Systemanforderungen

  • Ein Server mit Microsoft Server 2019/ 2016/ 2012 R2
  • AD FS 5.0/4.0/3.0 auf Ihrem Server installiert
  • Ein SSL-Zertifikat zum Signieren Ihrer ADFS-Anmeldeseite und der Fingerabdruck für dieses Zertifikat
  • Ein iSpring Learn-Konto
  • Ein LMS-Benutzer mit der Rolle Kontoinhaber oder Kontoadministrator

Dieses Handbuch behandelt die SAML-SSO-Einrichtung mit AD FS 4.0 auf Windows Server.

Schritt 1. AD FS-Einstellungen überprüfen

  1. Melden Sie sich bei Ihrem AD FS-Server an und starten Sie die ADFS-Managementkonsole über die Verknüpfung in Systemsteuerung (Control Panel) → System und Sicherheit (System and Security) → Verwaltungstools (Administrative Tools).



  2. Klicken Sie mit der rechten Maustaste auf Dienst (Service) und wählen Sie Föderationsdiensteigenschaften bearbeiten (Edit Federation Service Properties).



  3. Stellen Sie sicher, dass die Allgemeinen Einstellungen (General Settings) mit Ihren DNS-Einträgen und Zertifikatsnamen übereinstimmen. Notieren Sie sich den Föderationsdienst- (Federation Service) Identifier, da dieser in den iSpring Learn SAML 2.0-Konfigurationseinstellungen verwendet wird.

  4. Verwenden Sie im Feld Name des Föderationsdienstes (Federation Service) eine Domäne der dritten Ebene, z. B. adfs.ispring.com.


Schritt 2. iSpring Learn-Einstellungen

  1. Navigieren Sie zu den Zertifikaten.

  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat ansehen (View Certificate).

  3. Gehen Sie zur Registerkarte Details.

  4. Suchen Sie das Feld Daumenabdruck (Thumbprint) und kopieren Sie den Inhalt.



  5. Melden Sie sich bei Ihrem iSpring Learn-Konto an. Gehen Sie dann zu Dienste SSO-Einstellungen und klicken Sie auf SAML.

  6. Fügen Sie Ihren Daumenabdruck in das Feld Certificate Fingerprint ein und entfernen Sie alle Leerzeichen zwischen den Zeichen.

  7. Füllen Sie in iSpring Learn auf der Seite SSO-Integrationseinstellungen diese Felder aus: 

    Die Parameter für die Sign On URL und die Logout URL können je nach AD FS unterschiedlich sein.


    Issuer URL (IdP Entity ID)

    Die URL, die den Dienst des Identitätsanbieters eindeutig identifiziert. Dieser Wert ist gleich dem Issuer-Element in der SAML-Anforderung, die vom Identitätsanbieter gesendet wird.

    Sign On URL

    Pfad zum Serverskript, das SAML-Identifikator-Bestätigungsanfragen zur Autorisierung generiert.

    Logout URL

    Pfad zum Serverskript, das SAML-Identifikator-Bestätigungsanforderungen zur Verarbeitung der Abmeldung generiert.

    Certificate Fingerprint

    Eine Kurzversion des Public-Key-Zertifikats zur Überprüfung einer digitalen Signatur. Es wird verwendet, um Signierungsanfragen eines Identitätsanbieters zu bestätigen. Erfahren Sie hier mehr über Zertifikatsfingerabdrücke.

    Redirect users to the SSO login page

    Wenn diese Option aktiviert ist, hat die iSpring-Anmeldeseite die folgende URL: https://yourcompany.ispringlearn.com/sso/login.

    +

  8. Klicken Sie auf Aktivieren.

  9. Dann Link hinzufügen zur Unternehmenswebseite im Abschnitt Quick-Links.


Schritt 3. AD FS-Konfiguration der vertrauenden Partei

  1. Gehen Sie zur AD FS-Verwaltungskonsole und wählen Sie Trusts der vertrauenden Partei (Relying Party Trusts), klicken Sie mit der rechten Maustaste darauf und wählen Sie Trust der vertrauenden Partei hinzufügen (Add Relying Party Trust).



