Produktdokumentation
ShareFile
PDF anzeigen

ShareFile Single Sign-On-Konfigurationshandbuch für ADFS 3

October 23, 2024
Beitrag von: 
C C

Voraussetzungen für die Installation

Um ShareFile für die Authentifizierung mit Active Directory Federated Services einzurichten, benötigen Sie Folgendes:

  • Windows Server 2012 R2
  • Ein öffentlich signiertes SSL-Zertifikat von einer Zertifizierungsstelle. Selbstsignierte und nicht signierte Zertifikate werden nicht akzeptiert.
  • Ein FQDN für Ihren ADFS-Server
  • Zugriff auf ein Administratorkonto innerhalb von ShareFile mit der Möglichkeit, Single Sign-On zu konfigurieren.

Hinweis:

Informationen zum Bereitstellen von Benutzern aus Ihrem Active Directory für ShareFile finden Sie im Installationshandbuch zum Benutzerverwaltungstool.

ADFS 3.0 (rollenbasierte Installation)

  1. Sie können Microsoft Active Directory Federated Services 3.0 nicht separat herunterladen. Für diese Version müssen Sie einen Windows 2012 R2-Server verwenden.

    adfs3 Bild 1

  2. Installieren Sie die rollenbasierte oder funktionsbasierte Installation. Klicken Sie auf Weiter.

    adfs3 Bild 2

  3. Wählen Sie den Server für die Installation aus und klicken Sie auf Weiter. Wählen Sie dann Active Directory Federation Servicesaus. Klicken Sie auf Weiter.

    adfs3 Bild 3

  4. Klicken Sie auf Weiter durch die Serverrollen, AD FS und dann zum Bestätigungsbildschirm . Aktivieren Sie das Kontrollkästchen für Neustart, sagen Sie Ja zum nächsten Bildschirm und klicken Sie auf Installieren.

    adfs3 Bild 4

  5. Sobald ADFS installiert ist, müssen Sie eine Aktivität nach der Bereitstellung abschließen, wenn dies der erste AD FS-Server in Active Directory ist. Verwenden Sie für diesen Schritt Ihre eigenen Konfigurationsinformationen.

    adfs3 Bild 5

Einrichten von ADFS 3.0

  1. Starten Sie in der ADFS 3.0-Verwaltungskonsole den -Konfigurationsassistenten.

  2. Wenn der Assistent startet, wählen Sie Neuen Verbunddienst erstellen und klicken Sie auf Weiter.

    adfs3 Bild 6

    adfs3 Bild 7

  3. Da wir ein Platzhalterzertifikatverwenden, müssen wir einen Föderationsdienstnamenbestimmen. Wenn Sie kein Wildcard-SSL-Zertifikat verwenden, müssen Sie diesen Schritt möglicherweise nicht ausführen. Klicken Sie dann auf Weiter , um fortzufahren.

    adfs3 Bild 8

  4. Klicken Sie zum Konfigurieren auf Weiter .

    adfs3 Bild 9

  5. Bestätigen Sie, dass alle Konfigurationen ohne Fehler abgeschlossen wurden, und klicken Sie auf Schließen und beenden Sie den Assistenten.

    adfs3 Bild 10

    adfs3 Bild 11

  6. Erweitern Sie den Knoten Service in der Verwaltungskonsole. Wählen Sie das Zertifikat Token Signing aus und klicken Sie in der rechten Spalte auf Zertifikat anzeigen .

    adfs3 Bild 12

  7. Wählen Sie im Fenster Zertifikat die Registerkarte Details und klicken Sie dann auf In Datei kopieren.

    adfs3 Bild 13

  8. Klicken Sie zum Fortfahren auf Weiter.

    adfs3 Bild 14

  9. Wählen Sie Base-64-codiertes X.509 (.CER) als Exportformat für das Zertifikat und klicken Sie dann auf Weiter.

    adfs3 Bild 15

  10. Speichern Sie die Zertifikatsdatei und klicken Sie auf Weiter.

    adfs3 Bild 16

  11. Klicken Sie auf Fertig stellen , um die Datei zu speichern.

    adfs3 Bild 17

  12. Navigieren Sie zu dem Ordner, in den Sie das Zertifikat exportiert haben, und öffnen Sie ihn mit dem Editor.

    adfs3 Bild 18

  13. Wählen Sie den gesamten Text im Notizblock aus und kopieren Sie ihn.

    adfs3 Bild 19

  14. Öffnen Sie Internet Explorer und gehen Sie zu Ihrem ShareFile-Konto (https://<yoursubdomain>.sharefile.com). Melden Sie sich mit Ihrem Administratorkonto an. Navigieren Sie zu Administratoreinstellungen > Sicherheit > Anmelden & Sicherheitsrichtlinie. Suchen Sie Single Sign-On/SAML 2.0-Konfiguration.
    • Schalten Sie die Einstellung SAML aktivieren auf Ja.
    • ShareFile-Aussteller/Entitäts-ID: https://<subdomain>.sharefile.com/saml/info
    • Ihr IDP-Aussteller / Ihre Entitäts-ID: https://<adfs>.IhreDomain.com
    • X.509-Zertifikat: Fügen Sie den Inhalt des exportierten Zertifikats aus dem vorherigen Abschnitt ein
    • Anmelde-URL: https://<adfs>.IhreDomain.com/adfs/ls

