Einmaliges Anmelden (SSO) Einrichten

Dotcom-Monitor unterstützt SSO (Single Sign On) Login mit SAML 2.0.

Generell ist es nicht ratsam, einen Dotcom-Monitor-Benutzer in mehreren Gruppen mit unterschiedlichen Berechtigungsstufen innerhalb Ihres Active Directory einzurichten. Wenn ein Benutzer jedoch zwei oder mehr Berechtigungsstufen in Dotcom-Monitor angehört, hat die niedrigste Berechtigungsstufe Vorrang vor den Ebenen mit höheren Berechtigungen. Wenn einem Benutzer beispielsweise gleichzeitig die Rollen Viewer (schreibgeschützt) und Power User innerhalb der Dotcom-Monitor-Plattform zugewiesen wurden, werden bei der SSO-Anmeldung die Berechtigungen für die Viewer-Rolle angewendet.

Im Folgenden sind die Schritte erforderlich, um SSO mit Active Directory FS (ADFS) und AZURE Active Directory (Azure AD) als Identitätsanbieter zu aktivieren. Außerdem werden die Schritt-für-Schritt-Anleitungen für die OKTA SAML-Integration bereitgestellt.

SSO mit Active Directory FS
1. Installieren Sie ADFS 2.0 (Hilfe finden Sie unter http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Metadaten herunterladen.xml.

3. Fügen Sie in der ADFS 2.0-Verwaltungskonsole ein SSL-Zertifikat hinzu, um Dotcom-Monitor-Antworten/-Anforderungen zu signieren:
- Starten Sie die ADFS 2.0-Verwaltungskonsole, und öffnen Sie den Serverkonfigurations-Assistenten.
- Klicken Sie auf Neue FS erstellen, und wählen Sie Standalone FSaus.
- INETMGR-Serverzertifikaten > > selbstsigniertes Zertifikat erstellen Selbstsigniertes Zertifikat erstellen).
4. Fügen Sie in der ADFS 2.0-Verwaltungskonsole IDR zu den ADFS-Vertrauensstellungen der vertrauenden Seite hinzu:
- Klicken Sie auf Vertrauen der Vertrauen in die Vertrauen der Partei, und wählen Sie Vertrauensstellung der vertrauenden Partei hinzufügenaus.
- Klicken Sie im Fenster des Assistenten auf Start, und wählen Sie Daten über die vertrauende Seite aus einer Datei importieren aus.
- Wählen Sie metadaten.xml.
- Wählen Sie einen beliebigen aussagekräftigen Namen (dotcom-monitor.com).
- Klicken Sie auf Weiter, und folgen Sie den Anweisungen.
- Wählen Sie im Schritt Ausgabeautorisierungsregeln die Option Alle Benutzer den Zugriff auf diese vertrauende Partei zulassen aus.
- Deaktivieren Sie im letzten Schritt das Kontrollkästchen Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird.
- Schließen Sie den Assistenten.
5. Legen Sie SHA-1 als sicheren Hash-Algorithmus fest:
- Nachdem Sie vertrauende Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen in der Liste erstellt haben, klicken Sie auf sie, und wählen SieP-Ropertiesaus.
- Wechseln Sie zur Registerkarte Erweitert, und ändern Sie den Hashalgorithmus in SHA-1.
6. Fügen Sie eine Anspruchsregel hinzu, um LDAP-Attribute als Ansprüche zu senden:
- Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
- Klicken Sie auf Regel hinzufügen, und stellen Sie sicher, dass in der Anspruchsregelvorlage LDAP-Attribute als Ansprüche gesendet werden.
- Geben Sie den Namen der Anspruchsregelan.
- Wählen Sie den Attributspeicher als Active Directoryaus.
- Fügen Sie zwei Attributzuordnungen hinzu: für User-Principal-Name set UPN, for Token-Groups – Unqualified Names set Role.
7. Benutzerdefinierte Regel hinzufügen:
- Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
- Klicken Sie auf Regel hinzufügen, und legen Sie die Anspruchsregelvorlage auf “Ansprüche senden” mithilfe der benutzerdefinierten Regel fest.
- Geben Sie den Namen der Anspruchsregelan.
- Fügen Sie das folgende Skript ein:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Ersetzen Sie “http://www.example.com/adfs/services/trust” durch die richtige Identity Provider (IdP) entityID (“http://idpsite.com/adfs/services/trust“).
8. Öffnen Sie die URL im Browser vom IdP-Computer: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Speichern Sie den XML-Inhalt als Datei und senden Sie ihn über das Ticketsysteman den Dotcom-Monitor-Support.

Wenn SSO aktiviert ist, können Sie Dotcom-Monitor-Website-Benutzer hinzufügen, indem Sie neue Benutzer in AD erstellen oder vorhandene Benutzer zu einer der folgenden Gruppen hinzufügen: “Dotcom-Monitor_Power_Users“, “Dotcom-Monitor_User_Users“, “Dotcom-Monitor_Accounting_Users“, “Dotcom-Monitor_ReadOnly_Users“, “Dotcom-Monitor_Operators“. Jede dieser Gruppen muss den Bereich “global” oder “universal” und den Typ “security” haben.
SSO mit AZURE Active Directory
1. Melden Sie sich beim Azure-Portal als globaler Administrator oder Co-Administratoran.

