AD FS-Konfiguration
Lesen Sie, wie Sie Ihr Serviceware Authenticator-System mit AD FS verbinden.
Führen Sie die folgenden Schritte aus, um Ihr AD FS mit dem
Serviceware Authenticator zu verbinden.
Tipp: Wenn Sie die Konfiguration auf Basis eines privaten exportierbaren Zertifikats
ausführen möchten, lesen Sie zusätzlich den Abschnitt AD FS-Konfiguration: Einfügen eines kundenspezifischen Zertifikats in den Keystore.
-
Erstellen Sie einen neuen SAML Identitätsanbieter innerhalb Ihres
Anmeldebereiches.
- Laden Sie die Federation Metadata Ihres AD FS-Servers über folgende URL: https://[servername]/FederationMetadata/2007-06/FederationMetadata.xml.
-
Öffnen Sie
. - Importieren Sie die Datei FederationMetadata.xml die Sie aus AD FS geladen haben über Import.
- Speichern Sie die Eingabe über Save.
-
Ändern Sie die folgenden Werte:
- Want AuthnRequests Signed: On
- Want Assertions Signed: On
- SAML Signature Key Name: CERT_SUBJECT
- Validate Signature: On
- Wählen Sie Save.
-
Wählen Sie die Registerkarte Mappers.
-
Erzeugen Sie einen neuen Mapper mit den folgenden Attributen:
- Name: last_name
- Mapper Type: Attribute Importer
- Attribute Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- User Attribute Name: lastName
-
Erzeugen Sie einen neuen Mapper mit den folgenden Attributen:
- Name: first_name
- Mapper Type: Attribute Importer
- Attribute Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- User Attribute Name: firstName
-
Erzeugen Sie einen neuen Mapper mit den folgenden Attributen:
- Name: email
- Mapper Type: Attribute Importer
- Attribute Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- User Attribute Name: email
-
Erzeugen Sie einen neuen Mapper mit zur Verarbeitung von Telefonnummern mit den
folgenden Attributen:
- Name: phone_number
- Mapper Type: Attribute Importer
- Attribute Name: phonenumber
- User Attribute Name: phoneNumber
- Wenn Sie ein privates Zertifikat in den Keystore einfügen möchten, führen Sie zuerst die unter AD FS-Konfiguration beschriebenen Schritte aus.
-
Wechseln Sie zu
.- Wählen Sie Download.
- Kopieren Sie die Datei in Ihre AD FS-Umgebung zur späteren Verwendung.
-
Öffnen Sie die Bedienoberfläche von AD FS.
- Wechseln Sie zu Relying Party Trust.
- Fügen Sie einen neuen Claims aware Relying Party Trust hinzu.
- Importieren Sie die Metadaten aus der heruntergeladenen Datei.
- Geben Sie der Datei einen sinnvollen Namen.
- Deaktivieren Sie die Auswahlbox auf der letzten Seite.
- Beenden Sie den Wizard ohne weitere Änderungen.
-
Öffnen Sie Windows PowerShell als Administrator.
-
Testen Sie die Anmeldung über AD FS in Serviceware Processes.
- Öffnen Sie den Serviceware Processes Webclient über https://[Servername/ServicewareProcesses/.
- Wählen Sie Single Sign-on.
- Wählen Sie SAML (oder den von Ihnen definierten Namen).
- Geben Sie Ihre Anmeldedaten ein.
Anmerkung: Legen Sie für jeden Benutzer einen neuen
SSO-Login zu einem bestehenden helpLine-Account im ClassicDesk an. Informationen dazu erhalten Sie im Abschnitt
Lokale Serviceware Authenticator Benutzer für Processes anlegen.
AD FS-Konfiguration: Einfügen eines kundenspezifischen Zertifikats in den Keystore
Wenn Sie die AD FS-Konfiguration mit einem privaten Zertifikat ausführen wollen, führen Sie die folgenden Schritte nach Schritt 9 der Anleitung aus.
- Kopieren Sie das Zertifikat mit dem exportierbaren privaten Schlüssel (PFX oder P12) in den Ordner C:\Serviceware\Common\Keystore.
- Öffnen Sie eine Kommandozeile als Administrator.
- Wechseln Sie in den Ordner C:\Serviceware\Common\Keystore.
-
Führen Sie das folgende Kommando aus, passen Sie dabei die Namen von
Storepass, Keypass und Store Ihres Zertifikats an:
keytool -importkeystore -[deststorepass] -[destkeypass] -[destkeystore] -[srckeystore] -srcstoretype PKCS12 -[srcstorepass]
- Destorepass
- Erstellen Sie ein Passwort für den Ziel-Keystore.
- Destkeypass
- Geben Sie das Passwort für den Ziel-Keystore ein.
- Destkeystore
- Geben Sie den Namen für den Ziel-Keystore an.
- Srckeystore
- Geben Sie das PFX- oder P12-Zertifikat an.
- Srctorepass
- Geben Sie das Passwort für den privaten Schlüssel an.
Example:C:Serviceware\Common\Keystore>keytool -importkeystore -deststorepass serviceware -destkeypass serviceware -destkeystore serviceware.keystore -srckeystore serviceware.pfx -srcstoretype PKCS12 -srcstorepass keypass
-
Kopieren Sie den Alias aus dem Keystore. Kopieren Sie den Aliasnamen
vollständig, mit den geschweiften Klammern. Sehen Sie dazu den Keystore über
das folgende Kommando ein:
C:\Serviceware\Common\Keystore>keytool -list -v -[keystore]
Den Alias-Wert finden Sie im Kopf des Keystores. - Öffnen Sie den Serviceware Authenticator als Administrator.
- Wechseln Sie in Ihrem Realm in .
-
Wählen Sie im Drop-down-Menü Add keystore den
java-keystore.
-
Ändern Sie die folgenden Parameter:
- Priority
- 100
- Keystore
- Vollständiger Pfad zum Keystore.
- Keystore Password
- Passwort des Keystores
- Key Alias
- Alias aus dem Keystore (siehe Schritt 4)
- Key Password
- Passwort für den privaten Schlüssel
- Entfernen Sie im Menü Providers den bestehenden Provider rsa-generated.
- Schließen sie den Serviceware Authenticator
-
Starten Sie den Authenticator-Dienst neu.
Wichtig: Erstellen Sie bei Ablauf des Zertifikates ein neues signiertes Zertifikat mit verlängerter Gültigkeit für den bestehenden privaten Schlüssel. So vermeiden Sie die Erstellung eines neuen Identitätsanbieters und die damit verbundene erneute Anbindung aller Benutzer.