1. Um SAML -basierte Anmeldung zu aktivieren, muss der Kunde zunächst gemäß den Anweisungen des Kunden eine neue Anwendung in der Entra Cloud erstellen. Der Kunde hat Ihnen die App Federation Metadata URL von Entra gegeben.

2. Die Pro für die Authentifizierung muss in der Efecte Service Management-Plattform konfiguriert werden, bevor Efecte Secure Access Komponente konfiguriert wird.

Wie konfiguriere ich eine Bereitstellungsaufgabe für die Authentifizierung?

3. Überprüfen Sie, ob die Konfiguration korrekt in Efecte Secure Access gespeichert ist (mit denselben Informationen wie in der Konfiguration der Bereitstellungsaufgabe). Melden Sie sich mit ESA Admin (main.admin) bei der URL domain.com/auth/admin an.

Wählen Sie in der oberen Ecke den richtigen Bereich aus

Wählen Sie Identitätsanbieter aus dem Menü

4. In der Liste sollte dieselbe Bereitstellungsaufgabe für die Authentifizierung angezeigt werden, die für die Efecte Service Management-Plattform erstellt wurde.

5. Kopieren Sie aus dem ESA Konfigurationsbildschirm eine als Umleitungs-URI aufgeführte URL und geben Sie diese an den Kunden weiter (wird in Entra als Umleitungs-URI benötigt).

6. Denken Sie daran, die Einstellung „Zulässige Taktabweichung“ zu aktivieren und beispielsweise auf 3 oder 5 Sekunden festzulegen. Der Standardwert ist „0“ (was bedeutet, dass jede Nichtübereinstimmung zwischen der internen Uhr der ESA und der Uhr eines Pro den Fehler „Assertion abgelaufen“ verursacht).

7. Nachdem die obige Konfiguration abgeschlossen ist, erscheint auf der ESA Anmeldeseite eine neue Anmeldeoption

8. Fügen Sie der Secure Access Komponente Entra ID bezogene https-Zertifikate hinzu

Diese werden benötigt, um eine sichere Verbindung zwischen Entra ID und Secure Access -Systemen herzustellen.

Befolgen Sie die uid im Kapitel „Microsoft-bezogene Zertifikate zu Secure Access hinzufügen“: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

1. Um SAML -basierte Anmeldung zu aktivieren, muss der Kunde AD mit diesen Anweisungen konfigurieren.
   
   
2. Pro für die Authentifizierung muss in der Efecte Service Management-Plattform konfiguriert werden, bevor Efecte Secure Access Komponente konfiguriert wird.
   • Wie konfiguriere ich eine Bereitstellungsaufgabe für die Authentifizierung?
     
     

Überprüfen Sie, ob die Konfiguration korrekt in Efecte Secure Access gespeichert ist (mit denselben Informationen wie in der Konfiguration der Bereitstellungsaufgabe). Melden Sie sich mit ESA Admin (main.admin) bei der URL domain.com/auth/admin an.

1. Wählen Sie in der oberen Ecke den richtigen Bereich aus
   
   
   
2. Wählen Sie Identitätsanbieter aus dem Menü
   
   
3. In der Liste sollte dieselbe Bereitstellungsaufgabe für die Authentifizierung angezeigt werden, die für die Efecte Service Management-Plattform erstellt wurde.
   
   
4. Überprüfen Sie, ob die Konfiguration korrekt von der Efecte Service Management-Plattform an Efecte Secure Access Komponente übertragen wird.
   
   
5. Fügen Sie bei Bedarf die folgenden Einstellungen hinzu und aktivieren Sie sie:
   • Backchannel-Abmeldung
     • Backchannel-Logout ist ein Mechanismus, der sicherstellen soll, dass ein Benutzer, wenn er sich von einem Identitätsanbieter (IdP/ ESA ) abmeldet, auch von allen zugehörigen vertrauenden Parteien (RPs) oder Anwendungen abgemeldet wird.
     • Wenn „AuthnRequests signiert haben möchten“ in AD FS aktiviert ist, ist die Backchannel-Abmeldung obligatorisch.
   • HTTP-POST-Bindungsantwort
   • HTTP-POST-Bindung für AuthnRequest
   • Signatur validieren
     
     
6. Wenn die an die AD FS-Instanz gesendeten Authentifizierungsanforderungen signiert sein sollen, aktivieren Sie die Option „AuthnRequests signiert“. Anschließend wird das Feld SAML -Signaturschlüsselname“ angezeigt.
   
   
7. Legen Sie die Feldoption SAML Signaturschlüsselname“ auf CERT_SUBJECT fest. AD FS erwartet, dass der Hinweis auf den Signaturschlüsselnamen das Subjekt des Signaturzertifikats ist.
   
   
8. Wenn AD FS so eingerichtet ist, dass es mit einer Namens-ID im Windows Domain Qualified Name-Format antwortet, legen Sie das Feld „NameID Policy Format“ entsprechend fest.
   

