Adobe Workfront mit SAML 2.0 konfigurieren
Als Adobe Workfront-Administrator können Sie die Web- und mobilen Anwendungen von Workfront so konfigurieren, dass sie mit einer SAML 2.0-Lösung (Security Assertion Markup Language) für einmaliges Anmelden (SSO) integriert werden.
Nachdem Sie SAML 2.0 in Workfront konfiguriert haben, wie in den folgenden Abschnitten beschrieben, können Sie die Konfiguration beibehalten, wie in Aktualisieren von SAML 2.0-Metadaten in Ihrem Identitätsanbieter beschrieben.
Zugriffsanforderungen
Sie müssen über folgenden Zugriff verfügen, um die Schritte in diesem Artikel ausführen zu können:
table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header | |
---|---|
Adobe Workfront-Plan | Beliebig |
Adobe Workfront-Lizenz |
Neu: Standard oder Aktuell: Plan |
Konfigurationen der Zugriffsebene | Sie müssen ein Workfront-Administrator sein. |
Weitere Informationen zu den Informationen in dieser Tabelle finden Sie unter Zugriffsanforderungen in der Dokumentation zu Workfront.
Aktivieren der Authentifizierung für Workfront mit SAML 2.0
-
Klicken Sie auf das Hauptmenü-Symbol in der oberen rechten Ecke von Adobe Workfront oder (falls verfügbar) klicken Sie auf das Hauptmenü-Symbol in der oberen linken Ecke und klicken Sie dann auf Setup .
-
Klicken Sie auf System > Single Sign-On (SSO).
-
Wählen Sie in Dropdown Liste „Typ“ SAML 2.0.
-
Klicken Sie oben in den angezeigten Optionen auf SAML 2.0-Metadaten herunterladen, um die Datei auf Ihren Computer herunterzuladen.
Ihr SAML 2.0-Identitätsanbieter erfordert eine XML-Datei mit Informationen, die in Ihrer Workfront-Instanz generiert wurden. Nach dem Herunterladen der Datei müssen Sie auf Ihren SAML 2.0 Identity Provider-Server zugreifen und die XML-Metadatendatei für Workfront SAML 2.0 dort hochladen.
-
Geben Sie die folgenden Informationen in Workfront an:
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 5-row-2 6-row-2 7-row-2 8-row-2 9-row-2 10-row-2 11-row-2 layout-auto html-authored no-header Service Provider-ID Diese bereits für Sie ausgefüllte URL identifiziert Workfront gegenüber Ihrem Identitätsanbieter. Beispiel: <yourcompany>.com/SAML2
.Bindungstyp Wählen Sie die von Ihrem IDP-Server unterstützte Methode zum Senden von Authentifizierungsinformationen aus:
- POST
- REDIRECT
Füllen der Felder aus den Metadaten des Identitätsanbieters Exportieren Sie in Ihrer SAML 2.0 Identity Provider-Lösung eine XML-Datei mit den Metadaten des Dienstleisters und speichern Sie sie an einem temporären Speicherort auf Ihrem Computer. Wählen Sie Datei auswählen und suchen Sie dann die gespeicherte Datei, um sie zu Ihrer Workfront-Konfiguration hinzuzufügen. Anmeldeportal-URL Geben Sie das gemeinsame Anmeldeportal Ihres Unternehmens ein. Dies ist die URL, unter der sich Benutzer anmelden, um auf Workfront und alle anderen in SAML 2.0 integrierten Anwendungen zuzugreifen. Abmeldungs-URL Geben Sie die Abmelde-URL für den IDP-Server ein. Workfront sendet eine HTTP-Anfrage an diese URL, bevor es sich von Workfront abmeldet. Dadurch wird die Benutzersitzung auf dem Remoteserver geschlossen, wenn die Workfront-Sitzung geschlossen wird.
HINWEIS: Sie werden nur dann zur Abmelde-URL weitergeleitet, wenn Sie in Ihrem Benutzerprofil die Option Nur SAML 2.0- zulassen) aktiviert haben.
Kennwortänderungs-URL Geben Sie die URL an, zu der Benutzer weitergeleitet werden, um ihre Passwörter zu ändern.
Da die SAML 2.0-Anmeldeinformationen für den Zugriff auf Workfront verwendet werden, müssen Benutzende zu einer Seite umgeleitet werden, auf der sie ihr SAML 2.0-Kennwort ändern können, anstatt diese Aktivität über Workfront abzuschließen.
Sicherer Hash-Algorithmus Wählen Sie den von Ihrem IDP unterstützten Secure Hash Algorithm (SHA) aus:
- SHA-1
- SHA-256
Benutzer automatisch bereitstellen Mit dieser Option wird automatisch ein Benutzer im System erstellt, wenn ein neuer Benutzer mit einem Verzeichnis-Benutzernamen und -Kennwort versucht, sich zum ersten Mal bei Workfront anzumelden.