2. Wählen Sie im Portal im linken Navigationsbereich Azure Active Directoryaus.

3. Um Benutzer für die zukünftige SSO-Anmeldung mithilfe von Azure AD zu verwalten (erstellen), wählen Sie im Abschnitt Verwalten im Azure Active Directory-Navigationsfeld Benutzer> Alle Benutzer aus:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Erstellen einer neuen Unternehmensanwendung:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungen aus.
- Klicken Sie auf Neue Anwendung, dann auf Nicht-Galerie-Anwendung.
- Legen Sie auf der Seite Eigene Anwendungsseite hinzufügen den Namen für die neue Anwendung fest (“userauth.dotcom-monitor.com“) und klicken Sie auf Hinzufügen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Bearbeiten Sie Anwendungsmetadaten, um Dotcom-Monitor-Gruppen hinzuzufügen:
- Wählen Sie im Azure Active Directory-Navigationsfenster App-Registrierungenaus.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, undwählen Sie dann unter dem Abschnitt Verwalten manifestaus.
- Fügen Sie im webbasierten Manifest-Editor die folgenden Rollen unter appRoles-Knoten und Speichernhinzu:
```
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operator_Users",
      "value": "Dotcom-Monitor_Operator_Users"
    },
```
5. SSO-Einstellungen bearbeiten:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungenaus , klicken Sie auf Alle Anwendungen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“.
- Wählen Sie im Abschnitt Verwalten die Option Einmaliges Anmeldenaus.
- Wählen Sie SAML aus, um das einmalige Anmelden zu konfigurieren. Konfigurieren Sie auf der Seite Einmaliges Anmelden mit SAML – Vorschau einrichten die grundlegenden SAML-Optionen:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts Benutzerattribute und Ansprüche aus, und fügen Sie die neuen Attribute hinzu:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts SAML-Signaturzertifikat aus.
- Klicken Sie im Abschnitt SAML Signing Certificate auf Metadaten XML herunterladen, und speichern Sie es auf dem Datenträger. Diese Datei muss an dotcom-monitor.com-Support gesendet werden.
- Aktivieren Sie Neue Zertifikate aktiv machen (erst nach dem Herunterladen von Metadaten ), und bestätigen Sie die Aktion.
- Aktivieren Sie Erweiterte Zertifikatsignatureinstellungen anzeigen und SHA-1 als Signaturalgorithmus festlegen.
- Klicken Sie auf Speichern.
6.Rollen zuweisen:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungenaus , klicken Sie auf Alle Anwendungen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, und wählen Sie dann Benutzer und Gruppenaus.
- Klicken Sie auf Benutzer hinzufügen, Benutzer auswählen, Rolle auswählen (eine der dotcom-Monitor-Rollen), auf Zuweisen. Tun Sie es für alle Benutzer benötigt.
7. Senden Sie metadata.xml an dotcom-monitor-Unterstützung. Klicken Sie hier, melden Sie sich in Ihr Konto ein und senden Sie ein Ticket.
SSO mit OKTA

Überprüfen Sie die folgenden Materialien, um die OKTA-Integration mit Dotcom-Monitor zu konfigurieren und SSO zu aktivieren:

OKTA – Dotcom-Monitor Integration PDF Anleitung

OKTA SAML Integration mit Dotcom-Monitor Walkthrough Video

SAML Login Video

Siehe auch die folgenden alternativen Anleitungen:

Okta zu Dotcom-Monitor Alternative Anleitung

Okta zu Dotcom-Monitor SAML Konfigurationsvideo

Konfigurieren von SSO für Abteilungen

Wenn Sie eine Abteilung für das Dotcom-Monitor-Konto erstellt haben, können Sie SSO-Benutzer konfigurieren, die sich bei ihm anmelden.

Um SSO für Abteilungen zu aktivieren, fügen Sie den Abteilungsnamen als Suffix zum Namen der Gruppe oder Rolle hinzu, die für Dotcom-Monitor-Zwecke in AD reserviert ist. Verwenden Sie einen doppelten Bindestrich als Trennzeichen:

<Gruppenname> –- <Abteilungsname>

Um einem Benutzer beispielsweise die Anmeldung in der “AlphaDep”-Abteilung als Hauptbenutzer zu ermöglichen, müssen Sie der Dotcom-Monitor_Power_Users AD-Gruppe das folgende Suffix hinzufügen:

«Dotcom-Monitor_Power_Users--AlphaDep»

Um einen ADFS-Gruppennamen zu ändern, klicken Sie mit der rechten Maustaste auf die Gruppe, und wählen Sie Umbenennenaus. Ändern Sie nach der Umbenennung auch den Namen vor Windows 2000 im Popupfeld oder unter > Eigenschaften Allgemeiner > Gruppenname (vor Windows 2000).

Sie können auch mehrere Abteilungsnamen nacheinander im selben Format hinzufügen. Zum Beispiel:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Damit sich Benutzer beim Stammkonto anmelden können, geben Sie eine relevante AD-Gruppe ohne Abteilungssuffix an, wie oben beschrieben:

«Dotcom-Monitor_ReadOnly_Users»

Wenn ein Benutzer in mehrere AD-Gruppen mit konfiguriertem SSO für Abteilungen in mehrere “Dotcom-Monitor_”-AD-Gruppen eingeschlossen ist, wird die Anmeldung bei allen entsprechenden Abteilungen aktiviert (falls die Abteilungen im Dotcom-Monitor-Konto vorhanden sind).

Einmaliges Anmelden (SSO) Einrichten

SSO mit Active Directory FS

SSO mit AZURE Active Directory

SSO mit OKTA

Konfigurieren von SSO für Abteilungen

Lösungen

Funktionen

Gesellschaft