...
| Expand | ||
|---|---|---|
| ||
|
...
AD FS will be used in combination with a SAML federation in that version. Prefer a OIDC federation in newer versions. For example Metadata seewird in dieser Version in Kombination mit einem SAML-Verband verwendet. Bevorzugen Sie eine OIDC-Föderation in neueren Versionen. Zum Beispiel Metadaten siehe: https://sso.questback.com/FederationMetadata/2007-06/FederationMetadata.xml
Prerequisites
The Server has to be part of the target Active Directory Domain
The Server Role “Active Directory Federation Services” has to be installed and configured on the server
The three parts “Install a server SSL certificate”, “Install the AD FS server role” and “Configure the federation server” under Step 2 of this Microsoft documentation are quite helpful here.
There is no further Configuration needed in AD FS to enable SAML authentication.
To successfully create a SAML federation between AD FS and Okta there are a few fields that are required by our Okta solution. The AD FS has to provide email-address, first name and last name as well as an email-address as NameID.
Configuration in AD FS:
The steps might change with regards to the version and server version. They might also change with respect to the specific fields that are available in the actual AD FS instance.
Step 1: Create a Relying Party Trust
...
On the second step of the configuration wizard, the information can and should be imported via a metadata.xml file provided by Okta. This contains all information needed to complete the wizard.
...
Step 2: Create Claim Rules
All claim rules for the formerly created Party Trust can be found here:
...
New rules can be created by clicking on “Add Rule…”:
...
The following three rules have to be created:
Attribute claims from AD
...
Pass E-Mail Claims
...
Email to NameID
...
Der Server muss Teil der Active Directory-Zieldomäne sein
Die Server-Rolle "Active Directory Federation Services" muss auf dem Server installiert und konfiguriert werden
Die drei Teile "Installieren eines Server-SSL-Zertifikats", "Installieren der AD FS-Serverrolle" und "Konfigurieren des Föderationsservers" unter Schritt 2 von this Microsoft documentation sind hier recht hilfreich.
Es ist keine weitere Konfiguration in AD FS erforderlich, um die SAML-Authentifizierung zu aktivieren.
Für die erfolgreiche Schaffung einer SAML-Föderation zwischen AD FS und Okta gibt es einige wenige Felder, die für unsere Okta-Lösung erforderlich sind. Der AD FS muss eine E-Mail-Adresse, Vor- und Nachname sowie eine E-Mail-Adresse als NameID angeben.
Konfiguration in AD FS:
Die Schritte können sich in Bezug auf die Version und die Serverversion ändern. Sie können sich auch in Bezug auf die spezifischen Felder ändern, die in der aktuellen AD FS-Instanz verfügbar sind.
Schritt 1: Vertrauen in eine vertrauenswürdige Partei schaffen
...
Im zweiten Schritt des Konfigurationsassistenten können und sollten die Informationen über eine von Okta bereitgestellte metadata.xml-Datei importiert werden. Diese enthält alle Informationen, die zum Abschluss des Assistenten benötigt werden.
...
Schritt 2: Anspruchsregeln erstellen
Alle Anspruchsregeln für den ehemals gegründeten Party Trust finden Sie hier:
...
Neue Regeln können durch Klicken auf "Regel hinzufügen..." erstellt werden:
...
Die folgenden drei Regeln müssen erstellt werden:
Attribut-Ansprüche von AD
...
E-Mail-Ansprüche weiterleiten
...
E-Mail zu NameID
...
Schritt 3: Überprüfen Sie die Reihenfolge der Anspruchsregeln (wichtig!)
...