Single Sign-On (SSO) ermöglicht Ihren Benutzern den Zugriff auf die Produkte von Nitro, indem sie sich über Ihren Identity Provider (IdP) authentifizieren. Nitro unterstützt SSO mit jedem SAML2. 0-konform IdP.
Hinweis: Diese Funktion ist nur für Kunden mit einem Nitro Productivity Suite Enterprise-Plan verfügbar.
Richten Sie eine ADFS-SAML-Verbindung ein
Erstellen Sie eine benutzerdefinierte SAML-Verbindung zu den Active Directory Federation Services (ADFS) von Microsoft, um mehr Flexibilität bei der Konfiguration Ihrer Zuordnungen zu erhalten.
Um die benutzerdefinierte Verbindung zu erstellen, müssen Sie:
1. Konfigurieren Sie ADFS.
2. Erstellen Sie eine SAML-Verbindung, bei der Nitro als Dienstanbieter fungiert.
3. Bearbeiten Sie den Relying Party Trust in ADFS.
4. Aktivieren und testen Sie Ihre Integration.
Die folgenden Abschnitte werden Sie durch diesen Prozess führen.
ADFS konfigurieren
EINEN TREUHANDFONDS HINZUFÜGEN
Vollständige Informationen finden Sie unter Einen Treuhandfonds für eine vertrauende Partei einrichten.
1. Starten Sie Ihre ADFS-Instanz und starten Sie den Assistenten zum Hinzufügen von Relying Party Trust.
2. Wählen Sie auf der Willkommensseite Claims aware aus und klicken Sie auf Start.
3. Wählen Sie auf der Seite „Datenquelle auswählen“ die Option Daten über die vertrauende Partei manuell eingeben aus und klicken Sie auf Weiter.
4. Geben Sie auf der Seite „Anzeigenamen angeben“ einen aussagekräftigen Namen für Ihren vertrauten Partner und eine kurze Beschreibung unter Hinweise ein. Wenn Sie sich bezüglich des Verbindungsnamens zu diesem Zeitpunkt nicht sicher sind, können Sie den Verbindungsnamen später jederzeit bearbeiten. Klicken Sie auf Weiter.
5. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter. (Wir kommen später zurück, um das Zertifikat zu konfigurieren.)
6. Aktivieren Sie auf der Seite „URL konfigurieren“ das Kästchen für Enable support for SAML2. 0 WebSSO-Protokoll. Der Wizard fragt dann nach einem Relying Party SAML2. 0 URL des SSO-Dienstes. Geben Sie vorerst eine Platzhalter-URL an. Wir werden zu diesem Schritt später zurückkehren. Klicken Sie auf Weiter.
7. Geben Sie auf der Seite „Identifikatoren konfigurieren“ an, dass die Relying Party Trust Identifier der Wert ist, den Sie als Anzeigenamen verwendet haben, als Sie den Assistenten zu verwenden begonnen haben. Klicken Sie auf Weiter.
8. Wählen Sie auf der Seite „Zugriffskontrollrichtlinie wählen“ die Option Allen erlauben aus und klicken Sie auf Weiter.
9. Überprüfen Sie die Einstellungen, die Sie auf der Seite Bereit zum Hinzufügen von Vertrauen angegeben haben, und klicken Sie auf Weiter, um Ihre Informationen zu speichern. Wenn Sie erfolgreich waren, sehen Sie auf der Seite Fertig eine Meldung, die darauf hinweist.
10. Vergewissern Sie sich, dass das Kontrollkästchen „Richtlinien für die Ausstellung von Ansprüchen für diesen Antrag konfigurieren“ aktiviert ist, und klicken Sie auf Schließen.
BEARBEITEN SIE DIE RICHTLINIEN FÜR DIE AUSSTELLUNG VON ANSPRÜCHEN
Nachdem Sie den Assistenten „Relying Party Trust hinzufügen“ geschlossen haben, wird das Fenster „Claim Issuance Policy bearbeiten“ angezeigt.
1. Klicken Sie auf Regel hinzufügen, um den Assistenten zu starten.
2. Wählen Sie LDAP-Attribute als Ansprüche für Ihre Anspruchsregelvorlage senden aus und klicken Sie auf Weiter.
3. Geben Sie einen Wert für den Namen der Anspruchsregel an, z. B." LDAP-Attribute" (das kann alles sein, was Sie wollen).
