Windows-Authentifizierung mit AD FS - IDL Workplace Server...

54
Windows-Authentifizierung mit AD FS Installation und Einrichtung von Active Directory Federation Services (AD FS) Konfiguration von IDL Workplace Server 2016, 2016 Update 1 und 2016 Update 2 zur Integration mit AD FS

Transcript of Windows-Authentifizierung mit AD FS - IDL Workplace Server...

Page 1: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

Windows-Authentifizierung mit AD FS

Installation und Einrichtung von Active

Directory Federation Services (AD FS)

Konfiguration von IDL Workplace Server

2016, 2016 Update 1 und 2016 Update 2 zur

Integration mit AD FS

Page 2: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

2 © IDL GmbH Mitte

Inhaltsverzeichnis

1 Was ist AD FS und Claims-Based Authentication? .................................................................. 3

2 Vorbereitung ............................................................................................................................ 4

2.1 Installation ........................................................................................................................ 4

2.2 Verwendung eines frei wählbaren Dienstnamens und Einrichtung eines DNS A-Records 4

2.3 Checkliste – Windows Server 2012 R2 ............................................................................. 4

2.4 Checkliste – Windows Server 2008 R2 ............................................................................. 5

3 Überblick ................................................................................................................................. 6

4 Installation ............................................................................................................................... 7

5 Konfigurations-Assistent (AD FS 3.0) ...................................................................................... 8

6 Konfigurations-Assistent (AD FS 2.0) .....................................................................................15

7 Einrichten der Authentifizierungsrichtlinien .............................................................................18

7.1 Per Assistent ...................................................................................................................18

7.2 Per Powershell-CmdLet (nur AD FS 3.0) .........................................................................20

8 Einrichtung des Relying Party Trusts für eine IDL Workplace Server Instanz .........................21

8.1 Per Assistent ...................................................................................................................21

8.1.1 Anlegen des Relying Party Trusts ............................................................................21

8.1.2 Einrichten der Claims-Ausstellungsregeln ................................................................36

8.2 Per Powershell CmdLet (nur AD FS 3.0) .........................................................................40

9 Einrichten des AD FS als Identity Provider in IDL Workplace Server ......................................41

9.1 Einsehen des Identity Provider Realms bzw. Federation Service Identifiers ....................43

9.2 Einsehen des Federation Endpoint Pfades ......................................................................44

9.3 Einsehen des Signierungs-Zertifikats-Thumbprints ..........................................................45

10 Anlegen von Benutzerprofilen .............................................................................................47

11 Anmeldevorgang .................................................................................................................49

12 Windows-integrierte Anmeldung .........................................................................................51

12.1 Mit Internet Explorer ........................................................................................................51

12.2 Mit anderen Browsern .....................................................................................................52

12.2.1 Mozilla Firefox ..........................................................................................................52

12.2.2 Google Chrome ........................................................................................................52

12.2.3 Apple Safari..............................................................................................................52

12.2.4 Weitere Browser .......................................................................................................53

13 Troubleshooting ..................................................................................................................54

13.1 Grundsätzliche Protokollierung von Ereignissen für AD FS .............................................54

13.2 Erweiterte Protokollierung von Ereignissen .....................................................................54

13.3 Extended Protection Probleme ........................................................................................54

Page 3: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 3

1 Was ist AD FS und Claims-Based Authentication?

Active Directory Federation Services (AD FS) kann im Sinne von Claims-Based Authentication unter

anderem als sogenannter Identity Provider dienen. In dieser Funktion kann AD FS

Benutzerauthentifizierung auf Basis des Benutzerstamms der Domäne durchführen, sofern dieser

per Active Directory Services verwaltet wird. Andere Applikation können die Identitätsinformationen

der Benutzer dann auswerten, sofern sie dem Identity Provider entsprechend vertrauen. Sie stellen

so sogenannte Relying Parties dar.

