Single Sign-on Workfront Proof: AD FS-Konfiguration
Wenn Sie Administrator auf Ihrem AD-Server sind, können Sie AD FS installieren und konfigurieren.
Installieren und Konfigurieren von AD FS
-
Download AD FS 2.0 auf Ihren Computer.
-
Öffnen Sie die heruntergeladene Datei "AdfsSetup.exe", um den Installationsassistenten für ADFS (Active Directory Federation Services) zu starten.
-
Wählen Sie im Bildschirm "Serverrolle"eine der Optionen aus (Sie benötigen mindestens einen Föderierungsserver).
-
Wenn Sie IIS auf Ihrem AD-Server nicht für das Internet verfügbar machen möchten (Ports 80 und 443 für HTTP und HTTPS), können Sie zunächst einen Föderations-Server hinter der Firewall einrichten und dann einen zweiten Föderations-Server-Proxy erstellen, der Anfragen über die Firewall an den Föderationsserver weiterleitet.
-
Nachdem Sie das AD FS-Setup abgeschlossen haben, wählen Sie Starten Sie das AD FS 2.0 Management-Snap-In Klicken Sie auf Beenden. Sobald dies abgeschlossen ist, sollte das Verwaltungsfenster für AD FS 2.0 sofort geöffnet werden. Ist dies nicht der Fall, können Sie es über Starten > Administrationstools > Verwaltung von AD FS 2.0. Dies ist die wichtigste AD FS-Kontrollanwendung.
-
Beginnen Sie mit der Auswahl des Assistenten für die Konfiguration des Verbandsservers AD FS 2.0.
Dadurch können Sie AD FS konfigurieren und über IIS und AD mit dem Internet verbinden. -
Wenn Sie einen neuen AD FS-Server konfigurieren, wählen Sie Erstellen eines neuen Föderierungsdienstes.
-
Auswählen Eigenständiger Föderationsserver (zu Test- und Bewertungszwecken).
-
Klicken Sie für hohe Verfügbarkeit und Lastenausgleich auf Neue Farm des Verbands-Servers .
-
Geben Sie den Namen Ihres Föderierungsdiensts an.
Standardmäßig ruft der Konfigurationsassistent das an die Standard-Website in IIS gebundene SSL-Zertifikat ab und verwendet den dort angegebenen Betreffnamen. Wenn Sie ein Platzhalterzertifikat verwenden, müssen Sie den Namen des Föderationsdiensts eingeben.
Wenn in IIS kein SSL-Zertifikat konfiguriert ist, sucht der Konfigurationsassistent im Zertifikatspeicher des lokalen Computers nach gültigen Zertifikaten. Diese werden in der Dropdown-Liste SSL-Zertifikat angezeigt. Wenn keine Zertifikate gefunden wurden, können Sie den Server Certificate Generator in IIS verwenden, um eines zu erstellen. -
Fahren Sie mit der Konfiguration fort und klicken Sie auf Schließen nach Abschluss des Vorgangs.
Konfiguration Workfront Proof Single Sign-on
Wenn Sie Workfront Proof Administrator können Sie Single Sign-On auf der Workfront Proof Seite. Weitere Informationen finden Sie unter Single Sign-on Workfront Proof.
-
Klicken Einstellungen > Kontoeinstellungen, und öffnen Sie dann die Single Sign-on Registerkarte.
-
Im SSO-URL Fügen Sie Ihre Entitäts-ID ein.
Im Folgenden finden Sie ein Beispiel für eine Entitäts-ID: http://<adfs.your-company.com>/adfs/services/trust Ihre Entitäts-ID finden Sie in Ihrer XML-Datei "Federation Metadata".
-
Federation-Metadaten finden Sie im Ordner AD FS 2.0-Snap-In > Dienst > Endpunkte . Suchen Sie im Abschnitt Metadaten den mit dem Metadatentyp "Federation". Fügen Sie diesen Endpunkt in Ihren Browser ein, um Metadaten anzuzeigen. Sie können auch direkt zu diesem Link wechseln: https://<adfs.your-company.com>/FederationMetadata/2007-06/FederationMetadata.xml , nachdem Sie die {adfs.your-company.com} durch Ihre eigenen Details ersetzt haben.
-
Im Anmelde-URL eintragen, fügen Sie Ihre SSO-Anmeldung ein.
