern.
7. Eine Zusammenfassung der SP-Konfiguration wird angezeigt, sobald die Konfiguration gespeichert wurde. Klicken Sie auf SP-Metadaten herunterladen um die Metadatendatei herunterzuladen und an einem Ort zu speichern. Wir benötigen diese im späteren Schritt.


Hinweis: Die Option „SP-Metadaten herunterladen“ ist auch unter Service Provider (SP) Details verfügbar und kann jederzeit während der Konfiguration heruntergeladen werden.


8. Um die SAML-Signatur- und selbstsignierten Verschlüsselungszertifikate neu zu generieren, klicken Sie auf die Neu generieren Schaltfläche, die dem jeweiligen Signaturzertifikat und Verschlüsselungszertifikat Feld zugeordnet ist. Die Zertifikate laufen standardmäßig nach einem Jahr ab.

Schritt 2: Einrichtung einer SAML-Anwendung im Identity Provider

In diesem Abschnitt werden die Konfigurationsschritte für

• Okta
• OneLogin
• AD FS
• Line Works
• Microsoft Entra ID
• 1Kosmos
• RSA Cloud

A. Schritte zur Einrichtung einer SAML-Anwendung in Okta

1. Melden Sie sich mit Administrator-Anmeldeinformationen bei der Okta Web-Konsole an. Vergewissern Sie sich, dass Sie im Administrationsportal angemeldet sind.
2. Navigieren Sie zum Classic UI Dropdown-Menü.
3. Gehen Sie zum Anwendungen Tab > Verknüpfung „Anwendungen hinzufügen“ > Schaltfläche „Neue App erstellen“ . Wählen Sie im sich öffnenden Dialogfeld die
4. Option SAML 2.0 aus und klicken Sie dann auf Erstellen. Geben Sie in
5. Allgemeinen Einstellungen den Namen der SAML-Anwendung ein (Beispiel: SelfService MFA) imFeld „App-Name“. Laden Sie bei Bedarf ein Logo für die Anwendung hoch und klicken Sie anschließend auf Weiter SAML konfigurieren.



6. Allgemeinen Einstellungen und geben Sie dieWerte in die Felder ACS-URL/Empfänger-URL Single Sign-On URL Audience URI (SP Entity ID) und ein. ACS URL/Empfänger-URL:



Hinweis:

• Melden Sie sich mit Administrator-Anmeldeinformationen bei der ADSelfService Plus Web-Konsole an. Navigieren Sie zu Konfiguration Tab > Multi-Faktor-Authentifizierung > SAML Authentifizierung > ACS URL/Empfänger-URL. Kopieren Sie die ACS URL/Empfänger-URL.
• Wenn Ihr Identity Provider Metadaten des Service Providers benötigt, klicken Sie auf SP-Metadaten herunterladen und laden Sie eine XML-Datei Ihrer SAML-Konfigurationen herunter.
7. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Weiter.
8. Allgemeinen Einstellungen Rückmeldung, wählen Sie eine passende Antwort aus und klicken Sie anschließend auf Fertigstellen.
9. Der Anmelden Tab der neu erstellten Anwendung erscheint. Laden Sie die Metadatendatei herunter, indem Sie auf den Link „Identity Provider Metadaten“ klicken. Diese Datei benötigen Sie bei der Konfiguration der SAML-Authentifizierung in ADSelfService Plus. Speichern Sie diese Datei daher und bewahren Sie sie sicher auf. Benennen Sie die heruntergeladene Metadatendatei in ‚ metadata_okta.xml‘ um.'.



10. Klicken Sie auf den Zuordnungen Tab und navigieren Sie zu Zuordnen. Wählen Sie „Zu Personen zuordnen“ oder oder „Zu Gruppen zuordnen“ entsprechend Ihrem Bedarf aus. Nach Auswahl klicken Sie auf Speichern und zurück Wählen Sie im sich öffnenden Dialogfeld die
11. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Fertig.

B. Einrichtung einer SAML-Anwendung in OneLogin:

1. Melden Sie sich mit Administrator-Anmeldeinformationen bei der OneLogin ADSelfService Plus
2. Klicken Sie auf das Dropdown-Menü Administration Wählen Sie im sich öffnenden Dialogfeld die
3. Webkonsole an. Apps Tab > Apps hinzufügen.
4. Finden Sie SAML im Abschnitt „Anwendungen suchen“. Wählen Sie SAML Test Connector (IdP) aus den Suchergebnissen aus.



