Einmaliges Anmelden (SSO) Einrichten

1. Installieren Sie ADFS 2.0 (Hilfe finden Sie unter http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Fügen Sie in der ADFS 2.0-Verwaltungskonsole ein SSL-Zertifikat hinzu, um Dotcom-Monitor-Antworten/-Anforderungen zu signieren:

• Starten Sie die ADFS 2.0-Verwaltungskonsole, und öffnen Sie den Serverkonfigurations-Assistenten.
• Klicken Sie auf Neue FS erstellen, und wählen Sie Standalone FSaus.
• Wählen Sie SSL-Zertifikat (wenn keine Zertifikate vorhanden sind, können Sie selbstsigniertes Zertifikat mit INETMGR > > Server-Zertifikaten erstellen.

3. Fügen Sie in der ADFS 2.0-Verwaltungskonsole IDR zu den ADFS-Vertrauensstellungen hinzu:

• Klicken Sie auf Vertrauen der Vertrauen in die Vertrauen der Partei, und wählen Sie Vertrauensstellung der vertrauenden Partei hinzufügenaus.
• Klicken Sie im Assistentenfenster auf Starten, und wählen Sie Daten über die vertrauende Partei aus einer Datei importieren aus.
• Wählen Sie DMSPMetadata.xml.
• Wählen Sie einen beliebigen aussagekräftigen Namen (dotcom-monitor.com).
• Klicken Sie auf Weiter, und folgen Sie den Anweisungen.
• Wählen Sie im Schritt Ausgabeautorisierungsregeln die Option Alle Benutzer den Zugriff auf diese vertrauende Partei zulassen aus.
• Klicken Sie am Ende auf , um die Option “Anspruchsregeln bearbeiten” für diese Vertrauensstellung für die vertrauende Vertrauen der vertrauenden Seite zu deaktivieren, wenn der Assistent das Kontrollkästchen schließt.
• Schließen Sie den Assistenten.

4. Setzen Sie SHA-1 als sicheren Hashalgorithmus:

• Nachdem Sie vertrauende Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen in der Liste erstellt haben, klicken Sie auf sie, und wählen SieP-Ropertiesaus.
• Wechseln Sie zur Registerkarte Erweitert, und ändern Sie den Hashalgorithmus in SHA-1.

5. Fügen Sie die Anspruchsregel hinzu, um LDAP-Attribute als Ansprüche zu senden:

• Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
• Klicken Sie auf Regel hinzufügen, und stellen Sie sicher, dass in der Anspruchsregelvorlage LDAP-Attribute als Ansprüche gesendet werden.
• Geben Sie den Namen der Anspruchsregelan.
• Wählen Sie den Attributspeicher als Active Directoryaus.
• Fügen Sie zwei Attributzuordnungen hinzu: für User-Principal-Name set UPN, for Token-Groups – Unqualified Names set Role.

6. Fügen Sie benutzerdefinierte Regel:

• Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
• Klicken Sie auf Regel hinzufügen, und legen Sie die Anspruchsregelvorlage auf “Ansprüche senden” mithilfe der benutzerdefinierten Regel fest.
• Geben Sie den Namen der Anspruchsregelan.
• Fügen Sie das folgende Skript ein:

c: [Type] = > issue(Type = “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] = “urn:oasis:names:tc:SAML:2.0:nameid-format:transient”, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier”] = “http://www.example.com/adfs/services/trust”, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties”] = “https://userauth.dotcom-monitor.com/”)

• Ersetzen Sie “http://www.example.com/adfs/services/trust” durch die richtige Identity Provider (IdP) entityID (“http://idpsite.com/adfs/services/trust“).

7. Öffnen Sie URL im Browser von IdP-Computer: https://localhost/federationmetadata/2007-06/federationmetadata.xml

8. Speichern Sie den XML-Inhalt als Datei und senden Sie ihn über das Ticketsysteman die Dotcom-Monitor-Unterstützung .

Wenn SSO aktiviert ist, können Sie Dotcom-Monitor-Website-Benutzer hinzufügen, indem Sie neue Benutzer in AD erstellen oder vorhandene Benutzer zu einer der folgenden Gruppen hinzufügen: “Dotcom-Monitor_Power_Users“, “Dotcom-Monitor_User_Users“, “Dotcom-Monitor_Accounting_Users“, “Dotcom-Monitor_ReadOnly_Users“, “Dotcom-Monitor_Operators“. Jede dieser Gruppen muss den Bereich “global” oder “universal” und den Typ “security” haben.