-
Im Folgenden finden Sie ein Beispiel für eine SSO-Anmeldung:
-
http://<adfs.your-company.com>/adfs/ls.
-
Dieser Link befindet sich in der XML-Datei "Federation Metadata".
-
Im Abmelde-URL den Link eingeben und speichern.
Im Folgenden finden Sie ein Beispiel für eine Abmelde-URL: https://<adfs.your-company.com>/adfs/ls/?wa=wsignout1.0-
Wechseln Sie zu Ihrem AD FS Manager > Vertrauensbeziehungen > Vertrauenswürdige GruppenTrusts - Eigenschaften von ProofHQ.
-
Klicken Sie unter den Endpunkten auf Hinzufügen und Einstieg mit den folgenden Details:
- Endpunkttyp = SAML-Abmeldung
- Bindung = POST
- URL = https://<adfs.your-company.com span="" id="1" translate="no" />>/adfs/ls/?wa=wsignout1.0
- Dieser Schritt kann nach der Konfiguration des Vertrauenswürdigkeit der Partei (siehe unten) in Ihrem AD FS abgeschlossen werden.
-
Im Certificate fingerprint Geben Sie die Daten aus Ihrem Zertifikat ein.
-
Navigieren Sie zu Ihrem ADFS 2.0-Snap-In zu Dienst > Zertifikate > Token-Signatur.
-
Klicken Sie mit der rechten Maustaste auf diesen Eintrag, um das Zertifikat anzuzeigen.
-
Aus dem Zertifikatdetails Registerkarte kopieren Sie den Thumbprint und fügen Sie ihn in die Workfront Testversand-Single-Sign-On Konfigurationsregisterkarte.
-
Die Fingerabdruckzeichen können durch Doppelpunkte oder Leerzeichen getrennt werden. Es wird jedoch empfohlen, sie zu entfernen. Wenn Sie Probleme mit Ihrer Single-Sign-On-Konfiguration haben, wenden Sie sich an den Support.
-
Hinzufügen eines Vertrauenspartenvertrauens
Sobald die Konfiguration abgeschlossen ist, müssen Sie in Ihrem AD FS im Abschnitt "Vertrauende Partei - Trusts"arbeiten.
-
Navigieren Sie zu Vertrauensbeziehungen > Vertrauen in Partei Ordner und klicken Sie auf Vertrauenswürdigen Parteien-Trust hinzufügen um den Konfigurationsassistenten zu starten.
-
Wählen Sie Ihre Datenquelle aus.
Alle Metadaten für Ihre ProofHQ -Konto befindet sich unter einem Link wie diesem: https://<yoursubdomain*>
.proofhq.com/saml/module.php/saml/sp/metadata.php/phq Hiermit wird der Großteil des Vertrauens der vertrauenden Partei konfiguriert.note note NOTE - Wenn Sie Probleme bei der Herstellung der Verbindung über die URL haben, speichern Sie die Metadaten als Datei und wählen Sie den Import von Daten aus einer Datei aus.
- Wenn Sie eine vollständige benutzerdefinierte Domäne (z. B. www.your-proofing.com) für Ihre ProofHQ Ersetzen Sie das gesamte "{yoursubdomain}.proofhq.com"-Teil durch Ihre eigene Domäne, um Ihre ProofHQ Metadaten-Link.
Konfigurieren von Anforderungsregeln
Sobald die Konfiguration des Vertrauens der vertraulichen Partei abgeschlossen ist, können Sie die Schadensregeln konfigurieren, um die Einrichtung abzuschließen. Sie konfigurieren zwei Schadensregeln für ProofHQ: E-Mail und Name-ID.
-
Öffnen Sie die Anforderungsregeln bearbeiten Dialogfeld.
-
Navigieren Sie zu ProofHQ Relying Party Trust Klicken Sie auf Anforderungsregeln bearbeiten Absatz 1.
Das Popup-Fenster sollte automatisch geöffnet werden, wenn Sie diese Option am Ende der Vertrauenskonfiguration ausgewählt haben. -
Klicken Regel hinzufügen (2), um das Fenster zur Schadenskonfiguration zu öffnen.
- E-Mail (Senden von LDAP-Attributen als Schadensregelvorlage)
- NameID (Regelvorlage für eingehende Anforderung transformieren)