Auf andere Weise beschrieben führt eine Applikation (= Relying Party) die Authentifizierung von

Benutzern nicht selbst durch. Wenn ein Client versucht, auf eine Applikation zuzugreifen, dann wird

er an einen Identity Provider verwiesen, dem die Applikation vertraut.

Der Client und der Identity Provider handeln die Authentifizierung ab, und im Erfolgsfall stellt der

Identity Provider dem Client ein Security Token aus. Mit diesem Security Token kehrt der Client zur

Applikation zurück und diese entscheidet, ob sie dem Identity Provider und in Konsequenz dem

Security Token vertraut.

Falls dies der Fall ist, wird dem Benutzer Zugang zur Applikation gewährt und die Applikation nutzt

die im Security Token enthaltenen Informationen zur Identifikation des Benutzers.

Falls die Applikation dem Identity Provider oder dem Security Token nicht vertraut, so wird der

Benutzer abgewiesen. Ebenso kann die Applikation aufgrund der im Security Token enthaltenen

Benutzer-bezogenen Informationen entscheiden, diesen abzuweisen.

Dieses Dokument beschreibt, wie AD FS installiert und eingerichtet wird, und wie AD FS und IDL

Workplace Server konfiguriert werden müssen, um als Identity Provider bzw. Relying Party

zusammenzuarbeiten.

Page 4: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

4 © IDL GmbH Mitte

2 Vorbereitung

Es wird in jedem Fall empfohlen, AD FS weder auf dem Domänen-Controller, noch auf dem

IDL Workplace-Server-Backend-Server zu installieren/betreiben. Dieses Dokument geht

davon aus, dass AD FS auf einem dedizierten Server installiert wird. Zu anderen

Konstellationen können von unserer Seite aus keine Aussagen gemacht werden

2.1 Installation

AD FS 3.0

Dieses Dokument beschreibt die Installation und Einrichtung von AD FS 3.0 auf einem dedizierten

Server (Windows Server 2012 R2). Es wird die Verwendung von AD FS 3.0 empfohlen, da es sich

zum Zeitpunkt des Verfassens dieses Dokuments um die neueste und umfangreichste Iteration

dieser Software handelt.

AD FS 3.0 kann nur dann ohne weiteres eingesetzt werden, wenn mindestens einer der verfügbaren

Domänencontroller auf Windows Server 2012 R2 (oder höher) betrieben wird.

Werden sämtliche Domänencontroller auf Windows Server 2008 R2 betrieben, dann wird

empfohlen, AD FS 2.0 auf Windows Server 2008 R2 zu installieren.

AD FS dient im Unternehmen als zentrale Nabe für alle Applikation, die AD FS als Identity Provider

nutzen. Verfügbarkeit hat deshalb hohe Priorität. Daher sollte AD FS nicht mit anderen Diensten

um Ressourcen konkurrieren müssen, oder sogar durch eventuelle Instabilitäten anderer Dienste

oder Anwendungen in Mitleidenschaft gezogen werden.

In diesem Sinne ist die Installation auf einem dedizierten Server ein Vorgriff auf einen späteren

Ausbau zu einer Server-Farm, um Verfügbarkeit und Ausfallsicherheit der Federated-Identity-

Infrastruktur zu gewährleisten.

2.2 Verwendung eines frei wählbaren Dienstnamens und

Einrichtung eines DNS A-Records

Ein weiterer Vorgriff auf den Ausbau zur Server-Farm ist das Einrichten eines DNS A-Records, mit

welchem der AD FS Server (bzw. Server-Farm) anhand seiner IP-Adresse mit einem frei gewählten

Dienstnamen verknüpft wird.

Dies lässt sich auch beim Betrieb eines einzelnen AD FS 3.0 Servers nicht umgehen, da es sonst

zu einem Problem mit SPNs (Service Principle Names) kommt.

AD FS 2.0 kann auch in einem „Standalone-Modus“ betrieben werden. Dazu ist das DNS A-Record

nicht notwendig und das SSL-Zertifikat kann direkt auf den Hostnamen des Servers ausgestellt sein.

