> ## Documentation Index
> Fetch the complete documentation index at: https://docs.abbyy.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Active Directory als externer SAML-2.0-Identitätsanbieter

> Active Directory Federation Services (AD FS) als externen SAML-2.0-Identitätsanbieter für Ihren ABBYY Vantage-Mandanten konfigurieren.

<div id="prerequisites">
  ## Voraussetzungen
</div>

* Stellen Sie sicher, dass Sie eine Vantage-Mandantenkennung haben, bevor Sie Identitäten konfigurieren. Um eine Mandantenkennung zu erhalten, klicken Sie in ABBYY Vantage auf **Configuration**. Die Kennung finden Sie auf der Registerkarte **General**.
* Erstellen Sie eine Redirect-URI, um die Authentifizierungsantworten zu empfangen. Die URI lautet:
  `https://<your-vantage-url>/auth2/Saml2/Acs`

<div id="setup">
  ## Einrichtung
</div>

Der Einrichtungsprozess umfasst die folgenden Schritte:

* [Hinzufügen einer Anspruchsbeschreibung](#adding-a-claim-description)
* [Konfigurieren der Vertrauensstellung für die vertrauende Partei](#configuring-a-relying-party-trust)
* [Hinzufügen von Regeln zur Transformation eingehender Ansprüche](#adding-rules-to-transform-an-incoming-claim)

<div id="adding-a-claim-description">
  ### Hinzufügen einer Anspruchsbeschreibung
</div>

<Steps>
  <Step title="Öffnen Sie die Verwaltungskonsole">
    Öffnen Sie die AD FS-Verwaltungskonsole.
  </Step>

  <Step title="Öffnen Sie Add Claim Description">
    Wählen Sie **Service > Claim Descriptions**. Klicken Sie auf **Add Claim Description**.
  </Step>

  <Step title="Füllen Sie die Anspruchsbeschreibung aus">
    Geben Sie Folgendes an:

    * **Anzeigename** — zum Beispiel `Persistent Identifier`.
    * **Anspruchstyp** — `urn:oasis:names:tc:SAML:2.0:nameid-format:persistent`.
    * Wählen Sie **Publish this claim description in federation metadata as a claim type that this federation service can accept**.
    * Wählen Sie **Publish this claim description in federation metadata as a claim type that this federation service can send**.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_1.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=ac11e65fe576aa3a7cd27a277b3d3772" alt="Dialogfeld „AD FS Add Claim Description“ mit den Feldern für Anzeigename und Anspruchstyp „Persistent Identifier“" style={{ width:"71%" }} width="638" height="610" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_1.png" />
    </Frame>
  </Step>

  <Step title="Bestätigen">
    Klicken Sie auf **OK**.
  </Step>
</Steps>

Jetzt können Sie steuern, wie Benutzerattribute zwischen verschiedenen Systemen zugeordnet werden.

<div id="configuring-a-relying-party-trust">
  ### Konfigurieren einer Vertrauensstellung für die vertrauende Partei
</div>

Gehen Sie wie folgt vor, um eine AD FS-Vertrauensstellung für die vertrauende Partei zu erstellen:

<Steps>
  <Step title="Eine Vertrauensstellung für die vertrauende Partei hinzufügen">
    Wählen Sie in der Konsolenstruktur unter **AD FS** **Trust Relationships > Relying Party Trusts > Add Relying Party Trust** aus.
  </Step>

  <Step title="Den Assistenten starten">
    Wählen Sie auf der Seite **Welcome** **Claims aware** aus und klicken Sie auf **Start**.
  </Step>

  <Step title="Die Datenquelle auswählen">
    Wählen Sie auf der Seite **Select Data Source** **Enter data about the relying party manually** aus und klicken Sie anschließend auf **Next**.
  </Step>

  <Step title="Einen Anzeigenamen angeben">
    Geben Sie auf der Seite **Specify Display Name** in **Display Name** einen beliebigen Namen ein und klicken Sie anschließend auf **Next**.
  </Step>

  <Step title="Das Profil auswählen">
    Wählen Sie auf der Seite **Choose Profile** das **AD FS 2.0 profile** aus und klicken Sie anschließend auf **Next**.
  </Step>

