You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Systemanforderungen

  • Ein Server mit Microsoft Server 2019/ 2016/ 2012 R2
  • AD FS 5.0/4.0/3.0 auf Ihrem Server installiert
  • Ein SSL-Zertifikat zum Signieren Ihrer ADFS-Anmeldeseite und der Fingerabdruck für dieses Zertifikat
  • Ein iSpring Learn-Konto
  • Ein LMS-Benutzer mit der Rolle Kontoinhaber oder Kontoadministrator

Dieses Handbuch behandelt die SAML-SSO-Einrichtung mit AD FS 4.0 auf Windows Server.

Schritt 1. AD FS-Einstellungen überprüfen

  1. Melden Sie sich bei Ihrem AD FS-Server an und starten Sie die ADFS-Managementkonsole über die Verknüpfung in Systemsteuerung (Control Panel) → System und Sicherheit (System and Security) → Verwaltungstools (Administrative Tools).



  2. Klicken Sie mit der rechten Maustaste auf Dienst (Service) und wählen Sie Föderationsdiensteigenschaften bearbeiten (Edit Federation Service Properties).



  3. Stellen Sie sicher, dass die Allgemeinen Einstellungen (General Settings) mit Ihren DNS-Einträgen und Zertifikatsnamen übereinstimmen. Notieren Sie sich den Föderationsdienst- (Federation Service) Identifier, da dieser in den iSpring Learn SAML 2.0-Konfigurationseinstellungen verwendet wird.

  4. Verwenden Sie im Feld Name des Föderationsdienstes (Federation Service) eine Domäne der dritten Ebene, z. B. adfs.ispring.com.


Schritt 2. iSpring Learn-Einstellungen

  1. Navigieren Sie zu den Zertifikaten.

  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat ansehen (View Certificate).

  3. Gehen Sie zur Registerkarte Details.

  4. Suchen Sie das Feld Daumenabdruck (Thumbprint) und kopieren Sie den Inhalt.



  5. Melden Sie sich bei Ihrem iSpring Learn-Konto an. Gehen Sie dann zu Dienste SSO-Einstellungen und klicken Sie auf SAML.

  6. Fügen Sie Ihren Daumenabdruck in das Feld Certificate Fingerprint ein und entfernen Sie alle Leerzeichen zwischen den Zeichen.

  7. Füllen Sie in iSpring Learn auf der Seite SSO-Integrationseinstellungen diese Felder aus: 

    Feldname

    Beispiel

    Issuer URL (idP Entity ID)

    http://YOUR_ADFS_SERVERNAME/adfs/services/trust

    Sign On URL

    https://YOUR_ADFS_SERVERNAME/adfs/ls/idpinitiatedsignon.aspx

    Logout URL

    https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0

    Die Parameter für die Sign On URL und die Logout URL können je nach AD FS unterschiedlich sein.


    Issuer URL (IdP Entity ID)

    Die URL, die den Dienst des Identitätsanbieters eindeutig identifiziert. Dieser Wert ist gleich dem Issuer-Element in der SAML-Anforderung, die vom Identitätsanbieter gesendet wird.

    Sign On URL

    Pfad zum Serverskript, das SAML-Identifikator-Bestätigungsanfragen zur Autorisierung generiert.

    Logout URL

    Pfad zum Serverskript, das SAML-Identifikator-Bestätigungsanforderungen zur Verarbeitung der Abmeldung generiert.

    Certificate Fingerprint

    Eine Kurzversion des Public-Key-Zertifikats zur Überprüfung einer digitalen Signatur. Es wird verwendet, um Signierungsanfragen eines Identitätsanbieters zu bestätigen. Erfahren Sie hier mehr über Zertifikatsfingerabdrücke.

    Redirect users to the SSO login page

    Wenn diese Option aktiviert ist, hat die iSpring-Anmeldeseite die folgende URL: https://yourcompany.ispringlearn.com/sso/login.

  8. Klicken Sie auf Aktivieren.

  9. Dann Link hinzufügen zur Unternehmenswebseite im Abschnitt Quick-Links.


Schritt 3. AD FS-Konfiguration der vertrauenden Partei

  1. Gehen Sie zur AD FS-Verwaltungskonsole und wählen Sie Trusts der vertrauenden Partei (Relying Party Trusts), klicken Sie mit der rechten Maustaste darauf und wählen Sie Trust der vertrauenden Partei hinzufügen (Add Relying Party Trust).



  2. Wählen Sie Claims Aware und klicken Sie auf Start.



  3. Wählen Sie im Schritt Datenquelle auswählen (Select Data Source) die letzte Option: Daten über die vertrauende Partei manuell eingeben (Enter data about the relying party manually).