Der Hostname des Servers ist in diesem Szenario gleich dem Dienstnamen.

2.3 Checkliste – Windows Server 2012 R2

Ein eigener Server, Mitglied der Domäne, Betriebssystem: Windows Server 2012 R2.

Page 5: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 5

Ein frei gewählter Dienstname, der domänenweit eindeutig ist. Beispiel: fs.contoso.com.

Verwenden Sie auf keinen Fall den Rechnernamen als Dienstnamen!

Ein SSL-Zertifikat, welches auf den gewählten Dienstnamen ausgestellt ist. Muss entweder mit

privatem Schlüssel im Personal-Bereich des Windows-Zertifikatsspeichers des lokalen Computers,

oder in Form einer .pfx-Datei vorliegen, die auch den privaten Schlüssel enthält. Ein Zertifikat, dass

auf den Namen des Rechners ausgestellt ist, kann nicht verwendet werden!

Ein DNS A-Record, welches die IP-Adresse des Servers mit dem gewählten Dienstnamen

verknüpft.

Ein Domänen-Konto, welches für den Betrieb des AD FS Dienstes verwendet werden kann.

Bei der Installation als Server Farm wird der Dienstname mit der IP-Adresse der Farm verknüpft.

2.4 Checkliste – Windows Server 2008 R2

Unter Windows Server 2008 R2 ist lediglich AD FS 1.0 als Server-Role angeboten. IDL Workplace

Server ist jedoch nicht mit AD FS 1.0 kompatibel. Stattdessen muss AD FS 2.0 von Microsoft.com

heruntergeladen (oder anderweitig bezogen) und auf dem Server installiert werden.

Ein eigener Server, Mitglied der Domäne, Betriebssystem Windows Server 2008 R2.

Ein SSL-Zertifikat, welches auf den Hostnamen des Servers ausgestellt ist. Das Zertifikat

muss sowohl den FQDN (Fully Qualified Domain Name) und den Rechnernamen enthalten.

Muss entweder mit privatem Schlüssel im Personal-Bereich des Windows-

Zertifikatsspeichers des lokalen Computers, oder in Form einer .pfx-Datei vorliegen, die

auch den privaten Schlüssel enthält.

Hinweis: Ein einfaches, selbst-signiertes SSL-Zertifikat kann mit Hilfe der IIS-Management-

Konsole erstellt werden.

Page 6: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

6 © IDL GmbH Mitte

3 Überblick

Die Einrichtung von AD FS 3.0 und anschließende Integration mit IDL Workplace Server gliedert

sich grob in sechs Schritte:

1. Installation der AD FS Windows-Rolle

2. Konfiguration von AD FS (per Assistent)

3. Einrichten der Authentifizierungsrichtlinien

4. Einrichten des Relying Party Trusts für eine IDL Workplace Server Instanz

5. Einrichten des AD FS als Identity Provider in IDL Workplace Server

6. Anlegen von Benutzerprofilen

Die Einrichtung von AD FS 2.0 und anschließende Integration mit IDL Workplace Server gliedert

sich grob in fünf Schritte:

1. Installation der AD FS Software

2. Konfiguration von AD FS

3. Einrichten des Relying Party Trusts für eine IDL Workplace Server Instanz

4. Einrichten des AD FS als Identity Provider in IDL Workplace Server

5. Anlegen von Benutzerprofilen

Page 7: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 7

4 Installation

AD FS 3.0 ist in Microsoft Windows Server 2012 R2 als Server-Rolle angeboten. Es gibt keine

anderen Rollen oder Features, die explizit mit installiert werden müssen.

Bei der Installation als Farm muss die Installation und Einrichtung der Rolle auf jedem Server

vorgenommen werden.

Starten Sie den Server Manager und installieren Sie die Server Rolle „Active Directory Federation

Services“.

Nach Abschluss der Installation fordert der Server Manager zur Konfiguration der AD FS Rolle auf.

