Bevor es losgeht

1. Müssen die "Active Directory Federation Services" installiert sein.

2. Der Status des "AD FS" unter Rollen und Servergruppen muss fehlerfrei sein.

Öffnen Sie die "AD FS-Verwaltung"

Diese Konfiguration muss sichergestellt werden:

1. Dienst -> Attributspeicher: Active Directory

2. Authentifizierungsmethoden: Keine Vorgabe, minimum ein vorhandener

3. Die regulären Endpunkte für OAuth und OIDC müssen verfügbar sein:

• OpenID Connect-Ermittlung

• OpenID Connect-JWKS

• OAuth

Konfiguration Windows Server (AD FS)

Registrierung einer neuen Client Konfiguration

1. In der "AD FS Verwaltung"

2. Klicken Sie auf den Bereich Anwendungsgruppen. Wählen Sie über das Menü Aktionen -> Anwendungsgruppe hinzufügen aus

3. Vergeben Sie einen Namen und optional eine Beschreibung

4. Wählen Sie als Vorlage Webbrowser mit Zugriff auf eine Webanwendung aus

5. Klicken Sie nun auf Weiter

6. Notieren Sie sich die Client-ID, die automatisch vom System generiert wurde

7. Tragen Sie die Umleitungs-URI Ihrer Qiata ein (https://QIATAFQDN/v2/login). Bei Bedarf sollten Sie hier ebenfalls die IP-Adresse konfigurieren (https://IP/v2/login)

8. Klicken Sie nun auf Hinzufügen

9. Klicken Sie nun auf Weiter

10. Wählen Sie nun die gewünschten Zugriffssteuerungsrichtlinien aus. In unserem Beispiel verwenden wir die Richtlinie Jedem Einzelnen Zugriff gewähren

11. Klicken Sie nun auf Weiter und schließen Sie die Erstellung ab

Webanwendung bearbeiten

1. Öffnen Sie erneut Ihre neu angelegte Anwendungsgruppe

2. Klicken Sie nun auf NAME - Webanwendung und wählen Sie Bearbeiten...

3. Wechseln Sie zum Tab Ausstellungstransformationsregeln und klicken Sie auf Regel hinzufügen

4. Wählen Sie als Anspruchsregelvorlage den Typ LDAP-Attribute als Ansprüche senden aus

5. Klicken Sie nun auf Weiter

6. Wählen Sie einen Namen für die Anspruchsregel

7. Wählen Sie als Attributsspeicher den Typ Active Directory aus

8. Fügen Sie ein LDAP-Attribut E-Mail-Adresses mit einem entsprechenden ausgehenden Anspruchstypen E-Mail-Adresse hinzu.

9. Fügen Sie ein LDAP-Attribut Is-Member-Of-DL mit einem entsprechenden ausgehenden Anspruchstypen ausgehende Anspruchstypen hinzu.

info

Falls Sie als Gruppen Claim einen anderen Anspruch nutzen möchten, müssen Sie diesen hier als Transportregel definieren. Werte wie physicalDeliveryOfficeName (Büro) wären z.B ebenfalls möglich.

12. Klicken Sie abschließend auf Fertig stellen und danach auf Anwenden

CORS Header hinzufügen

Die Sicherheit des Webbrowsers verhindert, dass eine Webseite aus Skripten heraus herkunftsübergreifende Anfragen stellt. Mit CORS kann ein Server ausdrücklich einige herkunftsübergreifende Anfragen zulassen, während er andere ablehnt.

Standardmäßig ist die CORS-Funktionalität nicht aktiviert. Administratoren können die Funktionalität über das Cmdlet Set-AdfsResponseHeaders aktivieren.

Öffnen Sie dazu die Powershell und geben Sie den folgenden Befehl ein

Set-AdfsResponseHeaders -EnableCORS $true

Ein Administrator kann mit dem gleichen Cmdlet eine Liste vertrauenswürdiger Ursprünge auflisten. Fügen Sie mit dem folgenden Befehl den FQDN und die IP Adresse Ihrer Qiata ein.

Set-AdfsResponseHeaders -CORSTrustedOrigins https://demo.secudos.com, https://192.168.2.1

Qiata Konfiguration

Melden Sie sich als Organisationsadministrator am System an und navigiere Sie zu dem Punkt Organisation -> OpenID Connect. Füllen Sie nun die Form aus.

1. Open ID Connect Provider

Wählen Sie zwischen den Providertypen AzureAD und AD FS. Wählen Sie für unser Beispiel den Typ AD FS aus.

