Einmaliges Anmelden (SSO) Einrichten

Dotcom-Monitor unterstützt SSO-Anmeldung mit SAML 2.0.

Im Folgenden sind die Schritte erforderlich, um SSO mit Active Directory FS (ADFS) und AZURE Active Directory (Azure AD) als Identitätsanbieter zu aktivieren.

SSO with Active Directory FS
1. Installieren Sie ADFS 2.0 (Hilfe finden Sie unter http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Fügen Sie in der ADFS 2.0-Verwaltungskonsole ein SSL-Zertifikat hinzu, um Dotcom-Monitor-Antworten/-Anforderungen zu signieren:
- Starten Sie die ADFS 2.0-Verwaltungskonsole, und öffnen Sie den Serverkonfigurations-Assistenten.
- Klicken Sie auf Neue FS erstellen, und wählen Sie Standalone FSaus.
- Wählen Sie SSL-Zertifikat (wenn keine Zertifikate vorhanden sind, können Sie selbstsigniertes Zertifikat mit INETMGR > > Server-Zertifikaten erstellen.
3. Fügen Sie in der ADFS 2.0-Verwaltungskonsole IDR zu den ADFS-Vertrauensstellungen hinzu:
- Klicken Sie auf Vertrauen der Vertrauen in die Vertrauen der Partei, und wählen Sie Vertrauensstellung der vertrauenden Partei hinzufügenaus.
- Klicken Sie im Assistentenfenster auf Starten, und wählen Sie Daten über die vertrauende Partei aus einer Datei importieren aus.
- Wählen Sie DMSPMetadata.xml.
- Wählen Sie einen beliebigen aussagekräftigen Namen (dotcom-monitor.com).
- Klicken Sie auf Weiter, und folgen Sie den Anweisungen.
- Wählen Sie im Schritt Ausgabeautorisierungsregeln die Option Alle Benutzer den Zugriff auf diese vertrauende Partei zulassen aus.
- Klicken Sie am Ende auf , um die Option “Anspruchsregeln bearbeiten” für diese Vertrauensstellung für die vertrauende Vertrauen der vertrauenden Seite zu deaktivieren, wenn der Assistent das Kontrollkästchen schließt.
- Schließen Sie den Assistenten.
4. Setzen Sie SHA-1 als sicheren Hashalgorithmus:
- Nachdem Sie vertrauende Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen in der Liste erstellt haben, klicken Sie auf sie, und wählen SieP-Ropertiesaus.
- Wechseln Sie zur Registerkarte Erweitert, und ändern Sie den Hashalgorithmus in SHA-1.
5. Fügen Sie die Anspruchsregel hinzu, um LDAP-Attribute als Ansprüche zu senden:
- Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
- Klicken Sie auf Regel hinzufügen, und stellen Sie sicher, dass in der Anspruchsregelvorlage LDAP-Attribute als Ansprüche gesendet werden.
- Geben Sie den Namen der Anspruchsregelan.
- Wählen Sie den Attributspeicher als Active Directoryaus.
- Fügen Sie zwei Attributzuordnungen hinzu: für User-Principal-Name set UPN, for Token-Groups – Unqualified Names set Role.
6. Fügen Sie benutzerdefinierte Regel:
- Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
- Klicken Sie auf Regel hinzufügen, und legen Sie die Anspruchsregelvorlage auf “Ansprüche senden” mithilfe der benutzerdefinierten Regel fest.
- Geben Sie den Namen der Anspruchsregelan.
- Fügen Sie das folgende Skript ein:
c: [Type] = > issue(Type = “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] = “urn:oasis:names:tc:SAML:2.0:nameid-format:transient”, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier”] = “http://www.example.com/adfs/services/trust”, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties”] = “https://userauth.dotcom-monitor.com/”)
- Ersetzen Sie “http://www.example.com/adfs/services/trust” durch die richtige Identity Provider (IdP) entityID (“http://idpsite.com/adfs/services/trust“).
7. Öffnen Sie URL im Browser von IdP-Computer: https://localhost/federationmetadata/2007-06/federationmetadata.xml

8. Speichern Sie den XML-Inhalt als Datei und senden Sie ihn über das Ticketsysteman die Dotcom-Monitor-Unterstützung .

Wenn SSO aktiviert ist, können Sie Dotcom-Monitor-Website-Benutzer hinzufügen, indem Sie neue Benutzer in AD erstellen oder vorhandene Benutzer zu einer der folgenden Gruppen hinzufügen: “Dotcom-Monitor_Power_Users“, “Dotcom-Monitor_User_Users“, “Dotcom-Monitor_Accounting_Users“, “Dotcom-Monitor_ReadOnly_Users“, “Dotcom-Monitor_Operators“. Jede dieser Gruppen muss den Bereich “global” oder “universal” und den Typ “security” haben.
SSO with AZURE Active Directory
1. Melden Sie sich beim Azure-Portal als globaler Administrator oder Co-Administratoran.