AD FS 2.0:

Wählen Sie während der Installation als Server-Rolle „Federation Server“, nicht „Federation Server

Proxy“.

Page 8: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

8 © IDL GmbH Mitte

5 Konfigurations-Assistent (AD FS 3.0)

Im Folgenden wird die Konfiguration von AD FS 3.0 Schritt für Schritt erklärt.

Wenn Sie einen einzelnen AD FS oder den ersten AD FS einer geplanten Farm installieren, wählen

Sie die erste Option.

Page 9: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 9

Geben Sie einen administrativen Zugang zur Domäne an. Dieser Zugang wird nur für die Einrichtung

benötigt, während des späteren Betriebs wird er nicht verwendet.

Page 10: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

10 © IDL GmbH Mitte

1. Importieren Sie das vorbereitete SSL-Zertifikat oder wählen Sie es ggf. aus. Verwenden Sie

kein Zertifikat, dass auf den Rechnernamen ausgestellt ist! (Siehe Checkliste – Windows

Server 2012 R2)

2. In dieser Auswahl werden alle Subjects angezeigt, auf die das ausgewählte Zertifikat

ausgestellt wurde. Wählen Sie den Dienstnamen aus. Der Dienstname darf nicht dem

Rechnernamen entsprechen! (siehe Checkliste – Windows Server 2012 R2)

3. Wählen Sie einen Anzeigetext, der später bei Anmeldevorgängen erscheint.

Page 11: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 11

Wählen Sie das vorbereitete Domänenkonto aus.

Hinweis: Der Assistent legt automatisch eine HOST-SPN an, die den Dienstnamen mit dem hier

angegeben Domänenkonto verknüpft, um Windows-integrierte Anmeldung per Kerberos zu

ermöglichen.

Page 12: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

12 © IDL GmbH Mitte

Hier kann entschieden werden, wie ADFS seine eigene Konfiguration speichert. Für einfache

Installationen ist die erste Option ausreichend.

Page 13: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 13

Hier kann ein Powershell-Skript exportiert werden, um evtl. folgende Installationen in einer Farm zu

automatisieren.

Page 14: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

14 © IDL GmbH Mitte

Die Einrichtung kann abgeschlossen werden.

Nach Abschluss der Installation kann die Anwendung „AD FS Management“ gestartet werden.

Page 15: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 15

6 Konfigurations-Assistent (AD FS 2.0)

Diese Anleitung deckt im Folgenden nur die Einrichtung eines „Stand-alone Federation Servers“

ab.

Erstellen Sie einen neuen Federation Service.

Page 16: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

16 © IDL GmbH Mitte

Wählen Sie die „Standalone“-Option.

Page 17: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 17

Wählen Sie das vorbereitete SSL-Zertifikat aus. Der Dienstname wird automatisch aus dem

Zertifikat abgeleitet und sollte dem Hostnamen des Servers entsprechen.

Es kann ein selbstsigniertes Zertifikat verwendet werden.

Page 18: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

18 © IDL GmbH Mitte

7 Einrichten der Authentifizierungsrichtlinien

Das Einrichten der Authentifizierungsrichtlinien entfällt bei AD FS 2.0.

7.1 Per Assistent

Page 19: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 19

Page 20: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

20 © IDL GmbH Mitte

7.2 Per Powershell-CmdLet (nur AD FS 3.0)

Die Authentifizierungsrichtlinien können auch mit Hilfe des folgenden Powershell-CmdLets gesetzt

werden:

Set-AdfsGlobalAuthenticationPolicy

Page 21: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 21

8 Einrichtung des Relying Party Trusts für eine IDL

Workplace Server Instanz

8.1 Per Assistent

Die Assistenten zum Anlegen eines Relying Party Trusts und der Claim-Ausstellungs-Regeln sind

unter AD FS 3.0 und 2.0 fast identisch, die Unterschiede sind an den entsprechenden Stellen

beschrieben.