5. Aktualisieren Sie den Anzeigenamen und das Anwendungslogo. Klicken Sie auf SPEICHERN.
6. Geben Sie unter dem Konfigurations Tab die ACS-URL/Empfänger-URL Single Sign-On URL ACS (Consumer) URL Validator, ACS (Consumer) URL, Empfängerund Audience ACS URL/Empfänger-URL:
   Hinweis:

   • ACS-URL/Empfänger-URLein: Melden Sie sich mit Administrator-Anmeldeinformationen bei der ADSelfService Plus Web-Konsole an. Navigieren Sie zu Konfiguration Tab > Multi-Faktor-Authentifizierung > SAML Authentifizierung > ACS URL/Empfänger URL.
   • Wenn Ihr Identity Provider Metadaten des Service Providers benötigt, klicken Sie auf Kopieren Sie die ACS URL/Empfänger URL. und laden Sie eine XML-Datei Ihrer SAML-Konfigurationen herunter.
7. Klicken Sie auf den SP-Metadaten herunterladen Benutzer
8. In der Tab und ordnen Sie die Anwendung Benutzern oder Gruppen je nach Bedarf zu. MEHR AKTIONEN Schaltfläche im oberen Bereich, wählen Sie SAML-Metadaten



9. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren SPEICHERN.

zum Herunterladen der Metadatendatei. Diese Datei benötigen Sie bei der Konfiguration der SAML-Authentifizierung in ADSelfService Plus. Speichern Sie diese Datei daher und bewahren Sie sie sicher auf.

C. Einrichtung einer SAML-Anwendung in AD FS:

Voraussetzungen:

1. Zur Konfiguration von AD FS für die Identitätsprüfung in ADSelfService Plus benötigen Sie folgende Komponenten:  Der AD FS-Server. Die detaillierten Schritte zur Installation und Konfiguration von AD FS finden Sie in diesem
2. Microsoft-Artikel.

Ein SSL-Zertifikat zur Signierung Ihrer AD FS-Anmeldeseite und den Fingerabdruck dieses Zertifikats.

Authentifizierungsrichtlinien > Primäre

Authentifizierung > Globale Einstellungen.

Claim-Regeln und Relying Party Trust Während der Konfiguration müssen Sie einen Relying Party Trust hinzufügen und Claim-Regeln erstellen. Ein Relying Party Trust wird erstellt, um die Verbindung zwischen zwei Anwendungen für Authentifizierungszwecke durch Verifizierung von Claims herzustellen. In diesem Fall vertraut AD FS der

vertrauenden Partei (ADSelfService Plus) und authentifiziert Benutzer basierend auf den generierten Claims.

Claims werden durch Claim-Regeln generiert, wobei bestimmte Bedingungen auf sie angewendet werden. Ein Claim ist ein Attribut, das zur Identifizierung einer Entität verwendet wird, um den Zugriff zu ermöglichen. Zum Beispiel das Active Directory

• sAMAccountName. Schritt 1: Hinzufügen eines Relying Party Trust Die Verbindung zwischen AD FS und ADSelfService Plus wird mittels eines Relying Party Trusts
• (RPT) erstellt. Wählen Sie den Ordner „Relying Party Trusts“ aus AD FS aus. Seitenleiste, auswählen Relying Party Trust hinzufügen. Der Assistent zum Hinzufügen eines Relying Party Trust öffnet sich.

  

• Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Start.
• In der Datenquelle auswählen Seite, klicken Sie auf die Daten zur Partei manuell eingeben Option und klicken Sie Weiter.

  

• Auf der Anzeigename angeben Seite geben Sie einen Anzeigennamen Ihrer Wahl ein und gegebenenfalls zusätzliche Notizen. Klicken Sie  Weiter.



• Auf der Profil wählen Seite, klicken Sie auf die ADFS FS-Profil Schaltfläche. Klicken Sie Weiter.



• Auf der Zertifikat konfigurieren Seite sind die Standardeinstellungen bereits angewendet. Klicken Sie Weiter.



• Auf der URL konfigurieren Seite, aktivieren Sie das Kästchen mit der Bezeichnung Unterstützung für das. Der Relying Party SAML 2.0 SSO-Dienst-URL wird die ACS-URL Ihres ADSSP-Servers sein. Beachten Sie, dass am Ende der URL kein abschließender Schrägstrich steht. Zum Beispiel:

https://selfservice.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f 

• Auf der nächsten Seite, im Relying Party Trust-Bezeichner Option, fügen Sie SP (z.B.: https://selfservice.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f) hinzu.



