Konfigurieren von Adobe Workfront mit SAML 2.0
Als Adobe Workfront-Administrator können Sie die Web- und Mobile-Apps von Workfront so konfigurieren, dass sie in eine SAML (Security Assertion Markup Language) 2.0-Lösung für Single Sign-on (SSO) integriert werden.
Nachdem Sie SAML 2.0 in Workfront wie in den folgenden Abschnitten beschrieben konfiguriert haben, können Sie die Konfiguration wie in SAML 2.0-Metadaten in Ihrem Identitätsanbieter aktualisieren beschrieben beibehalten.
Zugriffsanforderungen
Sie müssen über folgenden Zugriff verfügen, um die Schritte in diesem Artikel ausführen zu können:
table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header | |
---|---|
Adobe Workfront-Abo | Alle |
Adobe Workfront-Lizenz |
Neu: Standard oder Aktuell: Plan |
Konfigurationen auf Zugriffsebene | Sie müssen Workfront-Administrator sein. |
Weitere Informationen zu den Informationen in dieser Tabelle finden Sie unter Zugriffsanforderungen in der Workfront-Dokumentation.
Aktivieren der Authentifizierung für Workfront mit SAML 2.0
-
Klicken Sie auf das Symbol Hauptmenü oben rechts in Adobe Workfront oder (falls verfügbar) auf das Symbol Hauptmenü (6}Hauptmenü oben links und klicken Sie dann auf das Symbol Setup .
-
Klicken Sie auf System > Single Sign-On (SSO).
-
Wählen Sie in der Dropdownliste Typ die Option SAML 2.0. aus.
-
Klicken Sie oben in den angezeigten Optionen auf SAML 2.0-Metadaten herunterladen , um die Datei auf Ihren Computer herunterzuladen.
Ihr SAML 2.0 Identity Provider benötigt eine XML-Datei mit Informationen, die in Ihrer Workfront-Instanz generiert werden. Nach dem Herunterladen der Datei müssen Sie auf Ihren SAML 2.0 Identity Provider-Server zugreifen und dort die Workfront SAML 2.0-Metadaten-XML-Datei hochladen.
-
Geben Sie die folgenden Informationen in Workfront an:
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 5-row-2 6-row-2 7-row-2 8-row-2 9-row-2 10-row-2 11-row-2 layout-auto html-authored no-header Service Provider-ID Diese URL, die bereits für Sie ausgefüllt wurde, identifiziert Workfront für Ihren Identitäts-Provider. Beispiel: <yourcompany>.com/SAML2
.Bindungstyp Wählen Sie die von Ihrem IDP-Server unterstützte Methode zum Senden von Authentifizierungsinformationen aus:
- POST
- REDIRECT
Füllen der Felder aus den Metadaten des Identitätsanbieters Exportieren Sie in Ihrer SAML 2.0 Identity Provider-Lösung eine XML-Datei für Service Provider-Metadaten und speichern Sie sie an einem temporären Speicherort auf Ihrem Computer. Wählen Sie Datei auswählen aus, suchen und wählen Sie dann die gespeicherte Datei aus, um sie Ihrer Workfront-Konfiguration hinzuzufügen. Anmeldungsportal-URL Geben Sie das allgemeine Anmeldeportal Ihres Unternehmens ein. Dies ist die URL, unter der sich Benutzer anmelden, um auf Workfront und alle anderen in SAML 2.0 integrierten Anwendungen zuzugreifen. Abmelde-URL Geben Sie die Abmelde-URL für den IDP-Server ein. Workfront sendet eine HTTP-Anforderung an diese URL, bevor es sich von Workfront abmeldet. Dadurch wird die Benutzersitzung auf dem Remote-Server geschlossen, wenn die Workfront-Sitzung geschlossen wird.
HINWEIS: Sie werden nur dann zur Abmelde-URL weitergeleitet, wenn die Option Nur SAML 2.0-Authentifizierung zulassen in Ihrem Benutzerprofil aktiviert ist.
Kennwortänderungs-URL Geben Sie die URL an, zu der Benutzer umgeleitet werden, um ihr Passwort zu ändern.
Da die SAML 2.0-Anmeldeinformationen für den Zugriff auf Workfront verwendet werden, müssen Benutzer zu einer Seite weitergeleitet werden, auf der sie ihr SAML 2.0-Kennwort ändern können, anstatt diese Aktivität über Workfront abzuschließen.
Sicherer Hash-Algorithmus Wählen Sie den SHA-Algorithmus (Secure Hash Algorithm) aus, den Ihr IDP unterstützt:
- SHA-1
- SHA-256
Benutzer automatisch bereitstellen Mit dieser Option wird automatisch ein Benutzer im System erstellt, wenn ein neuer Benutzer mit einem Ordnernamen "username"und "password"zum ersten Mal versucht, sich bei Workfront anzumelden.