8.1.1 Anlegen des Relying Party Trusts

Page 22: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

22 © IDL GmbH Mitte

Page 23: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 23

Page 24: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

24 © IDL GmbH Mitte

Wählen Sie einen Anzeigenamen für den neuen Relying Party Trust. Dieser dient lediglich Ihrer

Übersicht. Beispiel: IDL Workplace Server auf <Computername>

Page 25: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 25

Page 26: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

26 © IDL GmbH Mitte

Page 27: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 27

IDL Workplace Server 2016, AD FS 3.0 und AD FS 2.0:

Tragen Sie bei (2) die Serveradresse der IDL Workplace Server Installation ein, gefolgt von

/WdCbiIssuer/issue/hrd.

Beispiel: https://myworkplaceserver/WdCbiIssuer/issue/hrd

Hinweis: Die Groß/Klein-Schreibung von „wdcbiissuer“ ist relevant und muss genau so

angegeben werden: WdCbiIssuer! (Issuer mit einem großen „i“ und nicht mit einem kleinen

„L“.)

IDL Workplace Server 2016 Update 1 und Update 2, AD FS 2.0:

Tragen Sie bei (2) die Serveradresse der IDL Workplace Server Installation ein, gefolgt von

/federationprovider/core/wsfedcallback.

Beispiel: https://myworkplaceserver/federationprovider/core/wsfedcallback

Achtung! Groß-/Kleinschreibung muss exakt übernommen werden!

Page 28: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

28 © IDL GmbH Mitte

Entfernen Sie den automatisch erstellten Relying Party Trust Identifier (1, 2)

Tragen Sie bei (3) folgenden URI ein: http://<Computername>/idlwps/internalidp und fügen Sie

sie diese mit Hilfe von Add hinzu (4).

Beispiel: http://myworkplaceserver/idlwps/internalidp

Page 29: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 29

Die Frage nach Multi-Factor-Authentication entfällt bei AD FS 2.0.

Page 30: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

30 © IDL GmbH Mitte

Page 31: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 31

Page 32: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

32 © IDL GmbH Mitte

Die Einrichtung der Ausstellungsregeln erfolgt in einem späteren Schritt, daher sollte diese

Checkbox deaktiviert werden.

Page 33: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 33

Nur AD FS 3.0 (IDL Workplace Server 2016, 2016 Update 1 und Update 2):

Zusätzlich zur gerade fertiggestellten Konfiguration muss noch ein weiterer Endpunkt zum Relying

Party Trust hinzugefügt werden.

Page 34: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

34 © IDL GmbH Mitte

Page 35: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 35

Tragen Sie bei (1) die Serveradresse der IDL Workplace Server Installation ein, gefolgt von

/federationprovider/core/wsfedcallback.

Beispiel: https://myworkplaceserver/federationprovider/core/wsfedcallback

Achtung! Groß-/Kleinschreibung muss exakt übernommen werden!

Page 36: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

36 © IDL GmbH Mitte

8.1.2 Einrichten der Claims-Ausstellungsregeln

Page 37: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 37

Page 38: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

38 © IDL GmbH Mitte

Page 39: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 39

Die somit eingerichtete Regel sorgt dafür, dass der User-Principal-Name in Form zweier Claims

ausgestellt wird. Beide werden von IDL Workplace Server benötigt.

Page 40: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

40 © IDL GmbH Mitte

8.2 Per Powershell CmdLet (nur AD FS 3.0)

Relying Parties können auch mit Hilfe der folgenden Powershell-CmdLets ausgelesen oder erzeugt

werden:

Get-AdfsRelyingPartyTrust

Add-AdfsRelyingPartyTrust

Page 41: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 41

9 Einrichten des AD FS als Identity Provider in IDL

Workplace Server

Die Einrichtung von AD FS 3.0 und 2.0 ist seitens IDL Workplace-Server identisch.

Starten Sie das Web-Portal Ihrer IDL Workplace Server Instanz (Beispiel:

https://myworkplaceserver/portal), melden Sie sich mit einem administrativen Zugang an und

begeben Sie sich in den Administrationsbereich.