  2. Wählen Sie Claims Aware und klicken Sie auf Start.



  3. Wählen Sie im Schritt Datenquelle auswählen (Select Data Source) die letzte Option: Daten über die vertrauende Partei manuell eingeben (Enter data about the relying party manually).



  4. Geben Sie auf dem nächsten Bildschirm einen Anzeigenamen (Display name) ein, den Sie in Zukunft wiedererkennen werden. Klicken Sie auf Weiter (Next).



  5. Behalten Sie in der Phase Zertifikat konfigurieren (Configure Certificate) die Standardwerte bei. Klicken Sie auf Weiter (Next).



  6. Aktivieren Sie auf dem nächsten Bildschirm das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren (Enable support for the SAML 2.0 WebSSO protocol). Die Service-URL lautet: https://youraccount.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp



  7. Fügen Sie im Schritt Identifikatoren konfigurieren (Configure Identifiers) die Vertrauenskennung der vertrauenden Partei (Relying party trust identifier) als https://youraccount.ispringlearn.com/module.php /saml/sp/metadata.php/default-sp hinzu. Klicken Sie auf Hinzufügen (Add).



  8. Klicken Sie dann auf Weiter (Next).



  9. Wählen Sie im nächsten Schritt Alle zulassen (Permit everyone) aus. Klicken Sie auf Weiter (Next).



  10. Behalten Sie in der Phase Bereit zum Hinzufügen von Trust (Ready to Add Trust) die Standardwerte bei. Klicken Sie auf Weiter (Next).



  11. Aktivieren Sie im letzten Schritt das Kontrollkästchen Claims-Ausgaberichtlinie für diese Anwendung konfigurieren (Configure claims issuance policy for this application). Klicken Sie dann auf Schließen (Close).


Schritt 4. Claims-Regeln erstellen

  1. Öffnen Sie die AD FS-Systemsteuerung. Klicken Sie im Abschnitt Trusts der vertrauenden Partei (Relying Party Trusts) mit der rechten Maustaste auf den Namen und klicken Sie auf Claims-Ausgaberichtlinie bearbeiten (Edit Claims Issuance Policy).



  2. Fügen Sie die erste Regel hinzu. Klicken Sie dazu auf Regel hinzufügen... (Add Rule...)



  3. Wählen Sie LDAP-Attribute als Claims senden (Send LDAP Attributes as Claims). Klicken Sie auf Weiter (Next).



  4. Geben Sie im Schritt Claim-Regel konfigurieren (Configure Claim Rule) im Feld Name der Claim-Regel einen Namen für den Claim ein, z. B. Attribute an iSpring Learn.



  5. Wählen Sie Active Directory als Attributspeicher.



  6. Wählen Sie als Nächstes diese Werte aus:

  7. Klicken Sie auf Fertig stellen (Finish), um die neue Regel zu speichern.



  8. Fügen Sie dann die zweite Regel hinzu und wählen Sie Eine eingehende Forderung transformieren (Transform an Incoming Claim) als Vorlage.



  9. Geben Sie den Namen des Transformationskontos (Transform Account Name) ein und klicken Sie auf OK.



  10. Klicken Sie auf Anwenden (Apply) und dann zur Bestätigung auf OK.


Schritt 5. Anpassen der Trust-Einstellungen

Stellen Sie sicher, dass der Sichere Hash-Algorithmus (Secure hash algorithm) in den Sicherheitseinstellungen auf SHA-256 eingestellt ist. Um dies zu tun:

  1. Öffnen Sie die AD FS-Systemsteuerung. Klicken Sie im Abschnitt Trusts der vertrauenden Partei (Relying Party Trusts) mit der rechten Maustaste auf den Namen und klicken Sie auf Eigenschaften (Properties).



  2. Gehen Sie auf die Registerkarte Erweitert (Advanced) und wählen Sie SHA-256 im Feld Sicherer Hash-Algorithmus (Secure hash algorithm).

