HELP FILE

Einrichten der Enterprise-Anmeldung mit ADFS 2.0

Ihr Unternehmen kann problemlos Tausende von Benutzern und deren Produktzugriff verwalten und gleichzeitig Single Sign-On (SSO) anbieten. SSO stellt sicher, dass Ihre Benutzer über denselben Identitätsanbieter wie für ihre anderen Unternehmensanwendungen und -umgebungen auf ihre LogMeIn -Produkte zugreifen können. Diese Funktion wird als "Enterprise-Anmeldung" bezeichnet.

Dieses Dokument beschreibt die Konfiguration Ihrer Active-Directory-Verbunddienste (ADFS) zur Unterstützung der Single-Sign-On-Authentifizierung bei LogMeIn-Produkten. Vor der Implementierung empfiehlt es sich, die Informationen über die Enterprise-Anmeldung zu lesen und die einleitenden Einrichtungsschritte durchzuführen.

ADFS 2.0 ist eine herunterladbare Komponente für Windows Server 2008 und 2008 R2. Sie ist einfach zu implementieren, aber für einige Konfigurationsschritte werden bestimmte Zeichenfolgen, Zertifikate, URLs usw. benötigt. ADFS 3.0 ist ebenfalls mit der Enterprise-Anmeldung kompatibel. ADFS 3.0 bietet mehrere Verbesserungen, vor allem die, dass der Server für Microsofts Internetinformationsdienste (IIS) Teil der Bereitstellung ist und nicht separat installiert werden muss.

Hinweis: Wurde ADFS 2.0 bereits bereitgestellt, können Sie wie unten beschrieben mit Schritt 4 fortfahren.

Schritt 1: Verbunddienstzertifikat

Jede ADFS-Implementierung wird durch einen DNS-Namen (z. B. adfs.mydomain.com) identifiziert. Bevor Sie beginnen, benötigen Sie ein Zertifikat, das auf diesen Antragstellernamen ausgestellt ist. Hierbei handelt es sich um einen extern sichtbaren Namen; wählen Sie daher einen geeigneten Namen, der Ihr Unternehmen Partnern gegenüber repräsentiert. Außerdem darf dieser Name nicht als Serverhostname verwendet werden, da dadurch Probleme mit der Registrierung von Dienstprinzipalnamen (SPN) entstehen.

Es gibt viele Methoden zum Generieren von Zertifikaten. Am einfachsten ist die Verwendung der IIS-7-Verwaltungskonsole; vorausgesetzt, Ihre Domäne verfügt über eine Zertifizierungsstelle:
  1. Öffnen Sie das Webserver(IIS)-Verwaltungs-Snap-In.
  2. Wählen Sie in der Navigationsstruktur den Serverknoten und dann die Option Serverzertifikate aus.
  3. Wählen Sie Domänenzertifikat erstellen aus.
  4. Geben Sie unter "Allgemeiner Name" Ihren Verbunddienstnamen ein (z. B. adfs.mydomain.com).
  5. Wählen Sie Ihre Active-Directory-Zertifizierungsstelle aus.
  6. Geben Sie einen beliebigen Anzeigenamen für das Zertifikat ein.

    Hinweis: Wenn das Zertifikat nicht mit der IIS-Konsole erstellt wurde, müssen Sie überprüfen, ob das Zertifikat in den Servern, die für die Installation von ADFS vorgesehen sind, an den IIS-Dienst gebunden ist. Setzen Sie den Vorgang dann fort.

Schritt 2: Erstellen eines Domänenbenutzerkontos

Zur Verwendung von ADFS-Servern muss ein Domänenbenutzerkonto erstellt werden, unter dem die Dienste ausgeführt werden (es sind keine bestimmten Gruppen erforderlich).

Schritt 3: Installieren des ersten ADFS-Servers

  1. Laden Sie ADFS 2.0 herunter und führen Sie das Installationsprogramm aus. Stellen Sie sicher, dass Sie das Installationsprogramm als Domänenadministrator ausführen, damit SPN und andere Container in AD erstellt werden.
  2. Wählen Sie unter "Serverrolle" die Rolle Verbundserver aus.
  3. Aktivieren Sie am Ende des Assistenten die Option ADFS 2.0 Verwaltungs-Snap-In starten, wenn dieser Assistent geschlossen wird.
  4. Klicken Sie im ADFS-Verwaltungs-Snap-In auf Neuen Verbunddienst erstellen.
  5. Wählen Sie Neue Verbundserverfarm aus.
  6. Wählen Sie das Zertifikat aus, das Sie im vorherigen Schritt erstellt haben.
  7. Wählen Sie den Domänenbenutzer aus, den Sie in den vorherigen Schritten erstellt haben.

