Active Directory als externer SAML-2.0-Identitätsanbieter

Voraussetzungen

Stellen Sie sicher, dass Sie eine Vantage-Mandantenkennung haben, bevor Sie Identitäten konfigurieren. Um eine Mandantenkennung zu erhalten, klicken Sie in ABBYY Vantage auf Configuration. Die Kennung finden Sie auf der Registerkarte General.
Erstellen Sie eine Redirect-URI, um die Authentifizierungsantworten zu empfangen. Die URI lautet: https://<your-vantage-url>/auth2/Saml2/Acs

Einrichtung

Der Einrichtungsprozess umfasst die folgenden Schritte:

Hinzufügen einer Anspruchsbeschreibung
Konfigurieren der Vertrauensstellung für die vertrauende Partei
Hinzufügen von Regeln zur Transformation eingehender Ansprüche

Hinzufügen einer Anspruchsbeschreibung

Öffnen Sie die Verwaltungskonsole

Öffnen Sie die AD FS-Verwaltungskonsole.

Öffnen Sie Add Claim Description

Wählen Sie Service > Claim Descriptions. Klicken Sie auf Add Claim Description.

Füllen Sie die Anspruchsbeschreibung aus

Geben Sie Folgendes an:

Anzeigename — zum Beispiel Persistent Identifier.
Anspruchstyp — urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
Wählen Sie Publish this claim description in federation metadata as a claim type that this federation service can accept.
Wählen Sie Publish this claim description in federation metadata as a claim type that this federation service can send.

Dialogfeld „AD FS Add Claim Description“ mit den Feldern für Anzeigename und Anspruchstyp „Persistent Identifier“

Bestätigen

Klicken Sie auf OK.

Jetzt können Sie steuern, wie Benutzerattribute zwischen verschiedenen Systemen zugeordnet werden.

Konfigurieren einer Vertrauensstellung für die vertrauende Partei

Gehen Sie wie folgt vor, um eine AD FS-Vertrauensstellung für die vertrauende Partei zu erstellen:

Eine Vertrauensstellung für die vertrauende Partei hinzufügen

Wählen Sie in der Konsolenstruktur unter AD FS Trust Relationships > Relying Party Trusts > Add Relying Party Trust aus.

Den Assistenten starten

Wählen Sie auf der Seite Welcome Claims aware aus und klicken Sie auf Start.

Die Datenquelle auswählen

Wählen Sie auf der Seite Select Data Source Enter data about the relying party manually aus und klicken Sie anschließend auf Next.

Einen Anzeigenamen angeben

Geben Sie auf der Seite Specify Display Name in Display Name einen beliebigen Namen ein und klicken Sie anschließend auf Next.

Das Profil auswählen

Wählen Sie auf der Seite Choose Profile das AD FS 2.0 profile aus und klicken Sie anschließend auf Next.

Das Zertifikat konfigurieren

Klicken Sie auf der Seite Configure Certificate auf Next.

Die URL konfigurieren

Wählen Sie auf der Seite Configure URL Enable support for the SAML 2.0 WebSSO protocol aus. Geben Sie unter Relying party SAML 2.0 SSO service URL https://<your-vantage-url>/auth2/Saml2/Acs ein und klicken Sie anschließend auf Next.

Identitäten konfigurieren

Geben Sie unter Relying party trust identifier api://platform.abbyy.cloud/tenantId ein, wobei tenantId die Mandantenkennung im GUID-Format ohne Bindestriche ist (zum Beispiel 117489fc1aea41658369d4d18d6557ga). Dieser Wert wird als Application ID URI für die Authentifizierung verwendet. Kopieren Sie diesen Wert — Sie benötigen ihn beim Konfigurieren des externen Identitätsanbieters in Vantage. Klicken Sie auf Add.
Legen Sie auf der Registerkarte Expose an API den Application ID URI auf denselben Wert fest, den Sie oben eingegeben haben (zum Beispiel api://cccc3333-dddd-4444-eeee-5555ffff6666). Klicken Sie auf Add und anschließend auf Next.

Autorisierungsregeln für die Ausgabe auswählen

Um Vantage allen Benutzern Zugriff zu gewähren, wählen Sie Permit all users to access this relying party aus. Um den Zugriff auf eine bestimmte Gruppe zu beschränken, wählen Sie Permit specific group aus und geben Sie die Gruppe an. Klicken Sie auf Next.

Die Vertrauensstellung hinzufügen

Überprüfen Sie auf der Seite Ready to Add Trust die Einstellungen. Klicken Sie auf Next und dann auf Close.

