|
Umstellung von AD FS auf OIDC |
Scroll |
Diese Anleitung richtet sich an Therefore™ Online-Kunden, die die veraltete AD FS-Anmeldemethode verwenden. Die folgenden Schritte zeigen, wie Sie auf das neue "AD FS (OIDC)" umstellen können.
Anforderungen: Windows 2016 Server oder höher mit AD FS auf Kundenseite.
1. Erstellen Sie zunächst die Anwendungsgruppe, indem Sie die Schritte auf der folgenden Seite durchgehen:
Anwendungsgruppe erstellen
2. Richten Sie dann die Clientberechtigungen ein, indem Sie die Schritte auf dieser Seite durchgehen:
Clientberechtigungen einrichten
3. FĂĽgen Sie die Authentifizierungsmethode "Externes Benutzerverzeichnis" im Solution Designer hinzu:
Klicken Sie mit der rechten Maustaste auf "Externe Benutzerverzeichnisse" und wählen Sie "Verwalten...":
b. Klicken Sie auf den Pfeil nach unten und wählen Sie "AD FS (OIDC)" aus:
c. Klicken Sie auf "Automatische Erkennung" und geben Sie den "OIDC-Erkennungsendpunkt" ein:
d. Wenn Sie auf "OK" klicken, werden die meisten der folgenden Angaben automatisch ausgefĂĽllt:
e. Sie müssen die "Therefore™ Client-ID" hinzufügen, die sich auf dem AD FS-Server in der neu erstellten Anwendungsgruppe befindet. Bearbeiten Sie die native Anwendung, indem Sie auf der rechten Seite auf die Eigenschaften der Anwendungsgruppe klicken.
f. Kopieren Sie die "Client-ID":
und fĂĽgen Sie sie im Solution Designer ein:
Klicken Sie auf "OK".
g. Falls Sie eine Domäne für die alte AD FS-Methode eingerichtet hatten, müssen Sie diese auch in das Feld "Zusätzliche Domänen" kopieren. Klicken Sie auf "Active Directory Federation Services" auf der Registerkarte "Zugriff/Authentifizierung" im Solution Designer, um die Domänen anzuzeigen:
h. Fügen Sie den Wert der Zeile "Domänen" zur neuen Konfiguration "AD FS (OIDC)" hinzu. Kehren Sie zu "Externe Benutzerverzeichnisse" zurück und bearbeiten Sie das Verzeichnis, das Sie in den vorherigen Schritten erstellt haben.
i. Geben Sie die Domäne(n) hier ein:
4. Sie können prüfen, ob der externe Anbieter korrekt zur Mandanten-Website hinzugefügt wurde, indem Sie den folgenden URL aufrufen:
https://<Mandantenname>.thereforeonline.com/Client/?NoSSO=1 (Ersetzen Sie <Mandantenname> durch den Namen Ihres Therefore™ Online-Mandanten.)
Der neue Anbieter sollte am unteren Rand der Seite erscheinen:
Wenn Sie auf diesen neuen Anbieter klicken, gelangen Sie zur AD FS-Anmeldeseite:
5. Wenn Sie den Therefore Navigator oder den Solution Designer verwenden, können Sie den Authentifizierungsanbieter zu "AD FS (OIDC)" ändern (öffnen Sie "Verbindungseinstellungen" im Menü "Datei" von Therefore Navigator oder Solution Designer):
Wählen Sie "AD FS (OIDC)" und klicken Sie auf "Von Server aktualisieren". Daraufhin werden die für die Verbindung erforderlichen Einstellungen automatisch ausgefüllt.
SchlieĂźen Sie den Therefore Navigator oder den Solution Designer und starten Sie ihn wieder. Beim Neustart wird jetzt die Anmeldemethode "AD FS (OIDC)" verwendet.
Zusätzliche Informationen:
1. Benutzer und Gruppen müssen nicht geändert werden, da sie dieselben Active Directory-Benutzer sind, die von der älteren AD FS-Methode verwendet wurden.
2. Sie können die alte AD FS- und die neue AD FS (OIDC)-Methode gleichzeitig verwenden. Der gleiche Benutzer kann sich mit beiden Methoden anmelden.
3. Sie können den neuen externen Anbieter AD FS (OIDC) zu Testzwecken einrichten, da dies das Verhalten bestehender AD FS-Methoden nicht beeinflusst.
4. Nachdem Sie ermittelt haben, dass die neue AD FS (OIDC)-Anmeldung funktioniert, entfernt der Therefore™ Support die Einstellungen für die alte AD FS-Methode vom Mandanten und nur die neue Methode wird verwendet.
|
Hinweis: Umleitungs-URIs für andere Therefore™-Anwendungen wie Therefore™ Go finden Sie hier. |
