product icon

Einrichten der Enterprise-Anmeldung mit AD FS 2.0

    Ihr Unternehmen kann problemlos Tausende von Benutzern und deren Produktzugriff verwalten und gleichzeitig Single Sign-On (SSO) bereitstellen. SSO stellt sicher, dass Ihre Benutzer auf ihre GoTo Produkte mit demselben Identitätsanbieter zugreifen können wie auf ihre anderen Unternehmensanwendungen und -umgebungen. Diese Funktionen werden als Enterprise-Anmeldung bezeichnet.

    Dieses Dokument behandelt die Konfiguration Ihrer Active Directory Federation Services (AD FS) zur Unterstützung der Single-Sign-On-Authentifizierung für GoTo Produkte.

    AD FS 2.0 ist eine herunterladbare Komponente für Windows Server 2008 und 2008 R2. Sie ist einfach zu implementieren, aber für einige Konfigurationsschritte werden bestimmte Zeichenfolgen, Zertifikate, URLs usw. benötigt. AD FS 3.0 wird auch für Enterprise-Anmeldung unterstützt. AD FS 3.0 bietet mehrere Verbesserungen, von denen die größte darin besteht, dass der Internet Information Services (IIS) Server von Microsoft in der Bereitstellung enthalten ist und nicht separat installiert werden muss.

    Hinweis: Sie können zu Schritt 5 (unten aufgeführt) übergehen, wenn Sie AD FS 2.0 bereits installiert haben.

    Schritt 1: Einrichten einer Organisation für AD FS 2.0

    Richten Sie eine "Organisation" ein, indem Sie mindestens eine gültige E-Mail-Domäne bei GoTo registrieren, um Ihre Inhaberschaft an dieser Domäne zu verifizieren. Domänen in der Organisation sind unternehmenseigene E-Mail-Domänen, die der Administrator entweder über den Webdienst oder über DNS-Server verifizieren kann.

    Wichtig: Der Benutzer, der die Domänenverifizierung abschließt, wird automatisch zum Organisationsadministrator, aber dieser Benutzer muss nicht über eine GoTo Produktadministratorrolle verfügen.
    Die folgenden Schritte werden im GoTo Organization Center durchgeführt.

      Eine Organisation gründen.

      1. Melden Sie sich im GoTo Organization Center unter https://organization.logmeininc.com an.
      2. Auf der ersten Seite werden Sie gebeten, zu bestätigen, dass Sie der Besitzer der Domäne für das Konto sind, bei dem Sie derzeit angemeldet sind. Ihnen stehen zwei Methoden zum Einrichten der Domänenüberprüfung zur Verfügung, von denen jede einen eindeutigen Verifizierungscode verwendet, um die Verifizierung abzuschließen. Kopieren Sie den Verifizierungswert in die Zwischenablage.
        Bitte beachten Sie: Die Verifizierungsseite wird so lange angezeigt, bis die Domäne erfolgreich überprüft wurde. Wenn Sie mehr als 10 Tage benötigen, um die Domäne zu überprüfen, werden vom System automatisch neue Verifizierungscodes für die Domäne generiert, sobald Sie das Organization Center das nächste Mal aufrufen.
      3. Fügen Sie je nachdem, welche Verifizierungsmethode Sie wählen, den Verifizierungscode in den DNS-Eintrag oder eine Textdatei zum Hochladen an einen der Speicherorte ein:
        • Methode 1: Hinzufügen eines DNS-Eintrags zu Ihrer Domänen-Zonendatei. Bei Verwendung von DNS wird ein DNS-Eintrag auf der Ebene der E-Mail-Domäne in der DNS-Zone eingefügt. Normalerweise verifizieren Benutzer die Root-Domäne oder eine Domäne der zweiten Ebene, wie beispielsweise "main.com". In diesem Fall würde der Eintrag wie folgt aussehen:

          @ IN TXT "logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e"

          ODER

          main.com. IN TXT "logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e"

          Wenn Sie eine Domäne der dritten Ebene (oder Unterdomäne) benötigen, z. B. "mail.example.com", muss der Datensatz in dieser Unterdomäne enthalten sein, z. B.:

          mail.main.com. IN TXT "logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e"

          Detaillierte Dokumentation finden Sie unter Hinzufügen eines TXT-DNS-Eintrags .