    adfs3 Bild 20

  15. Ändern Sie in Optionale Einstellungendie folgenden Werte.
    • Web-Authentifizierung aktivieren: Ja (Häkchen gesetzt)
    • SP-initiierter Authentifizierungskontext: Benutzername und Passwort – Minimum

    adfs3 Bild 21

  16. Minimieren Sie Internet Explorer und kehren Sie zur ADFS-Verwaltungskonsolezurück. Erweitern Sie den Knoten Vertrauensbeziehungen und wählen Sie Vertrauensstellungen der vertrauenden Parteiaus. Klicken Sie dann auf der rechten Seite der Konsole auf Vertrauensstellung der vertrauenden Partei hinzufügen… . Dadurch wird der Assistent „ zum Hinzufügen vertrauender Vertrauensstellungen“gestartet.

    adfs3 Bild 22

  17. Klicken Sie auf Start , um mit der Angabe eines Relying Party Trustzu beginnen.

    adfs3 Bild 23

  18. Durch Abrufen der Metadaten von der SAML-Site kann das Vertrauen automatisch für Sie konfiguriert werden. Verwenden Sie https://<yoursubdomain>.sharefile.com/saml/metadata als Föderationsmetadatenadresse (Hostname oder URL). Klicken Sie auf Weiter.

    adfs3 Bild 24

  19. Geben Sie einen Anzeigenamenan. Normalerweise belassen Sie es als <yoursubdomain>.sharefile.com, damit Sie die verschiedenen Trusts voneinander unterscheiden können.

    adfs3 Bild 25

    adfs3 Bild 26

  20. Erlauben Sie allen Benutzern den Zugriff auf diese vertrauende Partei. Klicken Sie auf Weiter.

    adfs3 Bild 27

  21. Überprüfen Sie, ob die Informationen korrekt sind, und klicken Sie auf Weiter.

    adfs3 Bild 28

  22. Überprüfen Sie, ob das Kontrollkästchen für Öffnen Sie das Dialogfeld Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite, wenn der Assistent geschlossen wird aktiviert ist. Klicken Sie dann auf Schließen.

    adfs3 Bild 29

  23. Klicken Sie auf der Registerkarte Transformationsregeln für Ausgabe auf Regel hinzufügen.

    adfs3 Bild 30

  24. Die erste Regel lautet: LDAP-Attribute als Ansprüche senden.

    adfs3 Bild 31

  25. Benutzer im ShareFile werden durch ihre E-Mail-Adresse identifiziert. Wir versenden die Reklamation als UPN. Geben Sie einen beschreibenden Anspruch Regelnamen ein, z. B. E-Mail-Adresse an E-Mail-Adresse. Wählen Sie Active Directory als Attributspeicher. Wählen Sie abschließend E-Mail-Adresse als LDAP-Attribut und E-Mail-Adresse als Ausgehender Anspruchstypaus. Klicken Sie auf Fertigstellen.

    adfs3 Bild 32

  26. Erstellen Sie eine zweite Regel. Diese Regel wird verwendet, um Transformieren eines eingehenden Anspruchs. Klicken Sie auf Weiter.

    adfs3 Bild 33

  27. Der eingehende Anspruchstyp wandelt die eingehende E-Mail-Adresse in einen ausgehenden Name-ID-Anspruchstyp im E-Mail-Format um. Geben Sie einen beschreibenden Namen ein, z. B. Benannte ID für E-Mail-Adresse. Der Anspruchstyp Eingehend ist E-Mail-Adresse, der Anspruchstyp Ausgehend ist Namens-ID. Das Namensformat Ausgehend ist E-Mail. Klicken Sie auf Fertigstellen.

    adfs3 Bild 34

  28. Überprüfen Sie, ob die Angaben korrekt sind, und klicken Sie dann auf OK.

    adfs3 Bild 35

  29. Wechseln Sie zu einem beliebigen Webbrowser und navigieren Sie zu https://<yoursubdomain>.sharefile.com/saml/login. Sie werden zu Ihren ADFS-Diensten weitergeleitet. Wenn Ihre Anmelde-E-Mail mit einem Benutzer in AD verknüpft ist, können Sie sich mit Ihren AD-Anmeldeinformationen authentifizieren.

    adfs3 Bild 36

ShareFile Single Sign-On-Konfigurationshandbuch für ADFS 3
October 23, 2024
Beitrag von: 
C C
October 23, 2024
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
©Progress Software all rights reserved