Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Live Search
spaceKeyDOK
placeholderSuchen
labelsSearch


Expand
titleINHALTSVERZEICHNIS
Table of Contents

AD FS wird in dieser Version in Kombination mit einem SAML-Verband verwendet. Bevorzugen Sie eine OIDC-Föderation in neueren Versionen, finden Sie über den folgenden Link Informationen zu den Metadaten.

Voraussetzungen

  1. Der Server muss Teil der Active Directory-Zieldomäne sein

  2. Die Server-Rolle "Active Directory Federation Services" muss auf dem Server installiert und konfiguriert werden

  3. Die in er Microsoft-Dokumentation unter Schritt 2 “Install a server SSL certificate”, “Install the AD FS server role” und “Configure the federation server” aufgeführten Teile können Ihnen an dieser Stelle besonders weiterhelfen.

Es ist keine weitere Konfiguration in AD FS erforderlich, um die SAML-Authentifizierung zu aktivieren.

Für die erfolgreiche Schaffung einer SAML-Föderation zwischen AD FS und Okta gibt es einige wenige Felder, die für unsere Okta-Lösung erforderlich sind. Der AD FS muss eine E-Mail-Adresse, Vor- und Nachname sowie eine E-Mail-Adresse als NameID angeben.

Konfiguration in AD FS:

Die Schritte können sich in Bezug auf die Version und die Serverversion ändern. Sie können sich auch in Bezug auf die spezifischen Felder ändern, die in der aktuellen AD FS-Instanz verfügbar sind.

Schritt 1: Vertrauen in eine vertrauenswürdige Partei schaffen

Image Modified

Im zweiten Schritt des Konfigurationsassistenten können und sollten dann die Informationen über eine von Okta bereitgestellte metadata.xml-Datei importiert werden. Diese enthält alle Informationen, die zum Abschluss des Assistenten benötigt werden.

Image Modified

Schritt 2: Anspruchsregeln erstellen

Alle Anspruchsregeln für den ehemals gegründeten Party Trust finden Sie hier:

Image Modified

Neue Regeln können durch Klicken auf "Add Rule…" erstellt werden:

Image Modified

Die folgenden drei Regeln müssen erstellt werden:

Attribute claims from AD

Pass E-Mail Claims

Email to NameID

Schritt 3: Überprüfen Sie die Reihenfolge der Anspruchsregeln (wichtig!)