In diesen Anweisungen wird angenommen, dass Sie das Identity-Framework Microsoft Active Directory Federated Service (AD FS) 2.0 verwenden. Wenn Sie eine spätere Version verwenden, achten Sie darauf, dass Intranet-Formularauthentifizierung aktiviert ist (Authentifizierungsrichtlinien > Primärauthentifizierung > Intranet-Formularauthentifizierung).
AD FS konfigurieren
- Melden Sie sich bei Ihrer AD FS-Verwaltungskonsole an.
- Wählen Sie im linken Navigationsbereich Vertrauensstellung der vertrauenden Seite aus. Klicken Sie im rechten Navigationsbereich auf Vertrauensstellung der vertrauenden Seite hinzufügen.
- Klicken Sie auf Start.
- Wählen Sie unter „Datenquelle auswählen“ die Option Daten über die vertrauende Seite manuell eingeben aus.
- Geben Sie unter „Anzeigename angeben“ einen Namen (z. B. Lifesize Cloud) für die vertrauende Seite ein, die Sie erstellen (sowie etwaige Notizen).
- Wählen Sie AD FS 2.0-Profil aus.
- Navigieren Sie zu Service > Zertifikate.
- Klicken Sie mit der rechten Maustaste auf Tokensignaturzertifikat, um die Option „Eigenschaften“ aufzurufen. Exportieren Sie das Zertifikat über die Leiste „Details“ als Base64-kodiertes Zertifikat.
- Öffnen Sie das Base64-kodierte Zertifikat in einem Textbearbeitungsprogramm, kopieren Sie den Inhalt und fügen Sie ihn im Admin-Bereich unter „X.509-Zerifitkat“ ein. Dabei ist es wichtig, auch die Abschnitte -Begin- und -End- einzufügen.
- Kopieren Sie das Lifesize X.509-Sicherheitszertifikat und speichern Sie es als Datei unter dem Titel
lifesize.crt
.
-----BEGIN CERTIFICATE-----
MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
vWjt
-----END CERTIFICATE-----
- Navigieren Sie unter AD FS > Zertifikat konfigurieren mithilfe der Schaltfläche Durchsuchen zum Zertifikat und laden Sie es hoch. Klicken Sie dann auf Weiter.
- Wählen Sie unter „URL konfigurieren“ die Option Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren aus und geben Sie folgende URL ein:
https://login.lifesizecloud.com/ls/?acs
- Geben Sie unter „Bezeichner konfigurieren“ folgende URL unter Bezeichner der Vertrauensstellung der vertrauenden Seite ein und achten Sie darauf, dass /: enthalten ist
https://login.lifesizecloud.com/ls/metadata/
- Klicken Sie auf Hinzufügen, um den Bezeichner in der Anzeigeliste zu verschieben. Klicken Sie dann auf Weiter.
- Wählen Sie unter „Ausgabeautorisierungsregeln wählen“ die Option Allen Benutzern Zugriff auf diese vertrauende Seite geben aus. Klicken Sie dann auf Weiter.
- Überprüfen Sie die Einstellungen unter „Bereit, vertrauende Seite hinzuzufügen“ und klicken Sie dann auf Weiter, um die vertrauende Seite der AD FS-Konfigurationsdatenbank hinzuzufügen.
Sie haben eine vertrauende Seite erstellt und definiert. Erstellen Sie als Nächstes eine Anspruchsregel, die bestimmt, wie diese vertrauende Seite mit Active Directory kommuniziert.
Anspruchsregeln hinzufügen
- Wird das Fenster Anspruchsregeln bearbeiten nicht geöffnet, klicken Sie mit der rechten Maustaste auf die von Ihnen erstellte vertrauende Seite (Vertrauensbeziehungen > Vertrauensstellung der vertrauenden Seite) und wählen Sie Anspruchsregeln bearbeiten aus.
- Wählen Sie die Registerkarte Ausgabeveränderungsregeln aus und klicken Sie dann auf Regel hinzufügen.
- Wählen Sie unter „Regelvorlage auswählen“ im Dropdown-Menü für die Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus. Klicken Sie dann auf Weiter.
- Geben Sie der Anspruchsregel unter „Regel konfigurieren“ einen Namen, der ihren Zweck beschreibt (z. B. E-Mail-Attribute von AD abrufen.)
- Wählen Sie im Attributspeicher-Dropdown-Menü die Option Active Directory aus.
- Ordnen Sie Ihre lokalen LDAP-Attribute den passenden Werten für Ausgehende Anspruchstypen zu. Attributnamen oder -kommentare (Vorname, Nachname, E-Mail-Adresse) müssen mit denen in Lifesize Cloud übereinstimmen.