Um Benutzer in Workfront zu erstellen, müssen Sie Workfront-Datenattribute den folgenden Benutzerdatenattributen in Ihrem Ordneranbieter zuordnen:
- Vorname
- Nachname
- E-Mail-Adresse
Wenn Sie das Kontrollkästchen aktivieren, werden die folgenden Optionen angezeigt:
Wählen Sie aus der Dropdownliste das Workfront-Benutzerattribut aus, das Sie zuordnen möchten, und geben Sie dann das entsprechende Ordnerattribut im Benutzerverzeichnis an.
Das Feld Verzeichnisattribut sollte den Verzeichnisattributnamen aus der Benutzerattributtabelle enthalten, die Sie beim erfolgreichen Testen Ihrer SAML 2.0-Konfiguration gespeichert haben.
Sie können einen Workfront-Standardwert im Feld Standardwert festlegen. Sie können Regeln auch auf Grundlage der Werte Ihres SAML 2.0 Identity Providers festlegen.
WARNUNG: Workfront versucht, die unten aufgeführten Attribute jedes Mal zuzuordnen, wenn sich ein Benutzer beim System anmeldet. Aus diesem Grund empfehlen wir keine Zuordnung von Zugriffsebenen. Wenn ein Attribut falsch zugeordnet ist, können Sie den Administratorzugriff einfach entfernen. Klicken Sie auf Zuordnung hinzufügen , um weitere Regeln hinzuzufügen.
Sie können die folgenden Workfront-Attribute zuordnen:
-
Zugriffsebene
-
Adresse
-
Adresse2
-
Abrechnung pro Stunde
-
Stadt
-
Firma
-
Kosten pro Stunde
-
E-Mail-Adresse
-
Erweiterung
-
Vorname
-
Hauptgruppe
-
Home-Team
-
Aufgabengebiet
-
Nachname
-
Layoutvorlage
-
Managerin bzw. Manager
-
Mobiltelefon
-
Telefonnummer
-
Postleitzahl
-
Zeitplan
-
Status
-
Arbeitszeittabellen-Profil
-
Titel
Klicken Sie auf Speichern , wenn Sie die Zuordnung von Benutzerattributen abgeschlossen haben.
Zertifikat Laden Sie ein gültiges SSL-Zertifikat hoch, um eine sichere Verbindung zwischen dem Authentifizierungsdienst und Workfront sicherzustellen. Für OnDemand-Konten ist immer ein Zertifikat erforderlich. Sie können dieses Zertifikat von Ihrem SAML 2.0-Systemadministrator abrufen. Admin-Ausnahme Ermöglicht Workfront-Administratoren den Zugriff auf Workfront mithilfe ihrer Workfront-Anmeldung. Wenn diese Option nicht aktiviert ist, müssen Workfront-Administratoren ihren SAML 2.0-Benutzernamen und ihr Kennwort verwenden.
Workfront versucht zunächst, sich über SAML 2.0 bei Workfront für Benutzer mit der Zugriffsstufe "Workfront-Systemadministrator"anzumelden. Wenn die SAML 2.0-Authentifizierung fehlschlägt, verwendet Workfront die lokale Authentifizierung für Workfront-Administratoren.
Es wird empfohlen, diese Option immer auszuwählen, damit sich Ihr Workfront-Administrator bei Workfront anmelden kann, wenn Ihr SAML 2.0-Provider vorübergehend nicht verfügbar ist.
Aktivieren Aktiviert SSO auf dem Workfront-System. Stellen Sie sicher, dass Sie Ihren Benutzern Anleitungen zur Anmeldung übermittelt haben.
Nachdem Sie Ihre SSO-Konfiguration in Workfront aktiviert haben, müssen Sie die Einstellung "Nur SAML 2.0-Authentifizierung zulassen"für alle Benutzer aktivieren, damit sie SSO verwenden können.
Weitere Informationen zum Aktualisieren von Benutzern für SSO finden Sie unter Aktualisieren von Benutzern für Single Sign-on.
Weitere Informationen zu Benutzereinstellungen finden Sie unter Profil eines Benutzers bearbeiten.
Konfiguration bestätigen Klicken Sie auf Verbindung testen , um zu überprüfen, ob Workfront und der SAML 2.0 Identity Provider miteinander kommunizieren können. Diese Verbindung ist nur erfolgreich, wenn Sie die XML-Dateien ausgetauscht haben.
Nachdem Sie die Verknüpfung zwischen Ihrem SAML 2.0 Identity Provider und Workfront erfolgreich getestet haben, wird ein Bildschirm ähnlich dem folgenden angezeigt.
HINWEIS: Dieser Bildschirm wird in einem Browser-Popup angezeigt, sodass Sie Popup-Blocker in Ihrem Browser deaktivieren.
Speichern Sie die in der Tabelle angezeigten Informationen zur späteren Verwendung.
-
Klicken Sie auf Speichern , um die SAML 2.0-Konfiguration zu speichern.