Einrichtung von SSO - ADFS (SAML 2.0)

Folgen

Füllen Sie dieses  Kontaktformular aus, um die SSO-Funktion zu testen oder zu abonnieren.

Splashtop unterstützt jetzt das Einloggen in my.splashtop.com und Splashtop Business-App unter Verwendung von Ihren SAML 2.0-Identitätsanbietern erstellten Anmeldeinformationen. Bitte beachten Sie die folgenden Anweisungen zur Erstellung einer Vertrauensstellung mit AD FS.

Mit AD FS eine Vertrauensstellung zu der vertrauenden Seite aufbauen

Folgen Sie dem Microsoft-Dokument, um eine Vertrauensstellung zu erstellen, bitte nur To create a claims aware Relying Party Trust manually ankreuzen:
https://docs.microsoft.com/windows-server/identity/ad-fs/operations/create-a-relying-party-trust

Befolgen Sie die Schritte 1 bis 6 im Dokument. (Wählen Sie das AD FS 2.0 Profil)

In Schritt 7, URL konfigurieren, Aktivieren Sie das Kontrollkästchen Enable support for the SAML 2.0 WebSSO protocol. Geben Sie unter Relying party SAML 2.0 SSO service URL "https://my.splashtop.com/sso/saml2/adfs/acs" ein, dann weiter.
Snag_221e174e.png

In Schritt 8, Identifier konfigurieren, fügen Sie https://my.splashtop.com und https://my.splashtop.com/saml/metadata hinzu.
Snag_131d4984.png

Einen Anspruch hinzufügen

1. Wählen Sie den Relying Party Trust, den Sie gerade erstellt haben, klicken Sie Edit Claim Insurance Policy.

2. Klicken Sie auf Regel hinzufügen, wählen Sie Send LDAP Attributes as Claims, dann weiter.
Snag_10ea6f20.png

3. Wählen Sie Active Directory als attribute store und fügen Sie dann E-Mail-Adresse und Benutzer-Principal-Name hinzu.
E-Mail-Address: E-Mail-Adresse
Benutzer-Principal-Name: Namens-ID 
Snag_10f02335.png

Fehlerbehebung

Wenn Sie diese Fehlermeldung beim Versuch, sich anzumelden, erhalten, überprüfen Sie bitte die ADFS-Protokolle.

Screen_Shot_2020-04-21_at_12.53.05_PM.png

Wenn Sie einen ähnlichen Fehler in Ihrem ADFS-Protokoll wie unten haben, entfernen Sie bitte die Zuordnung zwischen "User-Principal-Name" und "Name-ID" aus der LDAP claim rule.

Ausnahmedetails:

Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.DuplicateNameIdentifierPolicyException: MSIS3046: More than one SamlNameIdentifierClaimResource-based claim was produced after processing policy for scope 'https://my.splashtop.com'.

unter Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

unter Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)

unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)

unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)

unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)

unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)

unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)

unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)

unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)

unter Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)

unter Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Einen weiteren Anspruch hinzufügen

1. Fügen Sie die Regel Transform an Incoming Claim mit dem Claim rule template hinzu.
Snag_10f387cc.png

2. Name-ID einrichten.
Incoming claim type: E-Mail-Adresse
Outgoing claim type: Name-ID
Outgoing name ID format: E-Mail 
Snag_10fae02b.png

Beantragen Sie eine SSO-Methode von my.splashtop.com

Jetzt können Sie den Anweisungen folgen und die erforderlichen Informationen für die Beantragung einer SSO-Methode eingeben:
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

Anmerkung: 

a. Sie sollten eine eigene Login-URL und Issuer haben, die Sie auf my.splashtop.com 
einfügen können.
b. Folgen Sie den untenstehenden Anweisungen, um Ihren X.509 bekommen und ihn auf my.splashtop.com einzufügen.

Klicken Sie auf Service -> Certificates -> View Certificates im Aktionsmenü auf der rechten Seite.
(Sie sollten IIS bereits zusammen mit Ihrem Zertifikat installiert haben.)
>Klicken Sie im Zertifikatsfenster auf Details, und klicken Sie Copy to File "4, und wählen Sie Base-64 encoded X.509.

Snag_110f7b12.png

Klicken Sie mit der rechten Maustaste auf das exportierte Zertifikat, kopieren Sie dann die Informationen, um sie in das entsprechende Feld auf my.splashtop.com einzufügen.
Snag_130eeaaf.png

Snag_130f3370.png

0 von 0 fanden dies hilfreich