  3. Klicken Sie auf ОК.


Schritt 6. Endpunkteinstellungen

  1. Öffnen Sie die AD FS-Systemsteuerung. Klicken Sie im Abschnitt Trusts der vertrauenden Partei (Relying Party Trusts) mit der rechten Maustaste auf den Namen und klicken Sie auf Eigenschaften (Properties).



  2. Überprüfen Sie auf der Registerkarte Endpunkte (Endpoints) den Standardpunkt:

  3. Fügen Sie dann 2 Abmeldepunkte hinzu.

    1. So fügen Sie einen Punkt hinzu:
      1. Klicken Sie auf SAML hinzufügen (Add SAML).
      2. Wählen Sie für den Endpunkttyp (Endpoint type) SAML Assertion Consumer aus.
      3. Wählen Sie zum Binden (Binding) Artefakt (Artifact) aus.
      4. Für Index wählen Sie 2.
      5. Geben Sie im Feld Vertraute URL (Trusted URL) eine Adresse wie https://youraccount.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp ein. Fügen Sie dann 2 Abmeldepunkte hinzu.
      6. Lassen Sie das Feld Antwort-URL (Response URL) leer und klicken Sie auf OK.



    2. So fügen Sie einen Punkt hinzu:
      1. Klicken Sie auf SAML hinzufügen (Add SAML).
      2. Wählen Sie für den Endpunkttyp (Endpoint type) SAML Logoutaus.
      3. Wählen Sie für Binden (Binding) POST aus.
      4. Geben Sie im Feld Vertrauenswürdige URL (Trusted URL) eine Adresse wie https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0.
      5. Lassen Sie das Feld Antwort-URL (Response URL) leer und klicken Sie auf OK.



  4. Stellen Sie sicher, dass die drei Endpunkte hinzugefügt wurden. Klicken Sie auf Anwenden (Apply) und dann zur Bestätigung auf OK.

Schritt 7. Single Sign-on überprüfen

  1. Gehen Sie zu Ihrem iSpring Learn-Konto https://youraccount.ispringlearn.eu/

  2. Klicken Sie auf Mit Ihrem Firmenkonto anmelden.


    Das persönliche Konto des Benutzers wird geöffnet.

    Wenn während der Konfiguration ein Fehler auftritt, senden Sie bitte einen Screenshot des Fehlers an support@ispring.com

Felder von iSpring Learn und SSO einander zuordnen

Zusätzlich zu den Regeln können Sie auch entsprechende Felder für iSpring Learn-Felder und SSO-Attribute angeben: Vorname, Nachname, Berufsbezeichnung, Telefon usw. Erfahren Sie mehr über Felder von iSpring Learn und SSO einander zuordnen.

Auf der AD FS-Seite:


Auf der iSpring Learn-Seite:


Autorisierung ohne SAML

Wenn Sie OpenID in Ihrem iSpring Learn-Konto aktiviert haben, sich aber aus irgendeinem Grund nicht mit Single Sign-on anmelden können, geben Sie die folgende Webadresse ein: https://yourcompany.ispringlearn.com/login?no_sso

Jetzt melden Sie sich wie gewohnt mit Ihrer Benutzerkennung und Passwort bei dem Konto an. 

Wenn Sie nach der Aktivierung von SAML in Ihrem iSpring Learn-Konto eine 400-Fehlermeldung erhalten ("Metadaten für IdP 'https://myidp.com/oam/fed' können nicht abgerufen werden, da es sich nicht um einen gültigen IdP für diesen SP handelt"), bedeutet dies, dass der für das Feld Aussteller-URL (IdP-Entitäts-ID) festgelegte Wert falsch ist.

Damit die SAML-Autorisierung in Ihrem Konto ordnungsgemäß funktioniert, kopieren Sie die URL aus dem Fehlertext und fügen Sie sie in das Feld Aussteller-URL (IdP-Entitäts-ID) ein.




  • No labels