Wenn nach der Verwendung der neuen Schaltfläche zum Anmelden bei Entra zufällig der folgende Bildschirm auf dem Bildschirm angezeigt wird, bedeutet dies, dass ESA eine weitere Konfiguration benötigt.

Um den Benutzer von ESA an andere Systeme (ESM, ESS, IGA ) weiterzuleiten, muss ESA den Kontext des Benutzers kennen. Zu diesem Zweck speichert ESA einige Metadaten, die jeden Benutzer beschreiben, der versucht hat, sich anzumelden.

Der obige Bildschirm wird angezeigt, weil ESA nicht alle erforderlichen Daten vom Pro ( Entra ) abrufen kann und den Benutzer auffordert, alle erforderlichen Daten manuell einzugeben.

Wir können das überwinden und eine Automatisierung vorbereiten, die Attribute mit Daten aus Entra automatisch den vom ESA Benutzer benötigten Attributen zuordnet.

1. Melden Sie sich mit ESA Admin (main.admin) bei der URL domain.com/auth an
   
   
2. Wählen Sie den richtigen Bereich aus dem Menü in der oberen Ecke aus
   
   
3. Öffnen Sie die Einstellungen Pro im linken Seitenbereich
   
    
4. Gehen Sie zum Abschnitt „Mapper“. Hier ist ein Beispiel, wie sie definiert werden sollten.
   
   

• Verwenden Sie für E-Mails den Mapper-Typ „Attribute Importer“.
  Ordnen Sie das Benutzerattribut „E-Mail“ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress zu.
  
• Verwenden Sie für den Benutzernamen den Mapper-Typ „Username Attribute Importer“.
  Ordnen Sie das Benutzernamenattribut username http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name zu.
  
• Verwenden Sie für den Nachnamen den Mapper-Typ „Attribute Importer“.
  Ordnen Sie das Benutzerattribut lastName http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname zu.
  
• Verwenden Sie für den Vornamen den Mapper-Typ „Attribute Importer“.

Ordnen Sie das Benutzerattribut firstName http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname zu.

Wenn ein Gruppen-Mapper benötigt wird, fügen Sie den Gruppen-Mapper zu den Einstellungen des Identitätsanbieters hinzu.
Ordnen Sie die Benutzerattributgruppen http://schemas.xmlsoap.org/ws/200 8/06/identity/claims/groups zu

Nach diesen Schritten:

• Stellen Sie sicher, dass in ESM eine Personendatenkarte erstellt wird.
• Stellen Sie sicher, dass die Person den richtigen Wert in uid hat – dieser wird später als Anmeldename verwendet.

Wenn die obigen Schritte abgeschlossen sind, erstellt ESM während des Anmeldevorgangs das fehlende Benutzerobjekt, verknüpft es mit der bereits vorhandenen Person und fährt mit der Startseite von ITSM für die angegebene Rolle fort.

HINWEIS! Wenn es keinen Grund gibt, Benutzer in ESA zu speichern, können Sie Benutzer nicht im Identitätsanbieter speichern auswählen. Dies bedeutet, dass Benutzer nicht in ESA gespeichert werden. Wenn Benutzerdaten vertrauliche Informationen enthalten, können diese verwendet werden, z. B. die Sozialversicherungsnummer. Beachten Sie, dass Sie den Benutzer danach nicht mehr in ESA sehen können. Mapper funktionieren wie gewohnt. Standardmäßig werden Benutzer in ESA gespeichert.

Es gibt zwei Möglichkeiten:

1. Installieren Sie den SAML Nachrichtendecoder in Ihrem Browser. Die SAML Decoder sind als Browsererweiterungen verfügbar (z. B. SAML Tracer für Firefox, SAML Chrome Panel für Google Chrome).
   
   ODER
2. Setzen Sie das ESA -Protokoll auf die DEBUG-Ebene
   
   
   1. Bearbeiten Sie im ESA Container diese Datei:
      /etc/containerpilot/jobs/esa/start_primary
      
      Änderung hiervon:
      --log-level=INFO
      
      dazu:
      --log-level=DEBUG
      
      
   2. Beenden Sie dann den Java-Prozess:
      $ pkill java
      
      
   3. Um die Änderungen rückgängig zu machen, ändern Sie „--log-level“ zurück in INFO und beenden Sie dann den Java-Prozess ($ pkill java).
      
      HINWEIS! Wenn der ESA -Container neu gestartet wird, werden alle Änderungen rückgängig gemacht. In diesem Fall wird die Debug-Ebene wieder auf INFO gesetzt.
      
      

ESA Protokoll finden Sie in der ESM-Benutzeroberfläche.

1. Melden Sie sich als Root-Benutzer bei Efecte an
2. IGA Modul auswählen
3. EPE/ ESA Konfiguration auswählen
4. Wählen Sie ESA Protokolle und keycloak .log
   

Wenn der Kunde Benutzer zum SSO-Anbieter umleiten möchte (er muss nicht zuerst die Secure Access Anmeldeseite sehen), nehmen Sie die folgende Konfiguration in Secure Access vor.

