Benutzeranleitung
Nitro-Admin
Single-Sign-On (SSO)

Einrichtung der einmaligen Anmeldung für Active Directory-Verbunddienste (ADFS)

Single Sign-On (SSO) ermöglicht Ihren Benutzern den Zugriff auf die Produkte von Nitro, indem sie sich über Ihren Identitätsanbieter (IdP) authentifizieren. Nitro support SSO mit jedem SAML 2.0-konformen IdP.

Hinweis: Diese Funktion ist nur für Kunden mit Nitro-Productivity Suite Enterprise-Plan verfügbar.

Richten Sie eine ADFS-SAML-Verbindung ein

Erstellen Sie eine benutzerdefinierte SAML-Verbindung zu Active Directory Federation Services (ADFS) von Microsoft, um mehr Flexibilität bei der Konfiguration Ihrer Zuordnungen zu erhalten.

Um die benutzerdefinierte Verbindung zu erstellen, müssen Sie:

1 . Konfigurieren Sie ADFS. 

2. Erstellen Sie eine SAML-Verbindung, bei der Nitro als Dienstanbieter fungiert.

3 . Bearbeiten Sie die Vertrauensstellung der vertrauenden Seite in ADFS.

4 . Aktivieren und testen Sie Ihre Integration. 

Die folgenden Abschnitte führen Sie durch diesen Prozess.

Konfigurieren Sie ADFS

HINZUFÜGEN EINES RELYING PARTY TRUST

Ausführliche Informationen finden Sie unter Erstellen einer Vertrauensstellung der vertrauenden Seite.

1 . Starten Sie Ihre Instanz von ADFS und starten Sie den Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

2 . Wählen Sie auf der Willkommensseite Anspruchsbewusst aus und klicken Sie auf Starten.

3 . Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter .

4 . Geben Sie auf der Seite Anzeigenamen angeben einen aussagekräftigen Namen für Ihre vertrauende Seite und eine kurze Beschreibung unter Hinweise ein. Wenn Sie sich zu diesem Zeitpunkt bezüglich des Verbindungsnamens nicht sicher sind, können Sie den Verbindungsnamen später jederzeit bearbeiten. Klicken Sie auf Weiter .

5 . Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter . (Wir werden später auf die Konfiguration des Zertifikats zurückkommen.)

6. Aktivieren Sie auf der Seite "URL konfigurieren" das Feld für Support für das SAML-2.0-WebSSO-Protokoll aktivieren". Der Assistent fragt dann nach einer SAML-2.0-SSO-Dienst-URL der vertrauenden Seite. Geben Sie vorerst eine Platzhalter-URL an; wir werden später auf diesen Schritt zurückkommen. Klicken Sie auf Weiter.

7 . Geben Sie auf der Seite „Bezeichner konfigurieren“ an, dass die Vertrauenswürdigkeits-ID der vertrauenden Seite der Wert ist, den Sie als Anzeigenamen verwendet haben, als Sie mit der Verwendung des Assistenten begonnen haben. Klicken Sie auf Weiter .

8 . Wählen Sie auf der Seite „Zugriffssteuerungsrichtlinie auswählen“ die Option „Alle zulassen“ und klicken Sie auf „ Weiter “.

9 . Überprüfen Sie die Einstellungen, die Sie auf der Seite Ready to Add Trust angegeben haben, und klicken Sie auf Next, um Ihre Informationen zu speichern. Wenn Sie erfolgreich waren, sehen Sie eine Meldung auf der Seite „ Fertig stellen“.

10 . Stellen Sie sicher, dass das Kontrollkästchen Anspruchsausstellungsrichtlinie für diese Anwendung konfigurieren aktiviert ist, und klicken Sie auf Schließen .

BEARBEITEN SIE DIE RICHTLINIEN ZUR ERTEILUNG VON ANSPRÜCHEN

Nachdem Sie den Assistenten Vertrauensstellung der vertrauenden Seite hinzufügen geschlossen haben, wird das Fenster Anspruchsausstellungsrichtlinie bearbeiten angezeigt.

1 . Klicken Sie auf Regel hinzufügen , um den Assistenten zu starten.

2 . Wählen Sie LDAP-Attribute als Ansprüche senden für Ihre Anspruchsregelvorlage aus und klicken Sie auf Weiter .

3 . Geben Sie einen Wert für den Namen der Anspruchsregel an, z. B. „ LDAP-Attribute “ (es kann alles sein, was Sie wollen).

4 . Wählen Sie Active Directory als Attributspeicher aus.