• Auf der nächsten Seite können Sie die Einstellungen zur Multifaktor-Authentifizierung für den Relying Party Trust konfigurieren. Klicken Sie Weiter.
• Auf der Ausgabe-Autorisierungsregeln wählen Seite, können Sie wählen, ob Sie allen Benutzern den Zugriff auf diesen Relying Party erlauben oder allen Benutzern den Zugriff. Klicken Sie  Weiter.
• Die nächsten beiden Seiten zeigen eine Übersicht der von Ihnen konfigurierten Einstellungen. Auf der Fertigstellen Seite klicken Sie Schließen um den Assistenten zu beenden. Wenn Sie die Dialog zum Bearbeiten von Anspruchsregeln für diesen Relying Party Trust öffnen, wenn Option ausgewählt haben, öffnet sich der Anspruchsregeln-Editor automatisch.

Schritt 2: Erstellen von Anspruchsregeln

Sobald Sie den Relying Party Trust konfiguriert haben, können Sie die Anspruchsregeln mit dem Anspruchs- erstellen, der standardmäßig geöffnet wird, wenn Sie den Trust erstellt haben.

• Um eine neue Regel zu erstellen, klicken Sie auf Regel hinzufügen.

• Wählen Sie aus der Liste der verfügbaren Anspruchsregelvorlagen LDAP-Attribute als Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Weiter.



• Auf der nächsten Seite geben Sie einen Namen der Anspruchsregel an und wählen Active als Attributspeicher.
• (RPT) erstellt. Wählen Sie den Ordner „Relying Party Trusts“ aus LDAP-Attribut Spalte, wählen Sie SAMAccountName.
• (RPT) erstellt. Wählen Sie den Ordner „Relying Party Trusts“ ausAusgehender Anspruchstyp Spalte, wählen Sie Name ID.
• Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Fertigstellen um die Regel zu speichern.

• Klicken Sie Fertigstellen, um die erstellte Regel anzuzeigen.

  

Nach Abschluss der AD FS-Konfiguration laden Sie die Metadatendatei herunter, indem Sie auf den Identityklicken. Zum Beispiel:
 https://server_name/FederationMetadata/2007-06/FederationMetadata.xml. 

Sie benötigen diese Datei für die Konfiguration der SAML-Authentifizierung in ADSelfService Plus. Speichern Sie diese Datei also und bewahren Sie sie sicher auf.

Schritt 3: Aktivieren der SAML-Abmeldeoption

• Navigieren Sie zum Relying Party Trusts und suchen Sie die Regel die Sie erstellt haben.
• Klicken Sie mit der rechten Maustaste auf die ausgewählte Regel und klicken Sie Eigenschaften.
• Im sich öffnenden Fenster suchen Sie den Endpunkte Reiter und klicken Sie SAML hinzufügen Wählen Sie im sich öffnenden Dialogfeld die



• In der Vertrauenswürdige URL, fügen Sie die SP Logout-URL ein, die Sie aus Schritt 1 der Voraussetzungen kopiert haben.
• In der Signatur Reiter, laden Sie das X.509-Zertifikat im PEM-Format aus der Schritt 4 der Voraussetzungen kopiert haben.
• Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren OK.

IdP-initiiertes SSO für ADSelfService Plus

Befolgen Sie diese Schritte, um Ihr ADSelfService Plus-Konto über AD FS zu authentifizieren.

Voraussetzung

Aktivieren Sie RelayState in AD FS.

• Für Windows Server 2012:
  • Navigieren Sie zum
    %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config Datei auf Ihrem AD FS-Server.
  • Im Abschnitt <microsoft.identityServer.web> fügen Sie den folgenden Code ein: <useRelayStateForIdpInitiatedSignOn enabled="true" />

    Beispielcode:

    <microsoft.identityServer.web>
    …..
    <useRelayStateForIdpInitiatedSignOn enabled="true" />
    </microsoft.identityServer.web>

  • Starten Sie den AD FS-Server neu.
• Für Windows Server 2016:
  • Öffnen Sie Powershell mit administrativen Rechten auf Ihrem AD FS-Server.
  • Führen Sie den folgenden Befehl aus, um IdP-initiiertes SSO zu aktivieren:
    Set-ADFSProperties
  • Führen Sie den folgenden Befehl aus, um RelayState zu aktivieren:
    Set-ADFSProperties
  • Starten Sie den ADFS-Server neu.