4. Wählen Sie Active Directory als Ihren Attributspeicher.
5. Ordnen Sie Ihre LDAP-Attribute den folgenden ausgehenden Anspruchstypen zu:
LDAP-Attribut | Ausgehender Antrag
E-Mail-Adressen | E-Mail-Adresse
Anzeigename | Name
Hauptbenutzer-Name | Namen-ID
Vorname | Vorname
Nachname | Nachname
SAM-Kontoname | http://schemas.microsoft.com/identity/claims/employeeNumber
6. Alle oben aufgeführten Ansprüche sollten hinzugefügt werden und EmployeeNumber kann auf eine eindeutige ID gesetzt werden, die einen Benutzer repräsentiert.
7. Sie können bei Bedarf weitere Anspruchszuordnungen hinzufügen. Weitere Informationen finden Sie unter Verbinden Ihrer Anwendung mit Microsoft ADFS.
8. Klicken Sie auf Fertig stellen.
9. Klicken Sie im Fenster „Richtlinien zur Ausstellung von Ansprüchen bearbeiten“ auf Anwenden. Sie können jetzt aus diesem Fenster gehen.
EXPORTIEREN SIE DAS SIGNATURZERTIFIKAT
Schließlich müssen Sie das Signaturzertifikat von der ADFS-Konsole exportieren, um es auf Nitro hochzuladen.
1. Gehen Sie im linken Navigationsbereich zu ADFS> Service> Certificates. Wählen Sie das Token-Signaturzertifikat aus und klicken Sie mit der rechten Maustaste, um Zertifikat anzeigen auszuwählen.
2. Klicken Sie auf der Registerkarte Details auf In Datei kopieren. Dadurch wird der Zertifikatsexport-Assistent gestartet. Klicken Sie auf Weiter.
3. Wählen Sie64 Basiskodiertes X.509 (.CER) als das Format, das Sie verwenden möchten. Klicken Sie auf Weiter.
4. Geben Sie den Ort an, an den Sie das Zertifikat exportieren möchten. Klicken Sie auf Weiter.
5. Vergewissern Sie sich, dass die Einstellungen für Ihr Zertifikat korrekt sind, und klicken Sie auf Fertig stellen.
Konfigurieren Sie Single Sign-On in Nitro
1. Suchen Sie im Nitro Admin-Portal auf der Seite Unternehmenseinstellungen den Abschnitt Single Sign-On. Wählen Sie SAML SSO einrichten.
2. Fügen Sie die Anmelde-URL aus dem vorherigen Schritt in das Feld Anmelde-URL ein.
3. Die An- und Abmelde-URLs haben normalerweise die Form https://your.adfs.server/adfs/ls
4. Laden Sie das Zertifikat (Basis64) aus dem vorherigen Schritt in das Feld X509 Signing Certificate hoch.
5. Wählen Sie Absenden aus.
6. Wählen Sie Single Sign-On aktivieren aus.
Bearbeiten Sie den Relying Party Trust
1. Gehen Sie in der ADFS-Konsole über den linken Navigationsbereich zu ADFS> Relying Party Trusts. Wählen Sie den Relying Party Trust aus, den Sie zuvor erstellt haben, und klicken Sie auf Eigenschaften (im rechten Navigationsbereich).
2. Wählen Sie den Tab Identifikatoren und füllen Sie die Relying Party Identifier mit dem Entitäts-ID-Wert aus dem vorherigen Bildschirm aus. Stellen Sie sicher, dass Sie auf Hinzufügen klicken, um die Kennung zu Ihrer Liste hinzuzufügen.
3. Wählen Sie den Tab Endpoints und wählen Sie die Platzhalter-URL aus, die Sie zuvor angegeben haben. Klicken Sie auf Bearbeiten.
4. Füllen Sie die vertrauenswürdige URL mit dem ACS-URL-Wert von Nitro aus.
5. Klicken Sie auf OK. Klicken Sie abschließend auf Anwenden und verlassen Sie das Eigenschaftenfenster.
Aktivieren und testen Sie Ihre Integration
Bevor Sie Ihre Integration testen, stellen Sie sicher, dass Sie die folgenden Schritte abgeschlossen haben:
- Erstellen Sie einen Benutzer auf dem IdP, den Sie verwenden können, um Ihre neue Verbindung zu testen.
- Aktivieren Sie Single Sign-On in Nitro.
Um Ihre Verbindung zu testen
1. Navigieren Sie zu Connections> Enterprise> ADFS.
2. Klicken Sie auf die ADFS-Zeile (oder das Hamburger-Symbol rechts), um eine Liste Ihrer ADFS-Verbindungen aufzurufen.
3. Wählen Sie das aus, das Sie testen möchten, und klicken Sie auf die Play-Schaltfläche, um die Verbindung zu testen.