  4. Geben Sie auf dem nächsten Bildschirm einen Anzeigenamen (Display name) ein, den Sie in Zukunft wiedererkennen werden. Klicken Sie auf Weiter (Next).



  5. Behalten Sie in der Phase Zertifikat konfigurieren (Configure Certificate) die Standardwerte bei. Klicken Sie auf Weiter (Next).



  6. Aktivieren Sie auf dem nächsten Bildschirm das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren (Enable support for the SAML 2.0 WebSSO protocol). Die Service-URL lautet: https://youraccount.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp.



  7. Fügen Sie im Schritt Identifikatoren konfigurieren (Configure Identifiers) die Vertrauenskennung der vertrauenden Partei (Relying party trust identifier) als https://youraccount.ispringlearn.com/module.php /saml/sp/metadata.php/default-sp hinzu. Klicken Sie auf Hinzufügen (Add).



  8. Klicken Sie dann auf Weiter (Next).



  9. Wählen Sie im nächsten Schritt Alle zulassen (Permit everyone) aus. Klicken Sie auf Weiter (Next).



  10. Behalten Sie in der Phase Bereit zum Hinzufügen von Trust (Ready to Add Trust) die Standardwerte bei. Klicken Sie auf Weiter (Next).



  11. Aktivieren Sie im letzten Schritt das Kontrollkästchen Claims-Ausgaberichtlinie für diese Anwendung konfigurieren (Configure claims issuance policy for this application). Klicken Sie dann auf Schließen (Close).


Schritt 4. Claims-Regeln erstellen

  1. Öffnen Sie die AD FS-Systemsteuerung. Klicken Sie im Abschnitt Trusts der vertrauenden Partei (Relying Party Trusts) mit der rechten Maustaste auf den Namen und klicken Sie auf Claims-Ausgaberichtlinie bearbeiten (Edit Claims Issuance Policy).



  2. Fügen Sie die erste Regel hinzu. Klicken Sie dazu auf Regel hinzufügen... (Add Rule...)



  3. Wählen Sie LDAP-Attribute als Claims senden (Send LDAP Attributes as Claims). Klicken Sie auf Weiter (Next).



  4. Geben Sie im Schritt Claim-Regel konfigurieren (Configure Claim Rule) im Feld Name der Claim-Regel einen Namen für den Claim ein, z. B. Attribute an iSpring Learn.



  5. Wählen Sie Active Directory als Attributspeicher.



  6. Wählen Sie als Nächstes diese Werte aus:

  7. Klicken Sie auf Fertig stellen (Finish), um die neue Regel zu speichern.



  8. Fügen Sie dann die zweite Regel hinzu und wählen Sie Eine eingehende Forderung transformieren (Transform an Incoming Claim) als Vorlage.



  9. Geben Sie den Namen des Transformationskontos (Transform Account Name) ein und klicken Sie auf OK.



  10. Klicken Sie auf Anwenden (Apply) und dann zur Bestätigung auf OK.


Schritt 5. Anpassen der Trust-Einstellungen

Stellen Sie sicher, dass der Sichere Hash-Algorithmus (Secure hash algorithm) in den Sicherheitseinstellungen auf SHA-256 eingestellt ist. Um dies zu tun:

  1. Öffnen Sie die AD FS-Systemsteuerung. Klicken Sie im Abschnitt Trusts der vertrauenden Partei (Relying Party Trusts) mit der rechten Maustaste auf den Namen und klicken Sie auf Eigenschaften (Properties).



  2. Gehen Sie auf die Registerkarte Erweitert (Advanced) und wählen Sie SHA-256 im Feld Sicherer Hash-Algorithmus (Secure hash algorithm).

  3. Klicken Sie auf ОК.


Schritt 6. Endpunkteinstellungen

  1. Öffnen Sie die AD FS-Systemsteuerung. Klicken Sie im Abschnitt Trusts der vertrauenden Partei (Relying Party Trusts) mit der rechten Maustaste auf den Namen und klicken Sie auf Eigenschaften (Properties).

  2. Überprüfen Sie auf der Registerkarte Endpunkte (Endpoints) den Standardpunkt:
    1. So fügen Sie einen Punkt hinzu:
      1. Klicken Sie auf SAML hinzufügen (Add SAML).
      2. Wählen Sie für den Endpunkttyp (Endpoint type) SAML Assertion Consumer aus.
      3. Wählen Sie zum Binden (Binding) Artefakt (Artifact) aus.
      4. Für Index wählen Sie 2.
      5. Geben Sie im Feld Vertraute URL (Trusted URL) eine Adresse wie https://youraccount.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp ein. Fügen Sie dann 2 Abmeldepunkte hinzu.
        Lassen Sie das Feld Antwort-URL (Response URL) leer und klicken Sie auf OK.

  • No labels