Schritte zur Erstellung einer IdP-URL:

• Melden Sie sich mit Administratoranmeldedaten bei der ADSelfService Plus-Webkonsole an.
• Webkonsole an. Admin-Tab > SSO-Einstellungen.
• In der Abschnitt Service-Provider-Details von SAML-Authentifizierung, kopieren Sie die Relay State und der SP Issuer-URL.
• Öffnen Sie einen Textverarbeitungsprogramm und geben Sie folgenden Befehl ein:
  <IdP_URL_String>RelayState=RPID=<SP_Issuer_URL>&RelayState=<Relay
  Hinweis: Ersetzen Sie den IdP URL-String durch https://<ADFSserver>/adfs/ls/idpinitiatedsignon.aspx, wobei ADFSserver der Server ist, auf dem der ADFS bereitgestellt wird.
• Vergeben Sie einen Namen für die Word-Datei und speichern Sie sie. Kodieren Sie die gespeicherte URL.

  Beispielcode:

  Nach der Kodierung sieht die URL wie folgt aus:

  https://example.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fselfservice-0001%253A9267%252FsamlLogin%252F88d9537b8c5f7376fc78fdfb7591601e85aa8ebb%26RelayState%3DaHR0cHM6Ly9raXJ1YmhhLTUyNTg6OTI2Ny9zYW1sTG9naW4vTG9naW5BdXRo

D. Schritte zur Einrichtung einer SAML-Anwendung in Line Works

1. Melden Sie sich bei der Line Works Developer-Konsole an. Gehen Sie zum Apps Abschnitt > SAML klicken Sie hinzufügen zu Wählen Sie im sich öffnenden Dialogfeld die



2. Im sich öffnenden Fenster geben Sie einen passenden Anwendungsnamen, Beschreibungund Logo in die jeweiligen Felder ein.
3. Geben Sie im Feld ACS URL und im Feld Issuer URL/Entity ID die ACS-URL/Empfänger-URL von ADSelfService Plus ein.
   Hinweis: ACS-URL/Empfänger-URL: Melden Sie sich mit Administratoranmeldedaten bei der ADSelfService Plus-Webkonsole an. Navigieren Sie zu Konfiguration-Tab > Multifaktor- SAML Authentifizierung > ACS URL/Empfänger URL.

   

4. Im sich öffnenden Popup-Fenster klicken Sie OK.
5. Gehen Sie zu SAML Apps Abschnitt und suchen Sie die soeben erstellte Anwendung. Klicken Sie auf Ändern und ändern Sie den Status zu 'Wirksamkeit'. Klicken Sie Speichern.

E. Schritte zur Einrichtung einer SAML-Anwendung in Microsoft Entra ID

1. Melden Sie sich mit den Global Admin-Anmeldedaten bei Microsoft Entra ID an.
2. Gehen Sie zu Azure Azure Active Directory > Enterprise applications > All applications.
3. Wählen Sie Neue Anwendung.

   

4. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Erstellen Sie Ihre eigene Anwendung.

   

5. Geben Sie im erscheinenden Popup einen Namen für ADSelfService Plus ein. Wählen Sie die Integrieren Sie eine andere Anwendung, die Sie nicht in der Galerie finden Optionsschaltfläche aus und klicken Sie auf Erstellen.

   

6. Wählen Sie auf der nächsten Seite Single Sign-On einrichten.

   

7. Wählen Sie SAMLund klicken Sie auf Bearbeiten unter Grundlegende SAML. Füllen Sie die folgenden Details aus, die Sie in Schritt 4 der Voraussetzungen:
   • Identifier: SP-Issuer-URL
   • Reply URL: ACS-URL/Empfänger-URL
   • Relay State: Relay State
   • Anmelde-URL: Zugriffs-URL von ADSelfService Plus

   

8. Webkonsole an. SAML Signing Certificateund klicken Sie auf Fügen Sie ein Zertifikat hinzu. Hier können Sie ein neues SAML-Signaturzertifikat erstellen, ein selbstsigniertes Zertifikat hochladen, das Sie erstellt haben, oder ein von einer CA erhaltenes Zertifikat hochladen.
• Um ein Zertifikat zu importieren: Klicken Sie Zertifikat importieren.
• Laden Sie das Zertifikat hoch und geben Sie das PFX-Passwort.