  <Step title="Das Zertifikat konfigurieren">
    Klicken Sie auf der Seite **Configure Certificate** auf **Next**.
  </Step>

  <Step title="Die URL konfigurieren">
    Wählen Sie auf der Seite **Configure URL** **Enable support for the SAML 2.0 WebSSO protocol** aus. Geben Sie unter **Relying party SAML 2.0 SSO service URL** `https://<your-vantage-url>/auth2/Saml2/Acs` ein und klicken Sie anschließend auf **Next**.
  </Step>

  <Step title="Identitäten konfigurieren">
    * Geben Sie unter **Relying party trust identifier** `api://platform.abbyy.cloud/tenantId` ein, wobei `tenantId` die Mandantenkennung im GUID-Format **ohne Bindestriche** ist (zum Beispiel `117489fc1aea41658369d4d18d6557ga`). Dieser Wert wird als Application ID URI für die Authentifizierung verwendet. Kopieren Sie diesen Wert — Sie benötigen ihn beim Konfigurieren des externen Identitätsanbieters in Vantage. Klicken Sie auf **Add**.
    * Legen Sie auf der Registerkarte **Expose an API** den Application ID URI auf denselben Wert fest, den Sie oben eingegeben haben (zum Beispiel `api://cccc3333-dddd-4444-eeee-5555ffff6666`). Klicken Sie auf **Add** und anschließend auf **Next**.
  </Step>

  <Step title="Autorisierungsregeln für die Ausgabe auswählen">
    Um Vantage allen Benutzern Zugriff zu gewähren, wählen Sie **Permit all users to access this relying party** aus. Um den Zugriff auf eine bestimmte Gruppe zu beschränken, wählen Sie **Permit specific group** aus und geben Sie die Gruppe an. Klicken Sie auf **Next**.
  </Step>

  <Step title="Die Vertrauensstellung hinzufügen">
    Überprüfen Sie auf der Seite **Ready to Add Trust** die Einstellungen. Klicken Sie auf **Next** und dann auf **Close**.
  </Step>
</Steps>

Damit wird eine Vertrauensbeziehung zwischen einem Identitätsanbieter und ABBYY Vantage eingerichtet.

<div id="adding-rules-to-transform-an-incoming-claim">
  ### Regeln zum Transformieren eines eingehenden Anspruchs hinzufügen
</div>

Gehen Sie wie folgt vor, um Regeln zum Transformieren eines eingehenden Anspruchs anzuwenden:

<Steps>
  <Step title="Vertrauensstellungen für die vertrauende Partei öffnen">
    Klicken Sie auf **Vertrauensstellungen für die vertrauende Partei**.
  </Step>

  <Step title="Die Anspruchsausgaberichtlinie bearbeiten">
    Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung und dann auf **Anspruchsausgaberichtlinie bearbeiten**.
  </Step>

  <Step title="Eine Regel hinzufügen">
    Klicken Sie im Fenster **Anspruchsausgaberichtlinie für \<name> bearbeiten** auf **Regel hinzufügen**.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_2.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=ce66660c440732b209b9cefd1ed8fdab" alt="AD FS-Dialogfeld zum Bearbeiten der Anspruchsausgaberichtlinie mit der Schaltfläche „Regel hinzufügen“ für SAML-Anspruchsregeln" style={{ width:"60%" }} width="486" height="543" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_2.png" />
    </Frame>
  </Step>

  <Step title="Die Regelvorlage auswählen">
    Wählen Sie die Anspruchsregelvorlage **Eingehenden Anspruch transformieren** aus und klicken Sie dann auf **Weiter**.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_3.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=323c987dcbc44d4183160f9e50f18939" alt="AD FS-Assistent zum Hinzufügen einer Transform Claim Rule mit ausgewählter Vorlage „Transform an Incoming Claim“" style={{ width:"72%" }} width="716" height="582" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_3.png" />
    </Frame>
  </Step>

  <Step title="Die Anspruchsregel konfigurieren">
    Wählen Sie den Schritt **Anspruchsregel konfigurieren** aus und geben Sie dann Folgendes an:

