DokumentationWorkfrontWorkfront-Handbuch

Single Sign-On in Workfront Proof: AD FS-Konfiguration

Last update: Wed Jul 17 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Benutzende
IMPORTANT
Dieser Artikel bezieht sich auf die Funktionalität im eigenständigen Produkt Workfront Proof. Informationen zum Testen innerhalb von Adobe Workfront finden Sie unter Testversand.

Wenn Sie Administrator auf Ihrem AD-Server sind, können Sie AD FS installieren und konfigurieren.

Installieren und Konfigurieren von AD FS

  1. Laden Sie AD FS 2.0 auf Ihren Computer herunter.

  2. Öffnen Sie die heruntergeladene Datei "AdfsSetup.exe", um den Installationsassistenten für ADFS (Active Directory Federation Services) zu starten.

  3. Wählen Sie im Bildschirm "Serverrolle"eine der Optionen aus (Sie benötigen mindestens einen Föderierungsserver).

  4. Wenn Sie IIS auf Ihrem AD-Server nicht für das Internet verfügbar machen möchten (Ports 80 und 443 für HTTP und HTTPS), können Sie zunächst einen Föderations-Server hinter der Firewall einrichten und dann einen zweiten Föderations-Server-Proxy erstellen, der Anfragen über die Firewall an den Föderationsserver weiterleitet.

  5. Nachdem Sie die Einrichtung von AD FS abgeschlossen haben, wählen Sie Starten Sie das Management-Snap-In für AD FS 2.0 und klicken Sie dann auf Beenden. Sobald dies abgeschlossen ist, sollte das Verwaltungsfenster für AD FS 2.0 sofort geöffnet werden. Ist dies nicht der Fall, können Sie ihn über "Start"> "Verwaltung" "> "Verwaltung von AD FS 2.0" öffnen. Dies ist die wichtigste AD FS-Kontrollanwendung.

  6. Beginnen Sie mit der Auswahl des Assistenten für die Konfiguration des Verbandsservers AD FS 2.0.
    Dadurch können Sie AD FS konfigurieren und über IIS und AD mit dem Internet verbinden.

  7. Wenn Sie einen neuen AD FS-Server konfigurieren, wählen Sie Create a new Federation Service.

  8. Wählen Sie eigenständigen Verknüpfungsserver (zu Test- und Auswertungszwecken).

  9. Klicken Sie für hohe Verfügbarkeit und Lastenausgleich auf Neue Farm des Verbands-Servers .

  10. Geben Sie den Namen Ihres Föderierungsdiensts an.
    Standardmäßig ruft der Konfigurationsassistent das an die Standard-Website in IIS gebundene SSL-Zertifikat ab und verwendet den dort angegebenen Betreffnamen. Wenn Sie ein Platzhalterzertifikat verwenden, müssen Sie den Namen des Föderationsdiensts eingeben.
    Wenn in IIS kein SSL-Zertifikat konfiguriert ist, sucht der Konfigurationsassistent im Zertifikatspeicher des lokalen Computers nach gültigen Zertifikaten. Diese werden in der Dropdown-Liste SSL-Zertifikat angezeigt. Wenn keine Zertifikate gefunden wurden, können Sie den Server Certificate Generator in IIS verwenden, um eines zu erstellen.

  11. Fahren Sie mit der Konfiguration fort und klicken Sie nach Abschluss auf Schließen .

Konfigurieren von Workfront Proof Single Sign-On

Wenn Sie ein Workfront Proof -Administrator sind, können Sie Single Sign-On auf der Seite Workfront Proof konfigurieren. Weitere Informationen finden Sie unter Single Sign-On in Workfront Proof.

  1. Klicken Sie auf Einstellungen > Kontoeinstellungen und öffnen Sie dann die Registerkarte Single Sign-on .

  2. Fügen Sie im Feld SSO-URL Ihre Entitäts-ID ein.
    Im Folgenden finden Sie ein Beispiel für eine Entitäts-ID:
    http://<adfs.your-company.com>/adfs/services/trust
    Ihre Entitäts-ID finden Sie in Ihrer XML-Datei "Federation Metadata".
    ProofHQ_configuration_02.png

  3. Federation-Metadaten finden Sie im Ordner AD FS 2.0-Snap-In > Dienst > Endpunkte . Suchen Sie im Abschnitt Metadaten den mit dem Metadatentyp "Federation". Fügen Sie diesen Endpunkt in Ihren Browser ein, um Metadaten anzuzeigen. Sie können auch direkt zu diesem Link gehen: https://<adfs.your-company.com>/FederationMetadata/2007-06/FederationMetadata.xml , nachdem Sie die Datei {adfs.your-company.com} durch Ihre eigenen Details ersetzt haben.