Legen Sie einen neuen Identity Provider an.

Page 42: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

42 © IDL GmbH Mitte

Der Anzeigename (1) dient der Unterscheidung des AD FS Identity Providers vom internen Identity

Provider während des Anmeldevorgangs.

Die Beschreibung (2) ist optional und dient nur Ihrer eigenen Übersicht.

Das Realm (3) setzt sich standardmäßig folgendermaßen zusammen:

http://<Ad FS Dienstname>/adfs/services/trust

Der Realm kann auch in AD FS Management eingesehen werden.

Der Federation Endpoint (4) setzt sich standardmäßig folgendermaßen zusammen:

https://<AD FS Dienstname>/adfs/ls/

Der Pfad der Adresse kann auch in AD FS Management eingesehen werden.

Der Thumbprint (5) ist der Thumbprint des Zertifikats, welches von AD FS benutzt wird, um

ausgehende Security Tokens zu signieren.

Das Zertifikat kann in AD FS Management eingesehen werden.

Page 43: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 43

9.1 Einsehen des Identity Provider Realms bzw. Federation Service

Identifiers

Page 44: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

44 © IDL GmbH Mitte

9.2 Einsehen des Federation Endpoint Pfades

Page 45: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 45

9.3 Einsehen des Signierungs-Zertifikats-Thumbprints

Page 46: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

46 © IDL GmbH Mitte

Hinweis: Der Inhalt der Detailanzeige (3) kann per Maus markiert und per <Strg>+<C> in die

Zwischenablage kopiert werden, um die Übertragung in den Administrationsbereich von IDL

Workplace Server zu erleichtern.

Page 47: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 47

10 Anlegen von Benutzerprofilen

Für alle Benutzer, die sich per AD FS anmelden können sollen, müssen im Vorfeld Benutzerprofile

in IDL Workplace Server angelegt werden.

Starten Sie das Web-Portal Ihrer IDL Workplace Server Instanz (Beispiel:

https://myworkplaceserver/portal), melden Sie sich mit einem administrativen Zugang an und

begeben Sie sich in den Administrationsbereich.

Legen Sie einen neuen Benutzer für Ihren AD FS an.

Page 48: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

48 © IDL GmbH Mitte

Damit beim Anmeldevorgang die Zuordnung des Benutzers zu seinem Profil funktioniert, muss der

Benutzername exakt so angegeben werden, wird er in der Windows-Domäne lautet. Außerdem

muss die UPN-Schreibweise verwendet werden:

<Windows-Login-Name>@<FQDN-Domäne>

Beispiele: [email protected], [email protected]

Alle weiteren Felder können frei besetzt werden.

Page 49: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 49

11 Anmeldevorgang

Sobald mindestens ein Identity Provider im IDL Workplace Server eingerichtet ist, erscheint beim

Anmeldevorgang eine entsprechende Auswahlmaske.

Wenn ein AD FS Identity Provider ausgewählt wird, hängt der weitere Ablauf davon ab, inwiefern

Windows-integrierte Anmeldung (WIA) möglich ist.

Bei voll funktionierender WIA erscheint keine weitere Aufforderung, Zugangsdaten einzugeben.

Andernfalls erscheint ein Browser-eigener Anmeldedialog. Hier muss der Benutzername in der

Domäne\Name-Schreibweise angegeben werden.

Page 50: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

50 © IDL GmbH Mitte

Beispiele: whiteduck\fred, contoso\mustermann

Ist in den AD FS Authentifizierungsrichtlinien im Abschnitt Intranet ausschließlich Forms

Authentication aktiviert, dann erscheint der Anmeldedialog des AD FS. Hier muss der

Benutzername in der UPN-Schreibweise angegeben werden.

Beispiele: [email protected], [email protected]

Page 51: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 51

12 Windows-integrierte Anmeldung

Um Windows-integrierte Anmeldung (WIA) zu nutzen empfiehlt es sich, Microsoft Internet Explorer

einzusetzen.