5 . Ordnen Sie Ihre LDAP-Attribute den folgenden ausgehenden Anspruchstypen zu:

LDAP-Attribut | Ausgehende Forderung

E-Mail-Adressen | E-Mail-Addresse

Anzeigename | Name

Benutzerprinzipalname | Namens-ID

Vorname | Vorname

Nachname | Familien-oder Nachname

sAMAccountName | http://schemas.microsoft.com/identity/claims/employeeNumber

6 . Alle oben aufgeführten Ansprüche sollten hinzugefügt werden, und employeeNumber kann auf eine eindeutige ID festgelegt werden, die einen Benutzer darstellt .

7 . Sie können bei Bedarf zusätzliche Anspruchszuordnungen hinzufügen. Einzelheiten finden Sie unter Verbinden Ihrer Anwendung mit Microsoft ADFS .

8 . Klicken Sie auf Fertig stellen .

9 . Klicken Sie im Fenster Anspruchsausstellungsrichtlinie bearbeiten auf Anwenden . Sie können dieses Fenster jetzt verlassen.

EXPORTIEREN SIE DAS UNTERZEICHNUNGSZERTIFIKAT

Schließlich müssen Sie das Signaturzertifikat aus der ADFS-Konsole exportieren, um es auf Nitro hochzuladen.

1 . Navigieren Sie im linken Navigationsbereich zu ADFS > Dienst > Zertifikate . Wählen Sie das Tokensignaturzertifikat aus und klicken Sie mit der rechten Maustaste, um Zertifikat anzeigen auszuwählen.

2 . Klicken Sie auf der Registerkarte Details auf In Datei kopieren . Dadurch wird der Zertifikatsexport-Assistent gestartet. Klicken Sie auf Weiter .

3 . Wählen Sie Base- 64 -kodiertes X. 509 (.CER) als Format, das Sie verwenden möchten. Klicken Sie auf Weiter .

4 . Geben Sie den Speicherort an, an den das Zertifikat exportiert werden soll. Klicken Sie auf Weiter .

5 . Überprüfen Sie, ob die Einstellungen für Ihr Zertifikat korrekt sind, und klicken Sie auf Fertig stellen.

Konfigurieren Sie Single Sign-On in Nitro

1. Suchen Sie im Nitro Admin-Portal auf der Seite Unternehmenseinstellungen den Abschnitt Single Sign-On. Wählen Sie SAML-SSO einrichten.

2 . Fügen Sie die Anmelde-URL aus dem vorherigen Schritt in das Feld Anmelde-URL ein.

3 . Die Anmelde- und Abmelde-URLs haben normalerweise die Form https://your.adfs.server/adfs/ls

4 . Laden Sie das Zertifikat (Basis 64 ) aus dem vorherigen Schritt in das Feld X 509 Signing Certificate hoch.

5 . Wählen Sie Senden aus .

6 . Wählen Sie Einmalige Anmeldung aktivieren aus .

Bearbeiten Sie die Vertrauensstellung der vertrauenden Seite

1 . Navigieren Sie in der ADFS-Konsole im linken Navigationsbereich zu ADFS > Vertrauensstellungen der vertrauenden Seite. Wählen Sie die Vertrauensstellung der vertrauenden Seite aus, die Sie zuvor erstellt haben, und klicken Sie auf Eigenschaften (im rechten Navigationsbereich).

2 . Wählen Sie die Registerkarte Identifikatoren aus, und füllen Sie die Relying Party Identifier mit dem Entitäts-ID -Wert aus dem vorherigen Bildschirm aus. Achten Sie darauf, auf Hinzufügen zu klicken, um die Kennung zu Ihrer Liste hinzuzufügen.

3 . Wählen Sie die Registerkarte Endpunkte und die zuvor bereitgestellte Platzhalter-URL aus. Klicken Sie auf Bearbeiten .

4 . Füllen Sie die vertrauenswürdige URL mit dem ACS-URL-Wert von Nitro aus.

5 . Klicken Sie auf OK . Klicken Sie abschließend auf Übernehmen und verlassen Sie das Eigenschaftenfenster.

Aktivieren und testen Sie Ihre Integration

Stellen Sie vor dem Testen Ihrer Integration sicher, dass Sie die folgenden Schritte ausgeführt haben:

  • Erstellen Sie einen Benutzer auf dem IdP, mit dem Sie Ihre neue Verbindung testen können. 
  • Aktivieren Sie Single Sign-On in Nitro. 

Um Ihre Verbindung zu testen

1 . Navigieren Sie zu Verbindungen > Unternehmen > ADFS.

2 . Klicken Sie auf die ADFS-Zeile (oder das Hamburger-Symbol rechts), um eine Liste Ihrer ADFS-Verbindungen anzuzeigen.

3 . Wählen Sie diejenige aus, die Sie testen möchten, und klicken Sie auf die Wiedergabeschaltfläche, um die Verbindung zu testen.

Tags
Nitro-Admin