1. Help Center (DE)
  2. Kontoverwaltung
  3. 🔒 Zugriff & Sicherheit

Single Sign-On (SSO) mit Active Directory (AD FS) und SAML einrichten

Workpath unterstützt Single Sign-On (SSO) über das SAML 2.0-Protokoll. Als Identity Provider (IDP) können Sie hierfür einen selbstgehosteten Active Directory Federation Services (AD FS)-Server einsetzen. AD FS ist eine Windows Server–Rolle von Microsoft, mit der sich Nutzer:innen über ihre vorhandenen AD-Anmelde­daten am Web anmelden können.

1. Voraussetzungen und Vorbereitung

  1. AD FS–Metadaten bereitstellen
    Exportieren Sie die Federation Metadata von Ihrem AD FS-Server. Standard-Endpunkt:

    https://<Ihr-ADFS-Server>/FederationMetadata/2007-06/FederationMetadata.xml
  2. Workpath Account Manager
    Geben Sie diese Metadaten an Ihren Workpath Account Manager weiter. Er richtet anschließend Ihren Workpath-Tenant für SAML ein.

2. Relying Party Trust in AD FS anlegen

  1. SP-Metadaten herunterladen
    Öffnen Sie die URL, die Ihnen Ihr Account Manager genannt hat:

    https://api.workpath.com/v1/saml/metadata/<Ihr-Account-Subdomain>

    Speichern Sie die XML-Datei lokal.

  2. AD FS Management starten
    • Öffnen Sie den Server ManagerToolsAD FS Management.

    • Navigieren Sie zu Relying Party Trusts → Rechtsklick → Add Relying Party Trust…

      AD_FS_Management.png

  3. Datenquelle importieren
    • Wählen Sie Import data about the relying party from a file.

    • Klicken Sie auf Browse…, wählen Sie die gespeicherte XML-Datei und Next.

      Relying_Party_Trust.png

  4. Anzeigename festlegen

    • Geben Sie als Display name „Workpath“ ein → Next.

      Relying_Party_Trust_-_Welcome.png

  5. Zugriffsrichtlinie

    • Wählen Sie Permit everyoneNext.

      Relying_Party_Trust_-_Select_Data_Source.png

  6. Trust anlegen

    • Klicken Sie auf NextClose.

      Relying_Party_Trust_-_Specify_Display_Name.png

3. Claim Rules konfigurieren

  1. Trust bearbeiten

    • Klicken Sie in Relying Party Trusts mit der rechten Maustaste auf WorkpathEdit Claim Issuance Policy…

      Edit_Claim_Issuance_Policy.png

  2. Rule 1: LDAP-Attribute senden

    • Add Rule…Send LDAP Attributes as ClaimsNext

      Edit_Claim_Issuance_Policy_-_Add_Rule.png

      Edit_Claim_Issuance_Policy_-_Send_LDAP.png

    • Rule name: Get Attributes
    • Attribute store: Active Directory

    • Mappings:

      LDAP-AttributOutgoing Claim Type
      E-Mail-AddressesE-Mail Address
      Given-Namefirst_name
      Surnamelast_name

    • Finish

      Edit_Claim_Issuance_Policy_-_Get_Attributes.png

  3. Rule 2: Claim transformieren

    • Add Rule…Transform an Incoming ClaimNext

      Edit_Claim_Issuance_Policy_-_Transform.png

    • Rule name: Transform
    • Incoming claim type: E-Mail Address
    • Outgoing claim type: Name ID

    • Outgoing name ID format: Email

      Edit_Claim_Issuance_Policy_-_Transform_Rule.png

    • FinishOK

      Edit_Claim_Issuance_Policy_-_OK.png

4. SSO testen

  1. Workpath-Login-Seite
    Öffnen Sie:

    https://<Ihr-Account-Subdomain>.workpath.com
  2. Anmelden

    • Klicken Sie auf Login.

      Login_1.png

    • Geben Sie Ihre Active Directory-Zugangsdaten ein.

      Login_2.png

  3. Erfolg
    Sie gelangen nun direkt in Ihre Workpath-Instanz.Login_3.png
War dieser Beitrag hilfreich?
5 von 9 fanden dies hilfreich

Verwandte Beiträge