1. Wählen Sie den richtigen Bereich aus dem Dropdown-Menü oben links

2. Öffnen Sie die Authentifizierung im linken Seitenbereich

3. Wählen Sie im Browser (integriert) die Schaltfläche mit den drei Punkten links und wählen Sie „Duplizieren“

4. Geben Sie ihm einen Namen und eine Beschreibung und klicken Sie dann auf Duplizieren

Hinweis! Wenn Sie kein Duplikat erstellen und stattdessen den integrierten Browserfluss ändern, werden Ihre Änderungen möglicherweise beim nächsten Upgrade ESA Keycloak Version überschrieben.

5. Stellen Sie den Identity Pro Redirector auf „Alternative“ ein.

HINWEIS! Wenn der Identity Pro Redirector in den Browserschritten fehlt, können Sie ihn hier hinzufügen:

4. Konfigurieren Sie den Standardidentitätsanbieter über die Schaltfläche „Radkonfiguration“. Alias = Name der Konfiguration. Pro = Um automatisch zu einem Identitätsanbieter umzuleiten, legen Sie den Alias des Identitätsanbieters fest.

Überprüfen Sie den Alias Ihres Identitätsanbieters, den Sie in den vorherigen Schritten dieser uid für SAML erstellt haben.

Konfigurieren Sie diesen Alias auf das Attribut „Standard Pro Identitätsanbieter“, indem Sie das Rad auswählen und ihm einen neuen Aliasnamen geben und Ihren Identitätsanbieter-Alias auf das Attribut „Standard Pro Identitätsanbieter“ setzen. Anforderung: Alternative.

5. Ändern Sie bei Bedarf die Eingabeaufforderungseinstellungen des Pro im Abschnitt „Erweitert“. Fragen Sie den Kunden nach den korrekten Werten, je nachdem, wie die automatische Anmeldung funktionieren soll.

• Nicht spezifiziert
  Diese Option überlässt die Entscheidungsaufgabe der Entra ID
• Keiner
  Bei dieser Option erfolgt die Anmeldung immer Entra ID . Es besteht keine Möglichkeit, die Anmeldeinformationen Entra ID manuell zu verwenden.
• Zustimmung
  Normalerweise nicht verwendet. R erfordert, dass der Benutzer den angeforderten Berechtigungen zustimmt. Wenn der Benutzer bereits zuvor zugestimmt hat, erfolgt keine Interaktion. Wenn er jedoch noch nicht zugestimmt hat, zeigt das System einen Zustimmungsbildschirm mit den von der Anwendung angeforderten Berechtigungen an.
• Login
  Standard. Zwingt den Benutzer zur Anmeldung, auch wenn er bereits authentifiziert ist. Dadurch wird sichergestellt, dass der Benutzer erneut authentifiziert wird und eine neue Sitzung aufgebaut wird.
• Konto auswählen
  Der Benutzer kann das Konto aus Sitzungen im Browser auswählen (keine Anmeldung erforderlich)
  

6. Überprüfen Sie ESA -Flows: Authentifizierung -> Flows. Wenn Efecte Login vom Browser-Flow verwendet wird oder Built-in Browser vom Browser-Flow verwendet wird, ändern Sie Ihren neuen Flow in Schritt 6.1 in Browser-Flow

6.1 Wählen Sie Ihren neuen Flow (in diesem Fall benannt nach M42 Browser SSO) und drei Punkte und Bind Flow

6.2 Browser auswählen und Änderungen speichern

7. Konfigurieren Sie die Portal- und ESM-Abmelde-URLs

Wenn Sie diese nicht richtig konfigurieren, versucht Secure Access nach der Abmeldung, den Benutzer automatisch wieder bei Matrix42 Core , Pro and IGA (der Benutzer kann in einer Abmelde-Anmelde-Schleife landen. Die Abmelde-URL kann beispielsweise die Intranet-Adresse des Kunden oder eine beliebige Seite sein, die der Kunde verwenden möchte.

Die ESM-Abmelde-URL-Einstellung befindet sich unter Wartung / Systemeinstellungen / Plattformeinstellungen bearbeiten

Einstellung: sessionterminator.redirecturl

Das Einstellungsformat ist <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

Geben Sie im Screenshot nach ?return= die Adresse Ihrer Abmeldeseite ein.

Die Abmelde-URL-Einstellung für das Portal (ssc) befindet sich auf ssc admin <your matrix42 system url>/ssc/admin unter Einstellungen / Allgemein

Einstellung: Abmeldeseite

Die Abmeldeseite des Portals ist pro Mandant, sodass jeder Mandant bei Bedarf eine eigene Abmeldeseite haben kann.

8. Testen Sie die automatische Anmeldung und testen Sie auch die Abmeldung