  4. Fügen Sie in das Feld Anmelde-URL Ihre SSO-Anmeldung ein.

  5. Im Folgenden finden Sie ein Beispiel für eine SSO-Anmeldung:

  6. http://<adfs.your-company.com>/adfs/ls.

  7. Dieser Link befindet sich in der XML-Datei "Federation Metadata".
    ProofHQ_configuration_03.png

  8. Geben Sie in das Feld URL abmelden den Link ein und speichern Sie ihn.
    Im Folgenden finden Sie ein Beispiel für eine Abmelde-URL:
    https://<adfs.your-company.com>/adfs/ls/?wa=wsignout1.0

    1. Wechseln Sie zu Ihrem AD FS Manager > Vertrauensbeziehungen > Vertrauenswürdige GruppenTrusts - Eigenschaften von ProofHQ.

    2. Klicken Sie unter den Endpunkten auf Hinzufügen und geben Sie den Eintrag mit den folgenden Details ein:

      • Endpunkttyp = SAML-Abmeldung
      • Bindung = POST
      • URL = https://<adfs.your-company.com>/adfs/ls/?wa=wsignout1.0
      • Dieser Schritt kann nach der Konfiguration des Vertrauenswürdigkeit der Partei (siehe unten) in Ihrem AD FS abgeschlossen werden.

    3. Geben Sie in das Feld Certificate fingerprint die Daten aus Ihrem Zertifikat ein.

    4. Navigieren Sie zu Ihrem ADFS 2.0-Snap-In zu Dienst > Zertifikate > Token-Signatur.

    5. Klicken Sie mit der rechten Maustaste auf diesen Eintrag, um das Zertifikat anzuzeigen.

    6. Kopieren Sie auf der Registerkarte Zertifikatdetails den Thumbprint und fügen Sie ihn in die Konfigurationsregisterkarte Workfront Proof Single Sign-On ein.

    7. Die Fingerabdruckzeichen können durch Doppelpunkte oder Leerzeichen getrennt werden. Es wird jedoch empfohlen, sie zu entfernen. Wenn Sie Probleme mit Ihrer Single-Sign-On-Konfiguration haben, wenden Sie sich an den Support.

Hinzufügen eines Vertrauenspartenvertrauens

Sobald die Konfiguration abgeschlossen ist, müssen Sie in Ihrem AD FS im Abschnitt "Vertrauende Partei - Trusts"arbeiten.

  1. Navigieren Sie zum Ordner Vertrauensbeziehungen > Vertrauenswürdige Parteivertrauer und klicken Sie dann auf Vertrauenswürdigen Parteivertrauens hinzufügen , um den Konfigurationsassistenten zu starten.

  2. Wählen Sie Ihre Datenquelle aus.
    Alle Metadaten für Ihr ProofHQ -Konto befinden sich unter einem Link wie diesem:
    https://<yoursubdomain*>.proofhq.com/saml/module.php/saml/sp/metadata.php/phq
    Dadurch wird der Großteil des Vertrauens der vertrauenden Partei konfiguriert.

    note note
    NOTE
    • Wenn Sie Probleme bei der Herstellung der Verbindung über die URL haben, speichern Sie die Metadaten als Datei und wählen Sie den Import von Daten aus einer Datei aus.
    • Wenn Sie eine vollständige benutzerdefinierte Domäne (z. B. www.your-proofing.com) für Ihr ProofHQ-Konto konfiguriert haben, ersetzen Sie den gesamten "{yoursubdomain}.proofhq.com"-Teil durch Ihre eigene Domäne, um Ihren "ProofHQ"-Metadaten-Link zu erstellen.

Konfigurieren von Anforderungsregeln

Sobald die Konfiguration des Vertrauens der vertraulichen Partei abgeschlossen ist, können Sie die Schadensregeln konfigurieren, um die Einrichtung abzuschließen. Sie konfigurieren zwei Schadensregeln für ProofHQ: E-Mail und Name ID.

  1. Öffnen Sie das Dialogfeld Anforderungsregeln bearbeiten .

  2. Gehen Sie zu ProofHQ Relying Party Trust und klicken Sie dann auf Edit Claim Rules (1).
    Das Popup-Fenster sollte automatisch geöffnet werden, wenn Sie diese Option am Ende der Vertrauenskonfiguration ausgewählt haben.

  3. Klicken Sie auf Regel hinzufügen (2) , um das Fenster zur Schadenskonfiguration zu öffnen.

    • E-Mail (Senden von LDAP-Attributen als Schadensregelvorlage)
    • NameID (Regelvorlage für eingehende Anforderung transformieren)
recommendation-more-help
5f00cc6b-2202-40d6-bcd0-3ee0c2316b43