• Zum Hinzufügen eines neuen Zertifikats: Klicken Sie Neues Zertifikat und dann Speichern.








• Klicken Sie auf das Dropdown-Menü das Symbol im Eintrag des Zertifikats und wählen Sie Zertifikat aktivieren.



9. Nach dem Schließen des Bildschirms laden Sie die Metadatendatei herunter, indem Sie auf die Download Schaltfläche neben Federation Metadata XML klicken.



10. Nach Abschluss der ADSelfService Plus (SP)-Konfigurationsschritte testen Sie die Single-Sign-On-Funktionalität durch Klicken auf Test.

F. Schritte zur Einrichtung einer SAML-Anwendung in 1Kosmos

Voraussetzung

Zuerst müssen Sie 1Kosmos als IdP mit den folgenden Schritten konfigurieren:

1. Schritt 1: Konfiguration des Service Providers (ADSelfService Plus) 1Kosmos AdminX Portal mit Administratoranmeldedaten.
2. Webkonsole an. Einstellungen > IdP-Konfiguration.
3. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Identity Provider erstellen zum Hinzufügen eines neuen IdP.
4. Geben Sie unter dem Abschnitt Core Configuration geben Sie die folgenden Details ein:
   1. Name: Geben Sie einen eindeutigen Namen an (z.B. 1Kosmos).
   2. Authentication Request: Wählen Sie Signed um sichere SAML-Authentifizierungsanforderungen zu gewährleisten.
5. (RPT) erstellt. Wählen Sie den Ordner „Relying Party Trusts“ aus Schaltfläche im oberen Bereich, wählen Sie Abschnitt, laden Sie die SAML-Metadatendatei herunter, die später in ADSelfService Plus verwendet wird.
6. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Speichern.

IdP-Konfigurationsschritte

1. Schritt 1: Konfiguration des Service Providers (ADSelfService Plus) 1Kosmos AdminX Portal mit Administratoranmeldedaten.
2. Webkonsole an. Anwendungen > Anwendungen verwaltenund klicken Sie auf Anwendung hinzufügen.
3. Suchen Sie SAML 2.0 Generic unter Custom Appund klicken Sie auf Integration hinzufügen um mit der Konfiguration der SAML-Anwendung zu beginnen.
4. Überprüfen Sie die angezeigten Informationen, die den Zugriff und die erforderlichen Berechtigungen zum Fortfahren beschreiben, und klicken Sie dann auf Anwendung hinzufügen.
5. Unter den Grundlegenden Einstellungen Abschnitt:
1. Geben Sie einen passenden Anwendungsnamen ein (z.B. ADSelfService Plus).
2. Wählen Sie den gewünschten Instanztyp (Produktiv oder Sandbox).
3. Geben Sie die Zugriffs-URL für ADSelfService Plus im folgenden Format: https://<FQDN_FOR_ADSSP>/

   Zum Beispiel: https://adselfservice.com/

6. Die SAML-Konfiguration kann entweder durch Hochladen der Metadatendatei oder durch manuelles Eingeben der erforderlichen Werte erfolgen.

   (a) Im SAML-Einstellungen Abschnitt können Sie die von ADSelfService Plus heruntergeladene Metadatendatei hochladen. Dadurch werden automatisch die Assertion unter den SAML-Einstellungen sowie die Entity ID und ACS-URL unter Erweiterten Optionen ausgefüllt.

   (b) Alternativ können Sie manuell Folgendes konfigurieren:

   • Assertion Statement unter SAML-Einstellungen
   • Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
   • Wert: email (befindet sich unter BlockID-Sitzungsattribute)
   • Erweiterte Optionen
   • Entity ID: Geben Sie den SP Issuer URL aus ADSelfService Plus erhaltenen Wert ein.
   • Assertion Consumer Service (ACS)-URL: Geben Sie den ACS-URL aus ADSelfService Plus erhalten und setzen Sie die Methode auf POST.
7. Geben Sie unter dem Erweiterte Optionen Abschnitt, gehen Sie zum Zertifikate Abschnitt, um das von ADSelfService Plus heruntergeladene PEM-kodierte X.509-Zertifikat hochzuladen und aktivieren Sie das Assertion Kontrollkästchen, um sicherzustellen, dass die SAML Assertion signiert wird.
8. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Speichern.

