Single Sign-On

aktualisiert 14/9/22 von Alexander Bittner

Statt der integrierten dab:neXus-Anmeldung mit E-Mail-Adresse und Passwort, können Sie dab:neXus in eine bestehende Single Sign-On (SSO) Lösung einbinden (beispielsweise Azure Active Directory oder Active Directory Federation Services).

SSO mit Azure AD (AAD) konfigurieren

  1. Öffnen Sie das Azure Active Directory Menü im Azure Portal.
  2. Klicken Sie links auf "Unternehmensanwendungen".
  3. Klicken Sie auf "Neue Anwendung", anschließend auf "Eigene Anwendung erstellen".
  4. Geben Sie auf der rechten Seite einen Namen an (z.B. 'dab:neXus') und wählen Sie "Integrate any other application [...] (Non-gallery)".
  5. Klicken Sie links auf "Einmaliges Anmelden" und wählen Sie dann "SAML" als SSO-Methode.
  6. Klicken Sie im "Grundlegende SAML-Konfiguration"-Bereich auf "Bearbeiten".
  7. Geben Sie einen Bezeichner an (z.B. 'dab:neXus'), sowie eine Antowort-URL. Die Antwort-URL ist die Application URL der dab:neXus Installation, welche Sie in der Configuration.json Datei im DAB_NEXUS_HOME-Ordner finden, mit /sso/saml/acs am Ende.
  8. Laden Sie eines der Zertifikate aus dem "SAML-Signaturzertifikat"-Bereich herunter, and installieren Sie es in den Vertrauenswürdige Stammzertifizierungsstellen des Servers, auf dem dab:neXus läuft.
  9. Bearbeiten Sie dann die Configuration.json-Datei und fügen Sie folgende Zeilen hinzu.
      "AuthMode": "SAML",
    "SAML": {
    "Issuer": "dab:neXus",
    "IdentityProviderMetadataUrl": "https://login.microsoftonline.com/...",
    "IdentityProviderMetadataFile": "IdPMetadata.xml"
    }
    1. Ändern Sie den AuthMode auf SAML.
    2. Geben Sie den zuvor gewählten Bezeichner als Issuer im SAML-Bereich an.
    3. Geben Sie entweder die IdentityProviderMetadataUrl oder IdentityProviderMetadataFile an. Nur einer der beiden Werte wird benötigt.
      1. Wenn Sie die IdentityProviderMetadataUrl verwenden wollen (empfohlen), kopieren Sie die "App-Verbundmetadaten-URL" aus dem "SAML-Signaturzertifikat"-Bereich (siehe Schritt 8) und fügen Sie sie ein.
      2. Wenn Sie die IdentityProviderMetadataFile verwenden wollen, laden Sie die "Verbundmetadaten-XML" aus dem "SAML-Signaturzertifikat"-Bereich (siehe Schritt 8) herunter und kopieren Sie es in den DAB_NEXUS_HOME-Ordner. Geben Sie anschließend den Namen der Datei als IdentityProviderMetadataFile an.
  10. Starten Sie den dab:neXus-Dienst neu.