    * **Name der Anspruchsregel** — `TransformWindows account name`.
    * **Typ des eingehenden Anspruchs** — **Windows account name**.
    * **Typ des ausgehenden Anspruchs** — **Name ID**.
    * **Format der ausgehenden Name ID** — **Persistent Identifier**.
    * Wählen Sie **Alle Anspruchswerte weiterleiten** aus.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_5.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=8ffeb41e66f7c368433f79475e2057a0" alt="AD FS-Schritt zum Konfigurieren der Anspruchsregel mit „Windows account name“ als eingehendem Anspruch und „Persistent Identifier“ als ausgehendem Format" style={{ width:"74%" }} width="716" height="582" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_5.png" />
    </Frame>
  </Step>

  <Step title="Die erste Regel abschließen">
    Klicken Sie auf **Fertig stellen**.
  </Step>

  <Step title="Eine Regel „LDAP-Attribute als Ansprüche senden“ hinzufügen">
    Fügen Sie eine weitere Regel hinzu, um sicherzustellen, dass E-Mail- und Namensansprüche im ausgestellten Token enthalten sind. Wählen Sie auf der Seite **Regelvorlage auswählen** unter **Anspruchsregelvorlage** die Option **LDAP-Attribute als Ansprüche senden** aus und klicken Sie dann auf **Weiter**.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_4.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=ddda2279d705a482c6f69f92507cdafb" alt="AD FS-Assistent zum Hinzufügen einer Transform Claim Rule mit ausgewählter Vorlage „Send LDAP Attributes as Claims“" style={{ width:"71%" }} width="718" height="583" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_4.png" />
    </Frame>
  </Step>

  <Step title="Die LDAP-Regel konfigurieren">
    Wählen Sie auf der Seite **Anspruchsregel konfigurieren** unter **Name der Anspruchsregel** den Attributspeicher **Active Directory** aus und klicken Sie dann auf **Fertig stellen**.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_6.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=4cf4fa5ecbe25939dc952cc498470754" alt="AD FS-Schritt „Anspruchsregel konfigurieren“ mit dem Attributspeicher „Active Directory“ sowie LDAP-Attributzuordnungen für E-Mail und Name" style={{ width:"73%" }} width="718" height="583" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_6.png" />
    </Frame>
  </Step>

  <Step title="Die Regeln überprüfen">
    Die hinzugefügten Regeln werden im Dialogfeld **Anspruchsregeln bearbeiten** angezeigt.

    <Frame>
      <img src="https://mintcdn.com/abbyy/jZX7kaKQgdxaDiIT/images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_7.png?fit=max&auto=format&n=jZX7kaKQgdxaDiIT&q=85&s=41259ea91239a8c1cfba5e1e140b2e87" alt="AD FS-Dialogfeld „Anspruchsregeln bearbeiten“, das sowohl die Regel „Persistent Identifier“ als auch „Send LDAP Attributes as Claims“ zeigt" style={{ width:"60%" }} width="487" height="546" data-path="images/vantage/tenant-admin/sysadmin_identityprovider_activedirectory_saml_7.png" />
    </Frame>
  </Step>
</Steps>

<div id="next-steps">
  ## Nächste Schritte
</div>

Sobald AD FS konfiguriert ist, verbinden Sie es mit Ihrem Vantage-Mandanten. Dafür wird die URL des Föderationsmetadatendokuments im folgenden Format benötigt: `https://<adfs-server-address>/federationmetadata/2007-06/federationmetadata.xml` — zum Beispiel `https://adfs.platform.local/federationmetadata/2007-06/federationmetadata.xml`.

Informationen zur Einrichtung auf Vantage-Seite finden Sie unter [externen Identitätsanbieter für einen Mandanten einrichten](/de/vantage/documentation/tenant-admin/tenant-management/configuring-tenant).

<div id="related-topics">
  ## Verwandte Themen
</div>

* [Einen externen SAML 2.0-Identitätsanbieter konfigurieren](/de/vantage/documentation/tenant-admin/tenant-management/saml-2-0)
* [Azure AD als externer SAML 2.0-Identitätsanbieter](/de/vantage/documentation/tenant-admin/tenant-management/saml-2-0-azure-active-directory)
* [externen Identitätsanbieter für einen Mandanten einrichten](/de/vantage/documentation/tenant-admin/tenant-management/configuring-tenant)
* [Externe Authentifizierung testen](/de/vantage/documentation/tenant-admin/tenant-management/testing-external-auth)