2. Wählen Sie im Portal im linken Navigationsbereich Azure Active Directoryaus.

3. Um Benutzer für die zukünftige SSO-Anmeldung mithilfe von Azure AD zu verwalten (erstellen), wählen Sie im Abschnitt Verwalten im Azure Active Directory-Navigationsfeld Benutzer Alle > Benutzer aus:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Erstellen einer neuen Unternehmensanwendung:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungen aus.
- Klicken Sie auf Neue Anwendung, dann auf Nicht-Galerie-Anwendung.
- Legen Sie auf der Seite Eigene Anwendungsseite hinzufügen den Namen für die neue Anwendung fest (“userauth.dotcom-monitor.com“) und klicken Sie auf Hinzufügen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Bearbeiten Sie Anwendungsmetadaten, um Dotcom-Monitor-Gruppen hinzuzufügen:
- Wählen Sie im Azure Active Directory-Navigationsfenster App-Registrierungenaus.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, undwählen Sie dann unter dem Abschnitt Verwalten manifestaus.
- Fügen Sie im webbasierten Manifest-Editor die folgenden Rollen unter appRoles-Knoten und Speichernhinzu:
```
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Power_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Power_Users",
 "value": "Dotcom-Monitor_Power_Users"
  },  
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52babc",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Users",
 "value": "Dotcom-Monitor_Users"
  },  
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Accounting_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Accounting_Users",
 "value": "Dotcom-Monitor_Accounting_Users"
  },
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_ReadOnly_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_ReadOnly_Users",
 "value": "Dotcom-Monitor_ReadOnly_Users"
  },
  {
 "allowedMemberTypes": [
 "Benutzer"
 ],
 "displayName": "Dotcom-Monitor_Operators",
 "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
 "isEnabled": true,
 "Beschreibung": "Dotcom-Monitor_Operator_Users",
 "value": "Dotcom-Monitor_Operator_Users"
  },
```
5. SSO-Einstellungen bearbeiten:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungenaus , klicken Sie auf Alle Anwendungen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“.
- Wählen Sie im Abschnitt Verwalten die Option Einmaliges Anmeldenaus.
- Wählen Sie SAML aus, um das einmalige Anmelden zu konfigurieren. Konfigurieren Sie auf der Seite Einmaliges Anmelden mit SAML – Vorschau einrichten die grundlegenden SAML-Optionen:
```
Identifikator: "
  https://userauth.dotcom-monitor.com/
" 
Url der Antwort antworten: "
  https://userauth.dotcom-monitor.com/Login.ashx
"
Eindeutiger Benutzerbezeichner: "user.userprincipalname"
```
- Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts Benutzerattribute und Ansprüche aus, und fügen Sie die neuen Attribute hinzu:
```
 Name: "Rollen"
 Wert: "user.assignedroles"
```
- Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts SAML-Signaturzertifikat aus.
- Klicken Sie im Abschnitt SAML Signing Certificate auf Metadaten XML herunterladen, und speichern Sie es auf dem Datenträger. Diese Datei muss an dotcom-monitor.com-Support gesendet werden.
- Aktivieren Sie Neue Zertifikate aktiv machen (erst nach dem Herunterladen von Metadaten ), und bestätigen Sie die Aktion.
- Aktivieren Sie Erweiterte Zertifikatsignatureinstellungen anzeigen und SHA-1 als Signaturalgorithmus festlegen.
- Klicken Sie auf Speichern.
6.Rollen zuweisen:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungenaus , klicken Sie auf Alle Anwendungen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, und wählen Sie dann Benutzer und Gruppenaus.
- Klicken Sie auf Benutzer hinzufügen, Benutzer auswählen, Rolle auswählen (eine der dotcom-Monitor-Rollen), auf Zuweisen. Tun Sie es für alle Benutzer benötigt.
7. Senden Sie metadata.xml an dotcom-monitor-Unterstützung. Klicken Sie hier, melden Sie sich in Ihr Konto ein und senden Sie ein Ticket.

Konfigurieren von SSO für Abteilungen

Wenn Sie eine Abteilung für das Dotcom-Monitor-Konto erstellt haben, können Sie SSO-Benutzer konfigurieren, die sich bei ihm anmelden.

Um SSO für Abteilungen zu aktivieren, fügen Sie den Abteilungsnamen als Suffix zum Namen der Gruppe oder Rolle hinzu, die für Dotcom-Monitor-Zwecke in AD reserviert ist. Verwenden Sie einen doppelten Bindestrich als Trennzeichen:

<Gruppenname > –- < Abteilungsname>

Um einem Benutzer beispielsweise die Anmeldung in der “AlphaDep”-Abteilung als Hauptbenutzer zu ermöglichen, müssen Sie der Dotcom-Monitor_Power_Users AD-Gruppe das folgende Suffix hinzufügen:

»Dotcom-Monitor_Power_Users--AlphaDep»

Um einen Namen der ADFS-Gruppe zu ändern, klicken Sie mit der rechten Maustaste auf die Gruppe, und wählen Sie Umbenennenaus. Ändern Sie nach der Umbenennung auch den Namen vor Windows 2000 im Popupfeld oder im Properties > allgemeinen > Eigenschaftengruppennamen (vor Windows 2000).

Um SSO für mehrere Abteilungen gleichzeitig zu aktivieren, fügen Sie die Abteilungsnamen nacheinander mit demselben Format hinzu. Zum Beispiel:

»Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Damit sich Benutzer beim Stammkonto anmelden können, geben Sie eine relevante AD-Gruppe ohne Abteilungssuffix an, wie oben beschrieben:

"Dotcom-Monitor_ReadOnly_Users"

Wenn ein Benutzer in mehrere AD-Gruppen mit konfiguriertem SSO für Abteilungen in mehrere “Dotcom-Monitor_”-AD-Gruppen eingeschlossen ist, wird die Anmeldung bei allen entsprechenden Abteilungen aktiviert (falls die Abteilungen im Dotcom-Monitor-Konto vorhanden sind).

Einmaliges Anmelden (SSO) Einrichten

SSO with Active Directory FS

SSO with AZURE Active Directory

Konfigurieren von SSO für Abteilungen

Lösungen

Funktionen

Gesellschaft