1. Melden Sie sich beim Azure-Portal als globaler Administrator oder Co-Administratoran.

2. Wählen Sie im Portal im linken Navigationsbereich Azure Active Directoryaus.

3. Um Benutzer für die zukünftige SSO-Anmeldung mithilfe von Azure AD zu verwalten (erstellen), wählen Sie im Abschnitt Verwalten im Azure Active Directory-Navigationsfeld Benutzer Alle > Benutzer aus:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Erstellen einer neuen Unternehmensanwendung:

• Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungen aus.
• Klicken Sie auf Neue Anwendung, dann auf Nicht-Galerie-Anwendung.
• Legen Sie auf der Seite Eigene Anwendungsseite hinzufügen den Namen für die neue Anwendung fest (“userauth.dotcom-monitor.com“) und klicken Sie auf Hinzufügen.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Bearbeiten Sie Anwendungsmetadaten, um Dotcom-Monitor-Gruppen hinzuzufügen:

• Wählen Sie im Azure Active Directory-Navigationsfenster App-Registrierungenaus.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps

• Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, undwählen Sie dann unter dem Abschnitt Verwalten manifestaus.
• Fügen Sie im webbasierten Manifest-Editor die folgenden Rollen unter appRoles-Knoten und Speichernhinzu:

  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Power_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Power_Users",
 "value": "Dotcom-Monitor_Power_Users"
  },  
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52babc",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Users",
 "value": "Dotcom-Monitor_Users"
  },  
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Accounting_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Accounting_Users",
 "value": "Dotcom-Monitor_Accounting_Users"
  },
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_ReadOnly_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_ReadOnly_Users",
 "value": "Dotcom-Monitor_ReadOnly_Users"
  },
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Operators",
 "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Operator_Users",
 "value": "Dotcom-Monitor_Operator_Users"
  },

5. SSO-Einstellungen bearbeiten:

• Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungenaus , klicken Sie auf Alle Anwendungen.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

• Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“.
• Wählen Sie im Abschnitt Verwalten die Option Einmaliges Anmeldenaus.
• Wählen Sie SAML aus, um das einmalige Anmelden zu konfigurieren. Konfigurieren Sie auf der Seite Einmaliges Anmelden mit SAML – Vorschau einrichten die grundlegenden SAML-Optionen:

Identifikator: "
  https://userauth.dotcom-monitor.com/
" 
Url der Antwort antworten: "
  https://userauth.dotcom-monitor.com/Login.ashx
"
Eindeutiger Benutzerbezeichner: "user.userprincipalname"

• Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts Benutzerattribute und Ansprüche aus, und fügen Sie die neuen Attribute hinzu:

 Name: "Rollen"
 Wert: "user.assignedroles"

• Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts SAML-Signaturzertifikat aus.
• Klicken Sie im Abschnitt SAML Signing Certificate auf Metadaten XML herunterladen, und speichern Sie es auf dem Datenträger. Diese Datei muss an dotcom-monitor.com-Support gesendet werden.
• Aktivieren Sie Neue Zertifikate aktiv machen  (erst nach dem Herunterladen von Metadaten ), und bestätigen Sie die Aktion.
• Aktivieren Sie Erweiterte Zertifikatsignatureinstellungen anzeigen und SHA-1 als Signaturalgorithmus festlegen.
• Klicken Sie auf Speichern.

6.Rollen zuweisen:

• Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungenaus , klicken Sie auf Alle Anwendungen.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

• Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, und wählen Sie dann Benutzer und Gruppenaus.
• Klicken Sie auf Benutzer hinzufügen, Benutzer auswählen, Rolle auswählen (eine der dotcom-Monitor-Rollen), auf Zuweisen. Tun Sie es für alle Benutzer benötigt.

7. Senden Sie metadata.xml an dotcom-monitor-Unterstützung. Klicken Sie hier, melden Sie sich in Ihr Konto ein und senden Sie ein Ticket.