Um Benutzende in Workfront zu erstellen, müssen Sie Workfront-Datenattribute den folgenden Benutzerdatenattributen in Ihrem Ordneranbieter zuordnen:
- Vorname
- Nachname
- E-Mail-Adresse
Wenn Sie das Kontrollkästchen aktivieren, werden die folgenden Optionen angezeigt:
Wählen Sie in der Dropdown-Liste das Workfront-Benutzerattribut aus, das Sie zuordnen möchten, und geben Sie dann das entsprechende Verzeichnisattribut im Benutzerverzeichnis an.
Das Feld Verzeichnisattribut sollte den Verzeichnisattributnamen aus der Benutzerattributtabelle enthalten, die Sie beim erfolgreichen Testen Ihrer SAML 2.0-Konfiguration gespeichert haben.
Sie können im Feld „Standardwert“ einen Workfront- festlegen. Sie können auch Regeln basierend auf den Werten Ihres SAML 2.0-Identitätsanbieters festlegen.
WARNUNG: Workfront versucht jedes Mal, wenn sich ein Benutzer beim System anmeldet, die unten aufgeführten Attribute zuzuordnen. Aus diesem Grund empfehlen wir nicht, Zugriffsebenen zuzuordnen. Sie können den administrativen Zugriff einfach entfernen, wenn ein Attribut falsch zugeordnet ist. Klicken Sie Zuordnung hinzufügen, um zusätzliche Regeln hinzuzufügen.
Sie können die folgenden Workfront-Attribute zuordnen:
-
Zugriffsebene
-
Adresse
-
Adresse2
-
Abrechnung pro Stunde
-
Stadt
-
Firma
-
Kosten pro Stunde
-
E-Mail-Adresse
-
Erweiterung
-
Vorname
-
Hauptgruppe
-
Home-Team
-
Aufgabengebiet
-
Nachname
-
Layoutvorlage
-
Managerin bzw. Manager
-
Mobiltelefon
-
Telefonnummer
-
Postleitzahl
-
Zeitplan
-
Status
-
Arbeitszeittabellen-Profil
-
Titel
Klicken Sie Speichern wenn Sie mit der Zuordnung der Benutzerattribute fertig sind.
Zertifikat Laden Sie ein gültiges SSL-Zertifikat hoch, um eine sichere Verbindung zwischen dem Authentifizierungsdienst und Workfront zu gewährleisten. Für OnDemand-Konten ist immer ein Zertifikat erforderlich. Sie können dieses Zertifikat von Ihrem SAML 2.0-Systemadministrator erhalten. Admin-Ausnahme Ermöglicht Workfront-Administratoren den Zugriff auf Workfront über ihre Workfront-Anmeldung. Wenn diese Option nicht ausgewählt ist, müssen Workfront-Administratoren ihren SAML 2.0-Benutzernamen und ihr Kennwort verwenden.
Workfront versucht zunächst, sich für Benutzende mit Workfront-Systemadministrator-Zugriffsebene über SAML 2.0 bei Workfront anzumelden. Wenn die SAML 2.0-Authentifizierung fehlschlägt, verwendet Workfront die lokale Authentifizierung für Workfront-Administratoren.
Es wird empfohlen, diese Option immer auszuwählen, damit sich Ihr Workfront-Administrator bei Workfront anmelden kann, falls Ihr SAML 2.0-Anbieter vorübergehend nicht verfügbar ist.
Aktivieren Aktiviert SSO auf dem Workfront-System. Stellen Sie sicher, dass Sie Ihren Benutzern die Anmeldeanweisungen mitgeteilt haben.
Nachdem Sie Ihre SSO-Konfiguration in Workfront aktiviert haben, müssen Sie die Einstellung Nur SAML 2.0-Authentifizierung zulassen für alle Benutzenden aktivieren, damit sie SSO verwenden können.
Weitere Informationen zum Aktualisieren von Benutzern für SSO finden Sie unter Aktualisieren von Benutzern für einmaliges Anmelden.
Weitere Informationen zu Benutzereinstellungen finden Sie Bearbeiten des Benutzerprofils.
Konfiguration bestätigen Klicken Sie Verbindung testen, um zu überprüfen, ob Workfront und der SAML 2.0-Identitätsanbieter miteinander kommunizieren können. Diese Verbindung ist nur erfolgreich, wenn Sie die XML-Dateien ausgetauscht haben.
Nachdem Sie die Verknüpfung zwischen Ihrem SAML 2.0-Identitätsanbieter und Workfront erfolgreich getestet haben, wird ein Bildschirm ähnlich der folgenden Abbildung angezeigt.
HINWEIS: Dieser Bildschirm wird in einem Browser-Popup angezeigt. Stellen Sie daher sicher, dass Sie Popup-Blocker in Ihrem Browser deaktivieren.
Speichern Sie die in der Tabelle angezeigten Informationen zur späteren Verwendung.
-
Klicken Sie Speichern, um die SAML 2.0-Konfiguration zu speichern.