Zum Hauptinhalt springen

Voraussetzungen

  • Stellen Sie sicher, dass Sie eine Vantage-Mandantenkennung haben, bevor Sie Identitäten konfigurieren. Um eine Mandantenkennung zu erhalten, klicken Sie in ABBYY Vantage auf Configuration. Die Kennung finden Sie auf der Registerkarte General.
  • Erstellen Sie eine Redirect-URI, um die Authentifizierungsantworten zu empfangen. Die URI lautet:
    https://<your-vantage-url>/auth2/Saml2/Acs

Einrichtung

Der Einrichtungsprozess umfasst die folgenden Schritte:

Hinzufügen einer Anspruchsbeschreibung

  1. Öffnen Sie die Verwaltungskonsole.
  2. Wählen Sie Service > Claim Descriptions. Klicken Sie auf Add Claim Description.
  3. Füllen Sie die erforderlichen Felder aus:
    • Geben Sie einen Anzeigenamen an, z. B. Persistent Identifier.
    • Geben Sie einen Anspruchstyp an: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
    • Wählen Sie Publish this claim description in federation metadata as a claim type that this federation service can accept.
    • Wählen Sie Publish this claim description in federation metadata as a claim type that this federation service can send.
Anspruchsbeschreibung hinzufügen
  1. Klicken Sie auf OK.
Jetzt können Sie steuern, wie Benutzerattribute zwischen verschiedenen Systemen zugeordnet werden.

Konfigurieren einer Vertrauensstellung für vertrauende Seite

Führen Sie die folgenden Schritte aus, um eine ADFS-Vertrauensstellung für eine vertrauende Seite zu erstellen:
  1. Wählen Sie im Konsolenbaum unter AD FS Trust Relationships > Relying Party Trusts > Add Relying Party Trust.
  2. Wählen Sie auf der Seite Welcome Claims aware und klicken Sie auf Start.
  3. Wählen Sie auf der Seite Select Data Source Enter data about the relying party manually und klicken Sie dann auf Next.
  4. Geben Sie auf der Seite Specify Display Name einen beliebigen Namen in Display Name ein und klicken Sie dann auf Next.
  5. Wählen Sie auf der Seite Choose Profile das ADFS 2.0-Profil aus und klicken Sie auf Next.
  6. Klicken Sie auf der Seite Configure Certificate auf Next.
  7. Aktivieren Sie auf der Seite Configure URL die Option Enable support for the SAML 2.0 WebSSO protocol. Geben Sie unter Relying party SAML 2.0 SSO service URL https://<your-vantage-url>/auth2/Saml2/Acs ein und klicken Sie dann auf Next.
  8. Führen Sie zum Konfigurieren von Identitäten die folgenden Schritte aus:
    • Geben Sie unter Relying party trust identifier api://platform.abbyy.cloud/tenantId ein, wobei tenantId der Mandantenbezeichner im GUID-Format ohne Bindestriche ist (zum Beispiel 117489fc1aea41658369d4d18d6557ga), und klicken Sie dann auf Add.
    • Wählen Sie im sich öffnenden Fenster die Registerkarte Expose an API aus und ersetzen Sie die Application ID URI durch api://platform.abbyy.cloud/tenantId, wobei tenantId der Mandantenbezeichner im GUID-Format ohne Bindestriche ist (zum Beispiel 117489fc1aea41658369d4d18d6557ga). Klicken Sie auf Add und dann auf Next.
  9. Wenn Sie allen Benutzern Zugriff auf Vantage gewähren möchten, wählen Sie Permit all users to access this relying party im Fenster Choose Issuance Authorization Rules. Alternativ wählen Sie Permit specific group und geben die gewünschte Gruppe an, wenn nur diese spezielle Gruppe Zugriff erhalten soll. Klicken Sie auf Next.
  10. Überprüfen Sie auf der Seite Ready to Add Trust die Einstellungen. Klicken Sie auf Next und anschließend auf Close.
Eine Vertrauensbeziehung zwischen einem Identitätsanbieter und ABBYY Vantage wird hergestellt.

Hinzufügen von Regeln zur Transformation eines eingehenden Claims

Gehen Sie wie folgt vor, um Regeln zur Transformation eines eingehenden Claims anzuwenden:
  1. Klicken Sie auf Relying Party Trusts.
  2. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung und anschließend auf Edit Claim Issuance Policy.
  3. Klicken Sie im Fenster Edit Claim Issuance Policy for <name>, das geöffnet wird, auf Add Rule.
Ausstellungsrichtlinie für Claims bearbeiten
  1. Wählen Sie die Claim-Regelvorlage Transform an Incoming Claim und klicken Sie dann auf Next.
Eingehenden Claim transformieren
  1. Wählen Sie den Schritt Configure Claim Rule und geben Sie Folgendes an:
    • Geben Sie unter Claim rule name TransformWindows account name an.
    • Wählen Sie unter Incoming claim type Windows account name.
    • Wählen Sie unter Outgoing claim type Name ID.
    • Wählen Sie unter Outgoing name ID format Persistent Identifier.
    • Wählen Sie Pass through all claim values.
Claim-Regel konfigurieren
  1. Klicken Sie auf Finish.
  2. Fügen Sie eine weitere Regel hinzu, um sicherzustellen, dass E-Mail- und Namens-Claims im ausgestellten Token enthalten sind. Wählen Sie auf der Seite Select Rule Template unter Claim rule template Send LDAP Attributes as Claims und klicken Sie anschließend auf Next.
LDAP-Attribute als Claims senden
  1. Wählen Sie auf der Seite Configure Claim Rule unter Claim rule name den Attributspeicher Active Directory aus und klicken Sie anschließend auf Finish.
Active-Directory-Attributspeicher
  1. Die hinzugefügten Regeln werden im Dialogfeld Edit Claim Rules angezeigt.
Dialogfeld „Claim-Regeln bearbeiten“

Nächste Schritte

Richten Sie für Ihren Mandanten in Vantage die Authentifizierung über einen externen Identitätsanbieter (SAML 2.0) ein. Dafür wird die URL des Föderationsmetadatendokuments im folgenden Format benötigt: https://<adfs_server_address>/federationmetadata/2007-06/federationmetadata.xml. Zum Beispiel: https://adfs.platform.local/federationmetadata/2007-06/federationmetadata.xml. Weitere Informationen finden Sie unter Einrichten eines externen Identitätsanbieters für einen Mandanten.