AD FS wird in dieser Version in Kombination mit einem SAML-Verband verwendet. Bevorzugen Sie eine OIDC-Föderation in neueren Versionen, finden Sie über den folgenden Link Informationen zu den Metadaten.
OIDC-Föderation (Metadaten) | https://sso.questback.com/FederationMetadata/2007-06/FederationMetadata.xml |
Voraussetzungen
Der Server muss Teil der Active Directory-Zieldomäne sein
Die Server-Rolle "Active Directory Federation Services" muss auf dem Server installiert und konfiguriert werden
Die drei Teile "Installieren eines Server-SSL-Zertifikats", "Installieren der AD FS-Serverrolle" und "Konfigurieren des Föderationsservers" unter Schritt 2 von this Microsoft documentation sind hier recht hilfreich.
Es ist keine weitere Konfiguration in AD FS erforderlich, um die SAML-Authentifizierung zu aktivieren.
Für die erfolgreiche Schaffung einer SAML-Föderation zwischen AD FS und Okta gibt es einige wenige Felder, die für unsere Okta-Lösung erforderlich sind. Der AD FS muss eine E-Mail-Adresse, Vor- und Nachname sowie eine E-Mail-Adresse als NameID angeben.
Konfiguration in AD FS:
Die Schritte können sich in Bezug auf die Version und die Serverversion ändern. Sie können sich auch in Bezug auf die spezifischen Felder ändern, die in der aktuellen AD FS-Instanz verfügbar sind.
Schritt 1: Vertrauen in eine vertrauenswürdige Partei schaffen
Im zweiten Schritt des Konfigurationsassistenten können und sollten die Informationen über eine von Okta bereitgestellte metadata.xml-Datei importiert werden. Diese enthält alle Informationen, die zum Abschluss des Assistenten benötigt werden.
Schritt 2: Anspruchsregeln erstellen
Alle Anspruchsregeln für den ehemals gegründeten Party Trust finden Sie hier:
Neue Regeln können durch Klicken auf "Regel hinzufügen..." erstellt werden:
Die folgenden drei Regeln müssen erstellt werden:
Attribut-Ansprüche von AD
E-Mail-Ansprüche weiterleiten
E-Mail zu NameID