        • Methode 2: Hochladen einer Webserverdatei auf die angegebene Website. Laden Sie eine reine Textdatei mit einer Überprüfungszeichenfolge in das Stammverzeichnis Ihres Webservers. Die Textdatei darf keine anderen Leerzeichen oder anderen Zeichen als die angegebenen enthalten.
          • Speicherort: http://< yourdomain >/logmein-verification-code.txt
          • Inhalt: logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e
      4. Sobald Sie den DNS-Eintrag oder die Textdatei hinzugefügt haben, müssen Sie das Domänenstatusfenster aufrufen und auf Überprüfen klicken.
      5. Ergebnis: Sie haben Ihre erste Domäne erfolgreich verifiziert und damit eine Organisation mit Ihrem Konto als Organisationsadmin erstellt. Wenn Sie sich das nächste Mal im Organization Center anmelden, wird die verifizierte Domäne aufgelistet.

        Organization Center - Registerkarte E-Mail-Domänen

      Deaktivieren Sie Begrüßungs-E-Mails für Benutzer (optional).

      1. Melden Sie sich beim Klassische Admin-Portal unter https://admin.logmeininc.com an.
      2. Wählen Sie im linken Navigationsbereich Admin-Einstellungen aus.
      3. Suchen Sie den Bereich "Organisation" und wählen Sie Bearbeiten.
        Begrüßungs-E-Mails im Admin Center deaktivieren
      4. Wählen Sie Deaktiviert für Benutzer-Synchronisation > Speichern.

        Ergebnis: Sie haben die Begrüßungs-E-Mails für Benutzer deaktiviert und müssen Ihre Benutzer über Änderungen an ihrem Konto und/oder den zugewiesenen Produkten informieren.

    Ergebnisse: Sie haben erfolgreich eine Organisation eingerichtet und die gewünschten Einstellungen für Begrüßungs-E-Mails konfiguriert.

    Schritt 2: Verbunddienstzertifikat

    Jede AD FS-Bereitstellung wird durch einen DNS-Namen identifiziert (z. B. "adfs.mydomain.com"). Bevor Sie beginnen, benötigen Sie ein Zertifikat, das auf diesen Antragstellernamen ausgestellt ist. Hierbei handelt es sich um einen extern sichtbaren Namen; wählen Sie daher einen geeigneten Namen, der Ihr Unternehmen Partnern gegenüber repräsentiert. Außerdem darf dieser Name nicht als Serverhostname verwendet werden, da dadurch Probleme mit der Registrierung von Dienstprinzipalnamen (SPN) entstehen.

    Es gibt viele Methoden zum Generieren von Zertifikaten. Am einfachsten ist die Verwendung der IIS-7-Verwaltungskonsole; vorausgesetzt, Ihre Domäne verfügt über eine Zertifizierungsstelle:
    1. Öffnen Sie das Webserver(IIS)-Verwaltungs-Snap-In.
    2. Wählen Sie in der Navigationsstruktur den Serverknoten und dann die Option Serverzertifikate aus.
    3. Wählen Sie Domänenzertifikat erstellen aus.
    4. Geben Sie unter "Allgemeiner Name" Ihren Verbunddienstnamen ein (z. B. adfs.mydomain.com).
    5. Wählen Sie Ihre Active-Directory-Zertifizierungsstelle aus.
    6. Geben Sie einen beliebigen Anzeigenamen für das Zertifikat ein.
      Hinweis: Wenn Sie das Zertifikat nicht über die IIS-Konsole erstellt haben, stellen Sie sicher, dass das Zertifikat an den IIS-Dienst auf den Servern gebunden ist, auf denen Sie AD FS installieren werden, bevor Sie fortfahren.

    Schritt #3: Erstellen eines Domänenbenutzerkontos

    Für AD FS-Server müssen Sie ein Domänenbenutzerkonto erstellen, um die Dienste ausführen zu können (es sind keine speziellen Gruppen erforderlich).

    Schritt 4: Installieren Sie Ihren ersten AD FS-Server

    1. Laden Sie AD FS 2.0 herunter und führen Sie das Installationsprogramm aus. Stellen Sie sicher, dass Sie das Installationsprogramm als Domänenadministrator ausführen, damit SPN und andere Container in AD erstellt werden.
    2. Wählen Sie unter "Serverrolle" die Rolle Verbundserver aus.
    3. Prüfen Starten Sie das Snap-In AD FS 2.0 Management, wenn dieser Assistent geschlossen wird am Ende des Setup-Assistenten.
    4. Klicken Sie im Snap-In AD FS-Verwaltung auf Neuen Federation-Dienst erstellen.
    5. Wählen Sie Neue Verbundserverfarm aus.
    6. Wählen Sie das Zertifikat aus, das Sie im vorherigen Schritt erstellt haben.
    7. Wählen Sie den Domänenbenutzer aus, den Sie in den vorherigen Schritten erstellt haben.