Schritt 4: Konfigurieren einer vertrauenden Seite

In diesem Schritt teilen Sie ADFS mit, welche Art von SAML-Token vom System akzeptiert werden.

Richten Sie wie folgt ein Vertrauensverhältnis ein:
  1. Wählen Sie in der Navigationsstruktur der ADFS 2.0 MMC die Option Vertrauensstellungen > Vertrauensstellung der vertrauende Seite aus.
  2. Wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus und klicken Sie auf Starten.
  3. Wählen Sie unter "Datenquelle auswählen" die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren.
  4. Geben Sie in das Textfeld unterhalb der ausgewählten Option die Metadaten-URL ein: https://authentication.logmeininc.com/saml/sp.
  5. Klicken Sie auf OK, um zu bestätigen, dass einige Metadaten, die ADFS 2.0 nicht versteht, übersprungen werden.
  6. Geben Sie auf der Seite "Anzeigename angeben" den Namen LogMeInTrust ein und klicken Sie auf Weiter.
  7. Klicken Sie unter "Ausstellungsautorisierungsregeln wählen" auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben (es sei denn, es wird eine andere Option gewünscht).
  8. Gehen Sie die restlichen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.

Hinzufügen von zwei Anspruchsregeln

  1. Klicken Sie auf den neuen Endpunkteintrag und dann rechts auf Anspruchsregeln bearbeiten.
  2. Wählen Sie die Registerkarte Ausstellungstransformationsregeln aus und klicken Sie auf Regel hinzufügen.
  3. Wählen Sie im Dropdownmenü LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
  4. Verwenden Sie die folgenden Einstellungen für die Regel:
    • Anspruchsregelname: AD-E-Mail
    • Attributspeicher: Active Directory
    • LDAP-Attribut: E-Mail-Addresses
    • Ausgehender Anspruchstyp: E-Mail-Adresse
  5. Klicken Sie auf Fertig stellen.
  6. Klicken Sie erneut auf Regel hinzufügen.
  7. Wählen Sie im Dropdownmenü Eingehenden Anspruch transformieren aus und klicken Sie auf Weiter.
  8. Verwenden Sie die folgenden Einstellungen für die Regel:
    • Anspruchsregelname: Namens-ID
    • Typ des eingehenden Anspruchs: E-Mail-Adresse
    • Typ des ausgehenden Anspruchs: Namens-ID
    • ID Format des ausgehenden Namens: E-Mail
  9. Wählen Sie Alle Anspruchswerte zulassen aus.
  10. Klicken Sie auf Fertig stellen.

Abschließen der Konfiguration

  • Klicken Sie mit der rechten Maustaste auf die neue Vertrauensstellung der vertrauenden Seite im Ordner Vertrauensstellungen der vertrauenden Seite und wählen Sie Eigenschaften aus.
  • Wählen Sie unter "Erweitert" die Option SHA-1 aus und klicken Sie auf OK.
  • Um zu verhindern, dass ADFS standardmäßig verschlüsselte Assertions sendet, müssen Sie ein Windows-PowerShell-Eingabeaufforderungsfenster öffnen und den folgenden Befehl ausführen:
set-ADFSRelyingPartyTrust –TargetName"< relyingPartyTrustDisplayName >" –EncryptClaims $False

Schritt 5: Konfigurieren der Vertrauensstellung

Als letzten Schritt müssen Sie gewährleisten, dass die von Ihrem neuen ADFS-Dienst generierten SAML-Token akzeptiert werden.

  • Verwenden Sie den Abschnitt "Identitätsanbieter" im Organization Center, um die Details anzugeben.
  • Wählen Sie für ADFS 2.0 die automatische Konfiguration und geben Sie folgende URL ein – ersetzen Sie dabei "server" durch den extern bekannten Hostnamen Ihres ADFS-Servers: https://server/FederationMetadata/2007-06/FederationMetadata.xml

Schritt 6: Testen der Einzelserverkonfiguration

Es sollte nun möglich sein, die Konfiguration zu testen. Sie müssen einen DNS-Eintrag für die ADFS-Dienstidentität erstellen und dabei auf den ADFS-Server verweisen, den Sie soeben konfiguriert haben, oder auf ein Lastenausgleichsmodul, falls vorhanden.