- Klicken Sie auf Fertigstellen.
- Wählen Sie unter „Anspruchsregeln bearbeiten“ die Registerkarte Ausgabeveränderungsregeln aus und klicken Sie dann auf Regel hinzufügen.
- Wählen Sie unter „Regelvorlage auswählen“ die Option Ansprüche über benutzerdefinierte Regel senden aus. Klicken Sie dann auf Weiter.
- Weisen Sie einen Namen zu und geben Sie dann folgende Definition in das Feld Benutzerdefinierte Regel ein:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
= "https://login.lifesizecloud.com/ls/metadata/");
- Klicken Sie auf Abschließen und dann auf OK oder Übernehmen, um die Regel zu speichern.
- Wählen Sie im AD FS-Hauptfenster im linken Navigationsmenü die Option Vertrauensstellung der vertrauenden Seiten aus.
- Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, die Sie gerade hinzugefügt haben, und wählen Sie Eigenschaften aus.
- Wählen Sie die Registerkarte Signatur aus und klicken Sie auf Hinzufügen ….
- Wählen Sie die
lifesize.crt
-Zertifikatdatei aus, die Sie zuvor gespeichert haben, und laden Sie sie auf AD FS hoch.
- Wählen Sie die Registerkarte Erweitert aus und setzen Sie die Option Sicherer Hash-Algorithmus auf „SHA-1“.
- Klicken Sie abschließend auf OK.
Konfiguration, Testen und Aktivieren von Single Sign-on (Einzelanmeldung) in der Lifesize-App
Durch das Einrichten von AD FS auf Ihrem Windows-Server wird hier automatisch eine XML-basierte Metadatendatei erstellt:
https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml
Diese Metadaten werden zwischen AD FS und der Lifesize-App ausgetauscht, wenn ein Benutzer authentifiziert wird, und bilden die Grundlage für eine vertrauende Seite.
Navigieren Sie als Erstes zur Datei FederationMetadata.xml
auf Ihrem Windows-Server. Öffnen Sie sie mit einem beliebigen Standard-Texteditor.
- Melden Sie sich bei der Lifesize-Administratorkonsole an.
- Klicken Sie auf Ihren Profilnamen und wählen Sie Erweiterte Einstellungen aus.
- Navigieren Sie zu SSO-Integration > SSO-Konfiguration und vervollständigen Sie diese Felder anhand des Inhalts Ihrer AD FS-Metadatendatei:
- Aussteller des Identitätsanbieters: Kopieren Sie das Attribut
<entityID>
in Ihrer Metadatendatei und fügen Sie die URL in dieses Feld ein.
Beispiel: Ihr Attribut <entityID>
sieht folgendermaßen aus:
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="http://your_domain/adfs/services/
trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">
Die Eingabe für dieses Feld lautet dann:
http://your_domain/adfs/services/trust
- Login-URL: Kopieren Sie das Attribut
<SingleSignOnService Location>
in Ihrer Metadatendatei und fügen Sie die URL in dieses Feld ein.
Beispiel: Ihr Attribut <SingleSignOnService Location>
sieht so aus:
<SingleSignOnService Location="https://your_domain/adfs/ls/"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
Die Eingabe für dieses Feld lautet dann:
https://your_domain/adfs/ls
- Zertifikat: Kopieren Sie das X.509-Sicherheitszertifikat aus der Definition
<Signatur>
in der Metadatendatei und fügen Sie es dann in dieses Feld ein.
HINWEIS: Verwenden Sie nicht das in der Definition <KeyDescriptor>
enthaltene Zertifikat.
- Geben Sie unter SAML-Attributzuordnung die URI-Werte aus Ihrer Metadatendatei für die folgenden Zuordnungsattribute ein:
- Vorname: Angenommen, Ihre Metadatendatei enthält einen Anspruchstyp, der den Vornamen so beschreibt:
<auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>
Die Eingabe für das Feld Vorname lautet dann:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Nachname:Gehen Sie auf die oben beschriebene Weise vor, um das Nachname-Attribut zu lokalisieren. In diesem Beispiel lautet Ihre Eingabe:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- E-Mail-Adresse: Gehen Sie für das E-Mail-Adresse-Attribut auf die gleiche Weise vor. In diesem Beispiel lautet Ihre Eingabe:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Klicken Sie auf Testen, um Ihre Einstellungen für den AD FS-Identitätsanbieter-Server zu überprüfen.
- Wenn der Test erfolgreich abgeschlossen wurde, wählen Sie SSO aktivieren aus und klicken Sie anschließend auf Aktualisieren.
- Klicken Sie auf Speichern.