G. Schritte zur Einrichtung einer SAML-Anwendung in RSA Cloud

Konfigurieren Sie RSA Cloud als SAML IdP für ADSelfService Plus mit den folgenden Schritten:

1. Schritt 1: Konfiguration des Service Providers (ADSelfService Plus) RSA Cloud Portal mit Administratoranmeldedaten.
2. Webkonsole an. Authentication Clients > My Relying Parties. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Relying Party hinzufügen.

   

3. Unter Relying Party Catalogklicken Sie auf Hinzufügen neben Service Provider SAML.

   

4. Unter Service Provider hinzufügengeben Sie die folgenden Details ein:
   • Grundlegende Informationen:
     • Name: Geben Sie einen leicht erkennbaren Namen an (z.B. ADSSP).
     • Beschreibung: Optional fügen Sie einige Details zur Verbindung hinzu und klicken Sie auf Nächster Schritt.

     

   • Authentifizierung:
     • Unter Authentifizierungsdetails, wählen Sie Service Provider verwaltet die primäre Authentifizierung und RSA verwaltet die zusätzliche Authentifizierung wenn Sie sich entschieden haben, das SAML Subject einzubeziehen in Schritt 9 der SP-Konfiguration.

       Hinweis: Das Einbeziehen des SAML Subject in die SAML-Anforderung ermöglicht RSA Cloud, die Erstfaktorauthentifizierung zu umgehen. Dadurch können Benutzer die primäre Authentifizierung während der MFA überspringen.

       • Klicken Sie auf das Dropdown-Menü 1.0 Zugriffspolitik für zusätzliche Authentifizierung Dropdown-Menü, und wählen Sie die Richtlinie aus, die definiert, wie RSA die sekundäre Authentifizierung für Benutzer handhaben soll, deren primäre Authentifizierung von ADSelfService Plus verwaltet wird.

       

     • Wenn Sie sich entschieden haben, das SAML Subject auszuschließen in Schritt 9 der SP-Konfiguration, wählen Sie verwaltet RSA alle Authentifizierungen.
       • Klicken Sie auf das Dropdown-Menü 2.0 Zugriffspolitik für Authentifizierung Dropdown-Menü, und wählen Sie die Richtlinie die definiert, wie RSA sowohl die primäre als auch die sekundäre Authentifizierung für Benutzer handhaben soll.
     • Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Nächster Schritt.

       

   • Verbindungsprofil:

     Unter Methode zur Dateneingabeklicken Sie auf Metadaten importieren wenn Sie die Metadatendatei von ADSelfService Plus heruntergeladen haben, oder klicken Sie Manuell eingeben um die Details manuell einzugeben.

     • Metadaten importieren:
       • Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Datei auswählen und importieren Sie die SP-Metadatendatei die in ADSelfService Plus Schritt 7 der SP-Konfiguration gespeichert wurde.

       

       • Service Provider Entity ID: Geben Sie die ACS-URL/Empfänger-URL Wert kopiert während der SP-Konfiguration.
       • Zielpublikum für SAML-Antwort: Wählen Standard: Service Provider Entity ID.
       • Nachrichtenschutz: Unter Schutz der SAML-Antwort, wählen Sie IdP signiert Assertion innerhalb der Antwort.
     • Manuell eingeben:
       • Assertion Consumer Service (ACS)-URL: Fügen Sie die ACS-URL/Empfänger-URL Wert kopiert während der SP-Konfiguration ein und klicken Sie auf das + Symbol.
       • Service Provider Entity ID: Fügen Sie die SP Issuer URL aus ADSelfService Plus kopierte Service Provider (SP) Details.
       • Zielpublikum für SAML-Antwort: Wählen Sie Standard: Service Provider Entity ID.
       • Nachrichtenschutz: Unter Schutz der SAML-Antwort, wählen Sie IdP signiert Assertion innerhalb der Antwort.

       

5. Konfiguration > Selbstbedienung > Multi-Faktor-Authentifizierung > Authentifikatoren Speichern und abschließen. Sobald fertig, klicken Sie auf Änderungen veröffentlichen.

Nach dem Speichern können Sie die Konfiguration unter Meine Relying Partiesanzeigen. Klicken Sie auf die Dropdown-Schaltfläche neben Bearbeiten an und wählen Metadaten.

Die Metadaten werden als Pop-up angezeigt. Klicken Sie auf Metadatendatei herunterladen um sie herunterzuladen. Diese wird verwendet beim Konfigurieren von ADSelfService Plus.