SSO mit Active Directory Federation Services (AD FS) konfigurieren

  1. Öffnen Sie das AD FS-Verwaltungstool, und navigieren Sie zu den "Vertrauenstellungen der vertrauenden Seite".
  2. Klicken Sie dann auf "Vertrauensstellung der vertrauenden Seite hinzufügen".
  3. Der "Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite" öffnet sich.
  4. Wählen Sie "Daten über die vertrauenden Seite manuell eingeben".
  5. Geben Sie einen beliebigen Anzeigenamen an, z.B. "dab:neXus".
    In den nachfolgenden Screenshots wird als Beispiel "ZeusDev" verwendet. Ersetzen Sie den Namen durch den von Ihnen gewählten Anzeigenamen, z.B. "dab:neXus".
  6. Wählen Sie das "AD FS-Profil". dab:neXus nutzt das SAML 2-Protokoll.
  7. Klicken Sie auf "Weiter", ohne das optionale Tokenverschlüsselungszertifikat zu konfigurieren.
  8. Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll und geben Sie die URL ein. Nutzen Sie als URL die Application URL der dab:neXus Installation, welche Sie in der Configuration.json Datei im DAB_NEXUS_HOME-Ordner finden, mit /sso/saml/acs am Ende.
  9. Geben Sie einen Bezeichner für die Vertrauensstellung der vertrauenden Seite an, z.B. "dab:neXus".
  10. Überspringen Sie die Einstellungen für die mehrstufige Authentifizierung.
  11. Konfigurieren Sie den Benutzerzugriff wie gewünscht.
  12. Überprüfen Sie die Einstellungen und klicken Sie auf "Weiter".
  13. Schließen Sie den Assistenten.
  14. Öffnen Sie, falls notwendig, den Dialog zum Bearbeiten der Anspruchsregeln, indem Sie auf den erstellten Eintrag rechtsklicken und "Anspruchsregeln bearbeiten" wählen.
  15. Navigeren Sie zum Reiter "Ausstellungstransformationsregeln" und klicken Sie auf "Regel hinzufügen".
  16. Wählen Sie im Asisstenten zum Hinzufügen einer Transformationsregel die Option "LDAP-Attribute als Ansprüche senden".
  17. Vergeben Sie einen beliebigen Anspruchsregelnamen und wählen Sie als LDAP-Attribut "E-Mail-Addresses" aus und weisen Sie es dem ausgehenden Anspruchstyp "E-Mail-Adresse" zu. Speichern Sie anschließend die Transformationensanspruchsregel.
  18. Bearbeiten Sie dann die Configuration.json-Datei und fügen Sie folgende Zeilen hinzu.
      "AuthMode": "SAML",
    "SAML": {
    "Issuer": "dab:neXus",
    "IdentityProviderMetadataUrl": "https://my-dc.mycompany.com/...",
    "IdentityProviderMetadataFile": "FederationMetadata.xml"
    }
    1. Ändern Sie den AuthMode auf SAML.
    2. Geben Sie den zuvor gewählten Bezeichner (aus Schritt 9) als Issuer im SAML-Bereich an.
    3. Geben Sie entweder die IdentityProviderMetadataUrl oder IdentityProviderMetadataFile an. Nur einer der beiden Werte wird benötigt.
      Navigieren Sie zunächst im AD FS-Verwaltungstool zu Dienst/Endpunkte. Gegen Ende der Liste finden Sie eine URL für die FederationMetadata.xml.
      Hängen Sie die angezeigte URL an den Hostnamen ihres AD FS-Servers an, . z.B:
      my-dc.mycompany.com/FederationMetadata/2007-06/FederationMetadata.xml.
      Sie können die URL überprüfen, indem Sie sie in eine Browser eingeben. Damit haben Sie dann die Möglichkeit, die XML-Datei herunterzuladen.
      1. Wenn Sie die IdentityProviderMetadataUrl verwenden wollen (empfohlen), geben Sie diese URL als IdentityProviderMetadataUrl an.
      2. Wenn Sie die IdentityProviderMetadataFile verwenden wollen, laden Sie die XML-Datei mit Ihrem Browser herunter und kopieren Sie sie in den DAB_NEXUS_HOME-Ordner. Geben Sie anschließend den Namen der Datei als IdentityProviderMetadataFile an.
  19. Navigieren Sie zu Dienst/Zertifikate und kopieren Sie das Zertifikat in eine Datei, indem Sie das Zertifikat auswählen und "Zertifikat anzeigen" wählen.
    Installieren Sie es dann in den Vertrauenwürden Stammzertifizierungsstellen des Servers, auf dem dab:neXus läuft.
  20. Starten Sie den dab:neXus-Dienst neu.


Wie haben wir das gemacht?


Powered by HelpDocs (opens in a new tab)

Powered by HelpDocs (opens in a new tab)