2. Name der Login-Schaltfläche

Wählen Sie eine entsprechende Beschreibung für den Provider. Diese Beschreibung ist nur für den Administrator in der Konfigurationsmaske sichtbar.

3. Metadatendokument URI

Geben Sie hier die URI für das Metadata document an. In unserem Beispiel wäre das https://s1.secudos.com/adfs/.well-known/openid-configuration

4. ClientID

Geben Sie hier die ClientID an. Diese wurde während der Erstellung der Client-Konfiguration vom Server erzeugt.

5. Gruppen Claim

Das Feld Gruppen Claim kann den von Ihnen definierten Claim enthalten, über den Nutzer identifiziert werden sollen, sodass diese einer entsprechenden Gruppe zugewiesen werden können. Der Gruppen Claim verbindet den Provider mit den Gruppen. In unseren Beispiel haben wir den Claim group gewählt.

Tipp

Der Wert des Claims (also z.B die Gruppe: CN=Technik,CN=Users,DC=secudos,DC=com) wird zur Authentifizierung und Zuweisung in eine Gruppe benötigt. Der Wert des Claims wird in der jeweiligen Gruppe definiert, in die der Nutzer erstellt werden soll, bzw. unter dessen Richtlinien der User agieren soll. Beachten Sie bitte, dass dieser Claim nur verfügbar ist, wenn Sie auch die entsprechende Ausstellungstransformationsregel im Server definiert haben.

6. Scopes

Die Scopes für den jeweiligen Provider werden automatisch vom System erstellt. Hier ist keine Eingabe notwendig.

7. Vorhandene Benutzerkonten konvertieren

Sollte es bereits Nutzerkonten geben (LOCAL oder LDAP), können diese über die Funktion Vorhandene Benutzerkonten konvertieren in OIDC-Konten umgewandelt werden.

ACHTUNG

Das Konvertieren von Nutzern löst Sie von Ihren alten Anmeldeverfahren. Sollte ein Nutzer beispielsweise von LOCAL nach OIDC konvertiert werden, kann dieser sich nicht mehr über den lokalen Weg authentifizieren.

8. Login-Anbieter erzwingen

Wenn Sie eine bestimmte Anmeldeart erzwingen wollen, wählen Sie hier den gewünschten Wert. Wenn Nein ausgewählt ist, kann der Benutzer die Anmeldeart selbst wählen. Wenn eines der anderen Felder ausgewählt wird, wird die entsprechende Anmeldeart erzwungen.

WARNUNG

Diese Einstellung gilt nur für Benutzer, die den Secure Desktop Client (SDC) verwenden.

Zuweisen einer Gruppe

Nachdem der Provider registriert wurde, muss noch einer oder mehreren Gruppen der Gruppen Claim Wert hinzugefügt werden. Dieser ist für die Anmeldung mandatorisch.

Erstellen Sie dafür eine neue Gruppe über System -> Neue Gruppe. Wählen Sie einen Gruppen Name und aktivieren Sie die OIDC Authentication. Nach Aktivierung erscheint ein neues Feld für die Eingabe des Gruppen Claim. Fügen Sie hier nun bitte den Wert ein, der über den Provider mitgeteilt wurde. Unser Beispiel basiert auf dem Gruppennamen, in diesem Beispiel CN=Technik,CN=Users,DC=secudos,DC=com. Bei der Wahl des Gruppen Claims Gruppe, muss der Gruppen Claim immer als DN (Distinguished Name) angegeben werden.

info

Jeder Nutzer, der nun mit dem Gruppen Claim "CN=Technik,CN=Users,DC=secudos,DC=com" korrekt authentifiziert bei Qiata ankommt, wird automatisch in der neuen Gruppe eingerichtet und unterliegt damit den Richtlinien der Gruppe.

Klicken Sie abschließend auf Speichern um die Gruppe zu speichern.

ACHTUNG

Beachten Sie bitte, dass die Funktionen LDAP Authentifizierung und Automatisches Anmelden von Nutzern nicht mit der OIDC Authentication kompatibel sind.

So erhalten Sie den Distinguished Name (DN)

Aktivieren Sie zunächste die Erweiterten Features in den Active Directory-Benutzer und -Computer Einstellungen. Navigieren Sie dazu nach Ansicht und aktivieren Sie anschließend Erweiterte Features.

Wechseln Sie nun die die Eigenschaften der Gruppe (via Doppelklick) und wechseln Sie in den Reiter Attribut-Editor. Suchen Sie dort nach dem Attribut distinguishedName. Der Wert (hier im Beispiel CN=QiataGruppe,DC=secudos,DC=com) ist das Objekt, welches Sie als Gruppen Claim nutzen können.