Active Directory-Verbunddienste mit OIDC

Führen Sie die folgenden Schritte aus, um Single Sign-On (SSO) für Claris Studio mit den Verbunddiensten Ihrer Active Directory (AD)-Instanz unter Verwendung von OpenID Connect (OIDC) zu konfigurieren. Um Vertrauen zwischen Ihrer AD-Instanz und Ihrem Claris Studio-Team herzustellen, müssen Sie:

• Eine Anwendungsgruppe erstellen.

• Transformationsregeln hinzufügen.

• Daten in Claris Studio eingeben.

Claris Studio Setup-Seite öffnen

1. Melden Sie sich bei Ihrem Claris Studio-Team an.

2. Klicken Sie links auf das Register Benutzer und dann auf Externen IdP konfigurieren.

   

3. Wählen Sie im Dialogfeld „Externen Identitätsanbieter konfigurieren“ für Protokoll die Option OIDC. Lassen Sie diese Seite geöffnet, um später zu ihr zurückzukehren.

Eine Anwendungsgruppe hinzufügen

1. Melden Sie sich in Ihrer Windows Server-Instanz mit Ihrem Administratorkonto an. Klicken Sie im Startmenü auf Windows Administrative Tools (Windows-Verwaltungsprogramme) im Abschnitt Windows Server auf der rechten Seite.

   

2. Öffnen Sie im neuen Datei-Explorer-Fenster die Verknüpfung AD FS Management (AD FS-Verwaltung).

   

3. Klicken Sie in der linken Seitenleiste des AD FS-Fensters mit der rechten Maustaste auf Application Groups (Anwendungsgruppen) > Add Application Group (Anwendungsgruppe hinzufügen).

   

4. Geben Sie Ihrer neuen Integration im Assistenten einen Namen, um sie von anderen Integrationen zu unterscheiden, und wählen Sie dann die Option Server application accessing a web API (Serveranwendung mit Zugriff auf eine Web-API) aus. Klicken Sie auf Next (Weiter).

   

5. Kopieren Sie in Claris Studio die Weiterleitungs-URL der Anwendung (siehe „Claris Studio Setup-Seite öffnen“ weiter oben) und fügen Sie diese in das Feld Redirect URI (Umleitungs-URI) ein. Klicken Sie dann auf Add (Hinzufügen).

   Kopieren Sie außerdem den Wert von Client Identifier (Client-ID) und speichern Sie ihn an einem sicheren Ort, wo Sie ihn später wiederfinden können. Klicken Sie anschließend auf Next (Weiter).

   

6. Wählen Sie die Option Generate a shared secret (Gemeinsamen geheimen Schlüssel generieren) aus und klicken Sie dann auf Copy to clipboard (In Zwischenablage kopieren). Fügen Sie den Wert an einem sicheren Ort ein, wo Sie ihn später wiederfinden können.

   Achten Sie darauf, dass Sie ihn anders benennen als den Client Identifier, den Sie im vorherigen Schritt gespeichert haben. Klicken Sie anschließend auf Next (Weiter).

   

7. Kopieren Sie den zuvor gespeicherten Client Identifier und fügen Sie ihn in das Feld Identifier (Bezeichner) ein. Klicken Sie dann auf Add (Hinzufügen). Klicken Sie auf Next (Weiter).

   

8. Wählen Sie eine Zugriffsebene für Ihre Active Directory-Benutzer, die auf die Integration zugreifen können sollen. Lassen Sie Permit everyone (Jedem einzelnen Zugriff gewähren) ausgewählt, wenn jeder auf Ihr Claris Studio-Team zugreifen können soll. Klicken Sie auf Next (Weiter).

   

9. Für Permitted scopes (Zulässige Bereiche) stellen Sie sicher, dass die folgenden Elemente ausgewählt sind. Einige sind möglicherweise bereits ausgewählt.

   • allatclaims

   • email

   • openid

   • profile

   Klicken Sie auf Next (Weiter).

   

10. Klicken Sie im Fenster Summary (Zusammenfassung) auf Next (Weiter).

    

Transformationsregeln hinzufügen

1. Doppelklicken Sie im AD FS-Fenster auf die Anwendungsgruppe, die Sie gerade hinzugefügt haben. Wählen Sie dann unter Web API die Zeile für Ihre Integration aus und klicken Sie auf Edit (Bearbeiten).

   

2. Klicken Sie im Dialogfeld „Web-API Eigenschaften“ für Ihre Anwendung auf das Register Issuance Transform Rules (Ausstellungstransformationsregeln). Klicken Sie dann auf Add Rule (Regel hinzufügen).

   

3. Lassen Sie im Assistenten zum Hinzufügen von Ansprüchen für Claim rule template (Anspruchsregelvorlage) die Option Send LDAP Attributes as Claims (LDAP-Attribute als Ansprüche senden) ausgewählt. Klicken Sie dann auf Next (Weiter).

   

4. Geben Sie für Claim rule name (Anspruchsregelname) einen beschreibenden Namen an. Wählen Sie für Attribute store (Attributspeicher) Active Directory aus. Fügen Sie dann für jede Zeile die folgenden LDAP-Attributzuordnungen hinzu.

   Das LDAP-Attribut kann im Dropdown-Menü ausgewählt oder automatisch ausgefüllt werden, aber die Werte für Ausgehender Anspruchstyp müssen genau wie gezeigt eingegeben werden, da sie zwischen Groß- und Kleinschreibung unterscheiden.

• E-Mail-Addresses → email

• Given-Name → Given Name (Vorname)

• Surname → Family Name (Nachname)



Klicken Sie anschließend auf Finish (Fertig stellen).



Klicken Sie abschließend im Dialogfeld auf Apply (Anwenden).

Werte in Claris Studio eingeben

1. Gehen Sie zurück zur Claris Studio-Seite, die Sie zuvor geöffnet haben (siehe „Claris Studio Setup-Seite öffnen“).

2. Wählen Sie im Dialogfeld Externen Identitätsanbieter konfigurieren unter Protokoll die Option OIDC und geben Sie dann die folgenden Informationen ein:

• Client-ID: das Token für Client Identifier, das Sie in Schritt 4 von „Eine Anwendungsgruppe hinzufügen“ gespeichert haben

• Client-Secret: das Token für Client-Secret, das Sie in Schritt 5 von „Eine Anwendungsgruppe hinzufügen“ gespeichert haben

• Metadaten-URL: https://<AD FS Domain>/adfs/.well-known/openid-configuration wobei <AD FS Domain> Ihr AD FS Domänenname oder Ihre IP-Adresse ist

3. Wählen Sie eine oder mehrere Standardgruppen aus, bei denen Sie sich über diesen externen IdP anmelden möchten, und klicken Sie dann auf Anwenden.

   Wenn Sie noch keine Gruppen haben, können Sie hier eine erstellen und später Benutzer hinzufügen. Weitere Informationen finden Sie unter Mit Gruppen arbeiten.

   

4. Kopieren Sie auf der Seite „Benutzer“ den Link mit der Bezeichnung Anmelde-URL für die Anwendung und stellen Sie ihn den Benutzern zur Verfügung. Durch die Verwendung dieser URL können sie sich mit ihren SSO-Anmeldeinformationen bei Claris Studio anmelden.