12.1 Mit Internet Explorer

Um WIA mit Internet Explorer zu ermöglichen, muss in den Internet Options der AD FS

Dienstname unter Local Intranet Zone eingetragen werden.

Tragen Sie bei (5) den Ad FS Dienstnamen ein: https://<AD FS Dienstname>

Page 52: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

52 © IDL GmbH Mitte

12.2 Mit anderen Browsern

12.2.1 Mozilla Firefox

Hinzufügen von User Agents zur Liste der unterstützten User Agents

Um WIA zu ermöglichen, muss im AD FS 3.0 die User Agent Identification bekannt gemacht

werden. Dies kann ausschließlich mit Hilfe des folgenden PowerShell-CmdLets durchgeführt

werden:

Set-AdfsProperties

Bekanntmachen des AD FS Dienstnamens in Mozilla Firefox

Starten Sie Mozilla Firefox und navigieren Sie zu folgender Adresse:

about:config?filter=network.automatic-ntlm-auth.trusted-uris

Fügen Sie bei (´3) den Ad FS Dienstnamen hinzu: https://<AD FS Dienstname>

Hinweis: Mehrere Werte können per Komma getrennt werden.

12.2.2 Google Chrome Die Anmeldung mit Google Chrome ist nur möglich, wenn in den AD FS

Authentifizierungsrichtlinien im Abschnitt Intranet ausschließlich Forms Authentication aktiviert ist.

WIA mit Google Chrome ist leider nicht möglich, es sei denn, das Feature „Extended Protection“

wird am AD FS deaktiviert. Dies ist allerdings nicht empfohlen und ist daher hier nicht weiter

dokumentiert.

12.2.3 Apple Safari Die Anmeldung mit Apple Safari ist nur möglich, wenn in den AD FS Authentifizierungsrichtlinien

im Abschnitt Intranet ausschließlich Forms Authentication aktiviert ist.

Page 53: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

© IDL GmbH Mitte 53

12.2.4 Weitere Browser Weitere Browser werden zu diesem Zeitpunkt nicht offiziell unterstützt.

Page 54: Windows-Authentifizierung mit AD FS - IDL Workplace Server ...help.idl.eu/v10/de-de/documents/Windows-Authentifizierung - IDL... · Windows-Authentifizierung mit AD FS Installation

IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)

54 © IDL GmbH Mitte

13 Troubleshooting

13.1 Grundsätzliche Protokollierung von Ereignissen für AD FS

In der Ereignisanzeige von Windows findet man unter „Applications and Services Logs“ die

Einträge für AD FS.

13.2 Erweiterte Protokollierung von Ereignissen

Um Problemen bei der Anmeldung an AD FS auf die Spur zu kommen, kann in AD FS

Management in den Federation Service Properties die Erzeugung von Windows-Ereignissen für

Sicherheitsaudits aktiviert werden.

Um im speziellen Problemen bei Kerberos-basierter WIA auf die Spur zu kommen, kann auf dem

AD FS Server folgender Registrierungsschlüssel gesetzt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Registry Value: LogLevel

Value Type: REG_DWORD

Value Data: 0x1

Dies aktiviert die Erzeugung von Windows-Ereignissen im Zusammenhang mit Kerberos-

Vorgängen.

13.3 Extended Protection Probleme

Einen EP-Fehler erkennt man daran, dass AD FS-serverseitig im Windows Event Log unter

Security Einträge auftauchen, die Audit Failure als Schlüsselwort haben und in denen unter

Failure Information der Status 0xC000035B auftaucht.

Dies ist ein Anzeichen dafür, dass der eingesetzte Browser versucht, WIA zu fahren, aber an EP

scheitert.

Mögliche Abhilfen:

Anderen Browser verwenden

WIA in den Authentifizierungsrichtlinien des AD FS zu Gunsten von Forms Authentication

deaktivieren

EP deaktivieren (nicht empfohlen)