Damit wird eine Vertrauensbeziehung zwischen einem Identitätsanbieter und ABBYY Vantage eingerichtet.

Regeln zum Transformieren eines eingehenden Anspruchs hinzufügen

Gehen Sie wie folgt vor, um Regeln zum Transformieren eines eingehenden Anspruchs anzuwenden:

Vertrauensstellungen für die vertrauende Partei öffnen

Klicken Sie auf Vertrauensstellungen für die vertrauende Partei.

Die Anspruchsausgaberichtlinie bearbeiten

Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung und dann auf Anspruchsausgaberichtlinie bearbeiten.

Eine Regel hinzufügen

Klicken Sie im Fenster Anspruchsausgaberichtlinie für <name> bearbeiten auf Regel hinzufügen.

AD FS-Dialogfeld zum Bearbeiten der Anspruchsausgaberichtlinie mit der Schaltfläche „Regel hinzufügen“ für SAML-Anspruchsregeln

Die Regelvorlage auswählen

Wählen Sie die Anspruchsregelvorlage Eingehenden Anspruch transformieren aus und klicken Sie dann auf Weiter.

AD FS-Assistent zum Hinzufügen einer Transform Claim Rule mit ausgewählter Vorlage „Transform an Incoming Claim“

Die Anspruchsregel konfigurieren

Wählen Sie den Schritt Anspruchsregel konfigurieren aus und geben Sie dann Folgendes an:

Name der Anspruchsregel — TransformWindows account name.
Typ des eingehenden Anspruchs — Windows account name.
Typ des ausgehenden Anspruchs — Name ID.
Format der ausgehenden Name ID — Persistent Identifier.
Wählen Sie Alle Anspruchswerte weiterleiten aus.

AD FS-Schritt zum Konfigurieren der Anspruchsregel mit „Windows account name“ als eingehendem Anspruch und „Persistent Identifier“ als ausgehendem Format

Die erste Regel abschließen

Klicken Sie auf Fertig stellen.

Eine Regel „LDAP-Attribute als Ansprüche senden“ hinzufügen

Fügen Sie eine weitere Regel hinzu, um sicherzustellen, dass E-Mail- und Namensansprüche im ausgestellten Token enthalten sind. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie dann auf Weiter.

AD FS-Assistent zum Hinzufügen einer Transform Claim Rule mit ausgewählter Vorlage „Send LDAP Attributes as Claims“

Die LDAP-Regel konfigurieren

Wählen Sie auf der Seite Anspruchsregel konfigurieren unter Name der Anspruchsregel den Attributspeicher Active Directory aus und klicken Sie dann auf Fertig stellen.

AD FS-Schritt „Anspruchsregel konfigurieren“ mit dem Attributspeicher „Active Directory“ sowie LDAP-Attributzuordnungen für E-Mail und Name

Die Regeln überprüfen

Die hinzugefügten Regeln werden im Dialogfeld Anspruchsregeln bearbeiten angezeigt.

AD FS-Dialogfeld „Anspruchsregeln bearbeiten“, das sowohl die Regel „Persistent Identifier“ als auch „Send LDAP Attributes as Claims“ zeigt

Nächste Schritte

Sobald AD FS konfiguriert ist, verbinden Sie es mit Ihrem Vantage-Mandanten. Dafür wird die URL des Föderationsmetadatendokuments im folgenden Format benötigt: https://<adfs-server-address>/federationmetadata/2007-06/federationmetadata.xml — zum Beispiel https://adfs.platform.local/federationmetadata/2007-06/federationmetadata.xml. Informationen zur Einrichtung auf Vantage-Seite finden Sie unter Einrichten eines externen Identitätsanbieters für einen Mandanten.

Konfigurieren eines externen SAML 2.0-Identitätsanbieters

Überblick über die SAML 2.0-Einrichtung für AD FS oder Azure AD

Azure Active Directory als externer SAML 2.0-Identitätsanbieter

Konfigurieren Sie Azure AD anstelle von lokalem AD FS

Einrichten eines externen Identitätsanbieters für einen Mandanten

Verbinden Sie AD FS mit Ihrem Vantage-Mandanten

Testen der externen Authentifizierung

Überprüfen Sie den externen Identitätsanbieter, bevor sich Benutzer anmelden

Documentation Index

​Voraussetzungen

​Einrichtung

​Hinzufügen einer Anspruchsbeschreibung

​Konfigurieren einer Vertrauensstellung für die vertrauende Partei

​Regeln zum Transformieren eines eingehenden Anspruchs hinzufügen

​Nächste Schritte

​Verwandte Themen