SSO-Einrichtung - ADFS (SAML 2.0)

Folgen

Füllen Sie dieses Kontaktformular aus, um die SSO-Funktion zu testen oder zu abonnieren.

Splashtop unterstützt jetzt das Einloggen my.splashtop.com und Splashtop Business-Anwendung unter Verwendung des von Ihren SAML 2.0-Identitätsanbietern erstellten Berechtigungsnachweises. Bitte befolgen Sie die folgenden Anweisungen, um einen Relying Party Trust mit AD FS zu erstellen.

Schaffen Sie mit AD FS einen Relying Party Trust

Folgen Sie dem Microsoft-Dokument, um ein Relying Party Trust zu erstellen. Bitte markieren Sie den Abschnitt Nur zum Erstellen eines Claims aware Relying Party Trust manuell:
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

Befolgen Sie die Schritte 1 bis 6 im Dokument. (Wählen Sie das Profil AD FS 2.0)

Aktivieren Sie in Schritt 7, Seite URL konfigurieren, das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren. Geben Sie unter Relying party SAML 2.0 SSO service URL " https://my.splashtop.com/sso/saml2/adfs/acs" und dann next ein.
Einrasten_221e174e.png

In Schritt 8, Seite Identifikatoren konfigurieren, fügen Sie https://my.splashtop.com und https://my.splashtop.com/sso/saml2/adfs/metadata hinzu.
Einrasten_131d4984.png

Einen Anspruch hinzufügen

1. Wählen Sie den Relying Party Trust aus, den Sie soeben erstellt haben, und klicken Sie auf Versicherungspolice für Schadensfälle bearbeiten.

2. Klicken Sie auf Regel hinzufügen, wählen Sie LDAP-Attribute als Ansprüche senden und dann Weiter.
Snag_10ea6f20.png

3. Wählen Sie Active Directory als Attributspeicher aus und fügen Sie dann E-Mail-Adresse und Benutzerprinzipalname hinzu .
E-Mail-Adresse : E-Mail-Adresse
Benutzer-Principal-Name : Name ID
Einrasten_10f02335.png

Fehlerbehebung

Wenn Sie diese Fehlermeldung beim Versuch, sich anzumelden, erhalten, überprüfen Sie bitte die ADFS-Protokolle.

Bildschirm_Aufnahme_2020-04-21_am_12.53.05_PM.png

Wenn Sie einen ähnlichen Fehler in Ihrem ADFS-Protokoll unten haben, entfernen Sie bitte die Zuordnung zwischen "User-Principal-Name" und "Namens-ID" aus der LDAP-Anspruchsregel.

Einzelheiten zu Ausnahmen:

Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.DuplicateNameIdentifierPolicyException: MSIS3046: Mehr als ein SamlNameIdentifierClaimRessourcenbasierter Anspruch wurde nach der Verarbeitungsrichtlinie für den Bereich 'https://my.splashtop.com' erstellt.

unter Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult Ergebnis)

unter Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult Ergebnis)

unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)

unter Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken anfordern, Liste`1 zusätzliche Ansprüche)

unter Microsoft.IdentityServer.Web.Protokolle.Saml.SamlProtokollManager.Problem(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerKontextkontext, Boolean isKmsiRequested)

unter Microsoft.IdentityServer.Web.Protokolle.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerKontextkontext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolescher isKmsiRequested, Boolescher isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)

at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerKontextkontext, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)

unter Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext-Kontext, SicherheitsToken securityToken, SicherheitsToken deviceSecurityToken)

unter Microsoft.IdentityServer.Web.Protokolle.Saml.SamlProtocolHandler.Prozess(Protokoll-Kontext-Kontext)

unter Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtokollKontext-ProtokollKontext, PassiveProtocolHandler protocolHandler)

unter Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext-Kontext)

Einen weiteren Anspruch hinzufügen

1. Fügen Sie eine weitere Regel mit der Anspruchs-Regelvorlage Einen eingehenden Anspruch transformieren hinzu.
Einrasten_10f387cc.png

2. Richten Sie die Namens-ID ein.
Typ des eingehenden Anspruchs : E-Mail-Adresse
Typ des ausgehenden Anspruchs : Name ID
ID-Format für ausgehende Namen : E-Mail
Snag_10fae02b.png

 

 

Bewerben Sie sich für eine SSO-Methode von my.splashtop.com

Jetzt können Sie der Anweisung folgen und die erforderlichen Informationen zur Beantragung einer SSO-Methode einfügen:
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

Anmerkung:

a. Sie sollten eine eigene Login-URL und einen eigenen Aussteller haben, die Sie auf my.splashtop.com einfügen können.
b. Folgen Sie den nachstehenden Anweisungen, um Ihre X.509-Informationen auf my.splashtop.com einzufügen.

Klicken Sie auf Service -> Zertifikate -> Zertifikat anzeigen im Aktionsmenü auf der rechten Seite. (Sie sollten IIS bereits mit Ihrem Zertifikat installiert haben).
Klicken Sie im Fenster Zertifikat auf Details und dann auf In Datei kopieren"4 und wählen Sie Base-64-codiertes X.509.

Einrasten_110f7b12.png

Klicken Sie mit der rechten Maustaste auf das exportierte Zertifikat und kopieren Sie dann die Informationen, um sie in das entsprechende Feld auf my.splashtop.com einzufügen.
Snag_130eeaaf.png

Einrasten_130f3370.png

 

0 von 0 fanden dies hilfreich