Einzelanmeldung mit AD FS konfigurieren

In diesen Anweisungen wird angenommen, dass Sie das Identity-Framework Microsoft Active Directory Federated Service (AD FS) 2.0 verwenden. Wenn Sie eine spätere Version verwenden, achten Sie darauf, dass Intranet-Formularauthentifizierung aktiviert ist (Authentifizierungsrichtlinien > Primärauthentifizierung > Intranet-Formularauthentifizierung).

AD FS konfigurieren

  1. Melden Sie sich bei Ihrer AD FS-Verwaltungskonsole an.
  2. Wählen Sie im linken Navigationsbereich Vertrauende Seite aus. Klicken Sie im rechten Navigationsbereich auf Vertrauende Seite hinzufügen.
  3. Klicken Sie auf Start.
  4. Wählen Sie unter Datenquelle auswählen die Option „Daten über die vertrauende Seite manuell eingeben“ aus.
  5. Geben Sie unter „Anzeigename angeben“ einen Namen (z. B. Lifesize Cloud) für die vertrauende Seite ein, die Sie erstellen (sowie etwaige Notizen).
  6. Wählen Sie AD FS 2.0-Profil aus.
  7. Navigieren Sie zu „Service > Zertifikate“.
  8. Klicken Sie mit der rechten Maustaste auf „Tokensignaturzertifikat“, um die Option „Eigenschaften“ aufzurufen. Exportieren Sie das Zerifikat über die Leiste „Details“ als Base64-kodiertes Zerifikat.
  9. Öffnen Sie das Base64-kodierte Zertifikat in einem Textbearbeitungsprogramm, kopieren Sie den Inhalt und fügen Sie ihn im Admin-Bereich unter „X.509-Zerifitkat“ ein. Dabei ist es wichtig, auch die Abschnitte -Begin- und -End- einzufügen.
  10. Kopieren Sie das Lifesize X.509-Sicherheitszertifikat und speichern Sie es in einer Datei namens lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. Navigieren Sie unter „AD FS > Zertifikat konfigurieren“ mithilfe der Schaltfläche Durchsuchen zum Zertifikat und laden Sie es hoch. Klicken Sie dann auf Weiter.
  12. Wählen Sie unter „URL konfigurieren“ die Option Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren aus und geben Sie folgende URL ein:

    https://login.lifesizecloud.com/ls/?acs

  13. Geben Sie unter „Bezeichner konfigurieren“ folgende URL unter Bezeichner vertrauende Seite ein und achten Sie darauf, dass /: enthalten ist

    https://login.lifesizecloud.com/ls/metadata/

  14. Klicken Sie auf Hinzufügen, um den Bezeichner in der Anzeigeliste zu verschieben. Klicken Sie dann auf Weiter.
  15. Wählen Sie unter „Ausgabeautorisierungsregeln wählen“ die Option Allen Benutzern Zugriff auf diese vertrauende Seite geben aus. Klicken Sie dann auf Weiter.
  16. Überprüfen Sie die Einstellungen unter „Bereit, vertrauende Seite hinzuzufügen“ und klicken Sie dann auf Weiter, um die vertrauende Seite der AD FS Konfigurationsdatenbank hinzuzufügen.

Sie haben eine vertrauende Seite erstellt und definiert. Erstellen Sie als nächstes eine Anspruchsregel, die bestimmt, wie diese vertrauende Seite mit Active Directory kommuniziert.

 

