AD FS-Konfiguration

Lesen Sie, wie Sie Ihr Serviceware Authenticator-System mit AD FS verbinden.

Active Directory Federation Services (AD FS) erlaubt Benutzern von Windows Server basierten Betriebssystemen den systemübergreifenden Single Sign-On-Zugang zu Ihren Anwendungen.
Führen Sie die folgenden Schritte aus, um Ihr AD FS mit dem Serviceware Authenticator zu verbinden.
Tipp: Wenn Sie die Konfiguration auf Basis eines privaten exportierbaren Zertifikats ausführen möchten, lesen Sie zusätzlich den Abschnitt AD FS-Konfiguration: Einfügen eines kundenspezifischen Zertifikats in den Keystore.
  1. Erstellen Sie einen neuen SAML Identitätsanbieter innerhalb Ihres Anmeldebereiches.
    1. Laden Sie die Federation Metadata Ihres AD FS-Servers über folgende URL: https://[servername]/FederationMetadata/2007-06/FederationMetadata.xml.
    2. Öffnen Sie Identity Providers > Add Provider > SAML Vx.x > Import external IDP Config > Import from file.
      Screenshot: Auswahl des Identitätsanbieters und Importieren der Einstellungen aus AD FS
    3. Importieren Sie die Datei FederationMetadata.xml die Sie aus AD FS geladen haben über Import.
    4. Speichern Sie die Eingabe über Save.
  2. Ändern Sie die folgenden Werte:
    1. Want AuthnRequests Signed: On
    2. Want Assertions Signed: On
    3. SAML Signature Key Name: CERT_SUBJECT
    4. Validate Signature: On
  3. Wählen Sie Save.
  4. Wählen Sie die Registerkarte Mappers.
    Screenshot:
  5. Erzeugen Sie einen neuen Mapper mit den folgenden Attributen:
    • Name: last_name
    • Mapper Type: Attribute Importer
    • Attribute Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    • User Attribute Name: lastName
  6. Erzeugen Sie einen neuen Mapper mit den folgenden Attributen:
    • Name: first_name
    • Mapper Type: Attribute Importer
    • Attribute Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • User Attribute Name: firstName
  7. Erzeugen Sie einen neuen Mapper mit den folgenden Attributen:
    • Name: email
    • Mapper Type: Attribute Importer
    • Attribute Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • User Attribute Name: email
  8. Erzeugen Sie einen neuen Mapper mit zur Verarbeitung von Telefonnummern mit den folgenden Attributen:
    • Name: phone_number
    • Mapper Type: Attribute Importer
    • Attribute Name: phonenumber
    • User Attribute Name: phoneNumber
  9. Wenn Sie ein privates Zertifikat in den Keystore einfügen möchten, führen Sie zuerst die unter AD FS-Konfiguration beschriebenen Schritte aus.
  10. Wechseln Sie zu Identity Providers > SAML > Export.
    Screenshot: Download der SAML-Konfiguration
    1. Wählen Sie Download.
    2. Kopieren Sie die Datei in Ihre AD FS-Umgebung zur späteren Verwendung.
  11. Öffnen Sie die Bedienoberfläche von AD FS.
    Screenshot: Öffnen der Bedienoberfläche von AD FS; Relying Party Trust Wizzard
    1. Wechseln Sie zu Relying Party Trust.
    2. Fügen Sie einen neuen Claims aware Relying Party Trust hinzu.
    3. Importieren Sie die Metadaten aus der heruntergeladenen Datei.
    4. Geben Sie der Datei einen sinnvollen Namen.
    5. Deaktivieren Sie die Auswahlbox auf der letzten Seite.
    6. Beenden Sie den Wizard ohne weitere Änderungen.
  12. Öffnen Sie Windows PowerShell als Administrator.
    Screenshot: Ausführung des PowerShellScripts mit dem Anzeigenamen als Parameter
    1. Führen Sie das PowerShell Script ServicewareAuthenticatorRelyingPartyTrust.ps1 mit dem Anzeigenamen als Parameter aus.
      Die Verbindung zwischen AD FS und dem Serviceware Authenticator ist hergestellt.
  13. Testen Sie die Anmeldung über AD FS in Serviceware Processes.
    Screenshot: Anmelden am System
    1. Öffnen Sie den Serviceware Processes Webclient über https://[Servername/ServicewareProcesses/.
    2. Wählen Sie Single Sign-on.
    3. Wählen Sie SAML (oder den von Ihnen definierten Namen).
    4. Geben Sie Ihre Anmeldedaten ein.
Die Anmeldung ist erfolgt.
Anmerkung: Legen Sie für jeden Benutzer einen neuen SSO-Login zu einem bestehenden helpLine-Account im ClassicDesk an. Informationen dazu erhalten Sie im Abschnitt Lokale Serviceware Authenticator Benutzer für Processes anlegen.