    Schritt 5: Konfigurieren einer vertrauenden Seite

    In diesem Schritt teilen Sie AD FS die Art der SAML-Token mit, die das System akzeptiert.

    Richten Sie wie folgt ein Vertrauensverhältnis ein:
    1. Wählen Sie in der AD FS 2.0 MMC Trust Relationships> Relying Party Trusts im Navigationsbaum.
    2. Wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus und klicken Sie auf Starten.
    3. Wählen Sie unter "Datenquelle auswählen" die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren.
    4. Geben Sie in das Textfeld unterhalb der ausgewählten Option die Metadaten-URL ein: https://authentication.logmeininc.com/saml/sp.
    5. Klicken Sie auf OK, um zu bestätigen, dass einige Metadaten, die AD FS 2.0 nicht versteht, übersprungen werden.
    6. Geben Sie auf der Seite "Anzeigename angeben" den Namen LogMeInTrust ein und klicken Sie auf Weiter.
    7. Klicken Sie unter "Ausstellungsautorisierungsregeln wählen" auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben (es sei denn, es wird eine andere Option gewünscht).
    8. Gehen Sie die restlichen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.

    Hinzufügen von zwei Anspruchsregeln

    1. Klicken Sie auf den neuen Endpunkteintrag und dann rechts auf Anspruchsregeln bearbeiten.
    2. Wählen Sie die Registerkarte Ausstellungstransformationsregeln aus und klicken Sie auf Regel hinzufügen.
    3. Wählen Sie im Dropdownmenü LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
    4. Verwenden Sie die folgenden Einstellungen für die Regel:
      • Anspruchsregelname: AD Email
      • Attributspeicher: Active Directory
      • LDAP-Attribut: E-mail Addresses
      • Ausgehender Anspruchstyp: E-mail Address
    5. Klicken Sie auf Fertigstellen.
    6. Klicken Sie erneut auf Regel hinzufügen.
    7. Wählen Sie im Dropdownmenü Eingehenden Anspruch transformieren aus und klicken Sie auf Weiter.
    8. Verwenden Sie die folgenden Einstellungen für die Regel:
      • Anspruchsregelname: Namens-ID
      • Typ des eingehenden Anspruchs: E-Mail-Adresse
      • Typ des ausgehenden Anspruchs: Namens-ID
      • ID Format des ausgehenden Namens: E-Mail
    9. Wählen Sie Alle Anspruchswerte zulassen aus.
    10. Klicken Sie auf Fertig stellen.

    Abschließen der Konfiguration

    • Klicken Sie mit der rechten Maustaste auf die neue Vertrauensstellung der vertrauenden Seite im Ordner Vertrauensstellungen der vertrauenden Seite und wählen Sie Eigenschaften aus.
    • Wählen Sie unter "Erweitert" die Option SHA-1 aus und klicken Sie auf OK.
    • Um zu verhindern, dass AD FS standardmäßig verschlüsselte Assertions sendet, öffnen Sie eine Windows Power Shell-Eingabeaufforderung und führen Sie den folgenden Befehl aus:
    Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

    Schritt 6: Konfigurieren der Vertrauensstellung

    Als letzten Schritt müssen Sie gewährleisten, dass die von Ihrem neuen AD FS-Dienst generierten SAML-Token akzeptiert werden.

    • Verwenden Sie den Abschnitt „Identitätsanbieter“ im Organization Center, um die Details anzugeben.
    • Wählen Sie für AD FS 2.0 die Konfiguration "Automatisch" und geben Sie die folgende URL ein, wobei Sie "Server" durch den von außen zugänglichen Hostnamen Ihres AD FS-Servers ersetzen: https://server/FederationMetadata/2007-06/FederationMetadata.xml

    Schritt 7: Testen der Einzelserverkonfiguration

    Es sollte nun möglich sein, die Konfiguration zu testen. Sie müssen einen DNS-Eintrag für die AD FS-Dienstidentität erstellen und dabei auf den AD FS-Server verweisen, den Sie soeben konfiguriert haben, oder auf ein Lastenausgleichsmodul, falls vorhanden.

    • Zum Testen der vom Identitätsanbieter initiierten Anmeldung müssen Sie zur benutzerdefinierten Identitätsanbieter-URL wechseln (Beispiel: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter "Auf einer der folgenden Websites anmelden" angezeigt.
    • Zum Testen der von der vertrauenden Seite initiierten Anmeldung lesen Sie bitte Wie kann ich mich mit Hilfe von SSO (Single Sign-On) anmelden?.