Anspruchsregeln hinzufügen

  1. Wird das Fenster Anspruchsregeln bearbeiten nicht geöffnet, klicken Sie mit der rechten Maustaste auf die von Ihnen erstellte vertrauende Seite (Vertrauensbeziehungen > Vertrauende Seite) und wählen Sie Anspruchsregeln bearbeiten aus.
  2. Wählen Sie die Registerkarte Ausgabeveränderungsregeln aus und klicken Sie dann auf Regel hinzufügen.
  3. Wählen Sie in „Regelvorlage auswählen“ im Dropdown-Menü für die Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus. Klicken Sie dann auf Weiter.
  4. Geben Sie der Anspruchsregel unter „Regel konfigurieren“ einen Namen, der ihren Zweck beschreibt (z. B. E-Mail-Attribute von AD abrufen.)
  5. Wählen Sie im Attributspeicher-Dropdown-Menü die Option Active Directory aus.
  6. Ordnen Sie Ihre lokalen LDAP-Attribute den passenden Werten fürAusgehende Anspruchstypen zu. Attributnamen oder -kommentare (VornameNachname, E-Mail-Adresse) müssen mit denen in Lifesize Cloud übereinstimmen.
  7. Klicken Sie auf Fertigstellen.
  8. Wählen Sie unter „Anspruchsregeln bearbeiten“ die Registerkarte Ausgabeveränderungsregeln aus und klicken Sie dann auf Regel hinzufügen.
  9. Wählen Sie unter „Regelvorlage auswählen“ die Option Ansprüche über benutzerdefinierte Regel sendenaus. Klicken Sie dann auf Weiter.
  10. Weisen Sie einen Namen zu und geben Sie dann folgende Definition in das Feld Benutzerdefinierte Regel ein:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Klicken Sie auf Beendenund dann auf OK oder Übernehmen, um die Regel zu speichern.
  12. Wählen Sie im AD FS-Hauptfenster im linken Navigationsmenü die Option Vertrauende Seiten aus.
  13. Klicken Sie mit der rechten Maustaste auf die Vertrauende Seite, die Sie gerade hinzugefügt haben, und wählen Sie Eigenschaften aus.
  14. Wählen Sie die Registerkarte Signatur aus und klicken Sie auf Hinzufügen...
  15. Wählen Sie die lifesize.crt-Zertifikatdatei aus, die Sie zuvor gespeichert haben, und laden Sie sie auf AD FS hoch.
  16. Wählen Sie die Registerkarte Erweitert aus und setzen Sie die Option Sicherer Hash-Algorithmus auf „SHA-1“.
  17. Klicken Sie abschließend auf OK.

SSO in Lifesize Cloud konfigurieren, testen und aktivieren

Durch das Einrichten von AD FS auf Ihrem Windows-Server wird hier automatisch eine XML-basierte Metadatendatei erstellt:

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

Diese Metadaten werden zwischen AD FS und Lifesize Cloud ausgetauscht, wenn ein Benutzer authentifiziert wird, und bilden die Grundlage für eine vertrauende Seite.

Navigieren Sie als Erstes zur Datei FederationMetadata.xml auf Ihrem Windows-Server. Öffnen Sie sie mit einem Standard-Texteditor.

  1. Melden Sie sich bei der Lifesize Cloud-Webkonsole an.
  2. Klicken Sie auf Ihren Profilnamen und wählen Sie Erweiterte Einstellungen aus.
  3. Navigieren Sie zu SSO-Integration > SSO-Konfiguration und vervollständigen Sie diese Felder anhand des Inhalts Ihrer AD FS-Metadatendatei:
    • Probleme mit dem Anbieter identifizieren: Kopieren Sie das Attribut <entityID> in Ihrer Metadatendatei und fügen Sie die URL in dieses Feld ein.
      Beispiel: Ihr Attribut <entityID> sieht folgendermaßen aus:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Die Eingabe für dieses Feld lautet dann:

      http://your_domain/adfs/services/trust

    • Login-URL: Kopieren Sie das Attribut <SingleSignOnService Location> in Ihrer Metadatendatei und fügen Sie die URL in dieses Feld ein.
      Beispiel: Ihr Attribut <SingleSignOnService Location> sieht so aus:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Die Eingabe für dieses Feld lautet dann:

      https://your_domain/adfs/ls

    • Zertifikat: Kopieren Sie das X.509-Sicherheitszertifikat aus der Definition <Signatur> in der Metadatendatei und fügen Sie es dann in dieses Feld ein.

    HINWEIS: Verwenden Sie nicht das in der Definition <KeyDescriptor> enthaltene Zertifikat.

  4.  Geben Sie unter SAML-Attributzuordnung die URI-Werte aus Ihrer Metadatendatei für die folgenden Zuordnungsattribute ein:
    • Vorname: Angenommen, Ihre Metadatendatei enthält einen Anspruchstyp, der den Vornamen so beschreibt:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      Die Eingabe für das Feld Vorname lautet dann:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Nachname:Gehen Sie auf die oben beschriebene Weise vor, um das Nachname-Attribut zu lokalisieren. In diesem Beispiel lautet Ihre Eingabe:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-Mail-Adresse: Gehen Sie für das E-Mail-Adresse-Attribut auf die gleiche Weise vor. In diesem Beispiel lautet Ihre Eingabe:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Klicken Sie auf Testen, um Ihre Einstellungen für den AD FS-Identitätsanbieter-Server zu überprüfen.
  6. Wenn der Test erfolgreich abgeschlossen wurde, wählen SieSSO aktivierenaus und klicken Sie auf Aktualisieren.
  7. Klicken Sie auf Speichern.