AD FS-Konfiguration: Einfügen eines kundenspezifischen Zertifikats in den Keystore

Wenn Sie die AD FS-Konfiguration mit einem privaten Zertifikat ausführen wollen, führen Sie die folgenden Schritte nach Schritt 9 der Anleitung aus.

  1. Kopieren Sie das Zertifikat mit dem exportierbaren privaten Schlüssel (PFX oder P12) in den Ordner C:\Serviceware\Common\Keystore.
  2. Öffnen Sie eine Kommandozeile als Administrator.
  3. Wechseln Sie in den Ordner C:\Serviceware\Common\Keystore.
  4. Führen Sie das folgende Kommando aus, passen Sie dabei die Namen von Storepass, Keypass und Store Ihres Zertifikats an: 
    keytool -importkeystore -[deststorepass] -[destkeypass] -[destkeystore]
-[srckeystore] -srcstoretype PKCS12 -[srcstorepass]
    Destorepass
    Erstellen Sie ein Passwort für den Ziel-Keystore.
    Destkeypass
    Geben Sie das Passwort für den Ziel-Keystore ein.
    Destkeystore
    Geben Sie den Namen für den Ziel-Keystore an.
    Beispiel: serviceware
    Srckeystore
    Geben Sie das PFX- oder P12-Zertifikat an.
    Beispiel: serviceware.pfx
    Srctorepass
    Geben Sie das Passwort für den privaten Schlüssel an.
    Beispiel: keypass
    Example:
    C:Serviceware\Common\Keystore>keytool -importkeystore -deststorepass serviceware -destkeypass serviceware 
-destkeystore serviceware.keystore -srckeystore serviceware.pfx -srcstoretype PKCS12 -srcstorepass keypass
  5. Kopieren Sie den Alias aus dem Keystore. Kopieren Sie den Aliasnamen vollständig, mit den geschweiften Klammern. Sehen Sie dazu den Keystore über das folgende Kommando ein: 
    C:\Serviceware\Common\Keystore>keytool -list -v -[keystore]
    Den Alias-Wert finden Sie im Kopf des Keystores.
    Screenshot: Alias-Wert aus dem Kopf des Keystores kopieren

  6. Öffnen Sie den Serviceware Authenticator als Administrator.
  7. Wechseln Sie in Ihrem Realm inRealm Settings > Keys > Providers.
  8. Wählen Sie im Drop-down-Menü Add keystore den java-keystore.
    Screenshot: Keystore und Java-Keystore wählen
  9. Ändern Sie die folgenden Parameter:
    Screenshot: Parameter für den Provider
    Priority
    100
    Keystore
    Vollständiger Pfad zum Keystore.
    Keystore Password
    Passwort des Keystores
    Key Alias
    Alias aus dem Keystore (siehe Schritt 4)
    Key Password
    Passwort für den privaten Schlüssel
  10. Entfernen Sie im Menü Providers den bestehenden Provider rsa-generated.
  11. Schließen sie den Serviceware Authenticator
  12. Starten Sie den Authenticator-Dienst neu.
    Wichtig: Erstellen Sie bei Ablauf des Zertifikates ein neues signiertes Zertifikat mit verlängerter Gültigkeit für den bestehenden privaten Schlüssel. So vermeiden Sie die Erstellung eines neuen Identitätsanbieters und die damit verbundene erneute Anbindung aller Benutzer.