Hinweis  

Da als Identity-Provider viele unterschiedliche Drittlösungen in Frage kommen, kann diese Anleitung nur ein Beispiel für die Einrichtung eines Identity-Providers geben. Das Beispiel ist nur gültig für die genannte Software in der genannten Version. Auf andere Versionen der gleichen Software ist dieses Beispiel gegebenenfalls nicht anwendbar. Für Informationen zur Einrichtung eures Identity-Providers wendet euch bitte an die Produktdokumentation bzw. an den Hersteller.

Kontaktiert den d.vinci Customer Service, wenn ihr technische Unterstützung bei der Einrichtung benötigt.


Metadata-XML

Identity-Provider und Service-Provider (d.vinci) tauschen Metadaten auf Grundlage von XML-Dateien aus, die daher Metadata-XML genannt werden. Um die beiden Systeme verbinden zu können, benötigt ihr zunächst die Metadata-XML-Datei des Identity-Providers. Diese wird euch von eurem Identity-Provider bereitgestellt.


Microsoft Active Directory Federation Services

Diese Anleitung zeigt beispielhaft die Verknüpfung des Service-Providers (d.vinci) mit dem Identity-Provider Microsoft Active Directory Federation Services (ADFS) in der Version 3.0 (Microsoft Windows Server 2012 R2). Die Metadaten-XML-Datei für diese Lösung wird unter dem unten stehenden Link bereitgestellt.


d.vinci-Metadata-XML an Identity-Provider übergeben und Regel erstellen

In d.vinci sind keine Konfigurationen nötig oder möglich. Ladet einfach die d.vinci-Metadata-XML-Datei herunter und übergebt diese an euren Identity-Provider.

Jeder Identity-Provider hat dafür einen eigenen Vorgang. In diesem Beispiel fügt ihr die d.vinci-Metadata-XML-Datei zum oben genannten Identity-Provider ADFS hinzu.


Gehe wie folgt vor:

  1. Öffne die Seite Grundeinstellungen.
  2. Aktiviere die Registerkarte SSO.
  3. Drücke in der Karte Service Provider Information auf den Link im Feld Service Provider Metadata XML. Laden die Datei herunter.
  4. Öffne in deinem ADFS-Dienst die Management-Konsole.
  5. Füge eine neue Vertrauensstellung der vertrauenden Seite hinzu.
  6. Führe den Assistenten aus und importiere die heruntergeladene d.vinci-Metadata-XML-Datei in den AFDS-Dienst.


Damit Single-Sign-on funktioniert, verknüpft das Benutzerkonto eures Betriebssystems (bzw. des Absprungpunkts für die Single-Sign-on-Anmeldung) mit dem Benutzerkonto des Service-Providers (d.vinci). Richtet dafür die nötigen Transformationsregeln im Identity-Provider ein.


Dem Feld Name ID im Service-Provider (d.vinci) weist ihr ein LDAP-Attribut im AD FS-Dienst zu:

  1. Öffne im ADFS-Dienst das Fenster zum Bearbeiten oder Anlegen von Anspruchsregeln (Claim).
  2. Wähle im Feld Attributspeicher den Wert Active Directory.
  3. Wähle im als ausgehenden Anspruchstypen den Wert Name ID (bzw. auf Deutsch Namens-ID).
  4. Wähle als LDAP-Attribut einen Wert aus, den du dem Feld Name ID des Service-Providers (d.vinci) zuordnen möchtest. Dieser Wert muss identisch sein mit dem in d.vinci hinterlegten Wert.
  5. Drücke auf OK um die Eingabe zu speichern und zu beenden.


SamlResponseSignature umstellen

Bei der Änderung des ADFS sollte auch die SamlResponseSignature geändert werden.
Gehe wie folgt vor:

  1. Öffne die ADFS-Verwaltung.
  2. Suche den Anzeigenamen der Vertrauensstellung der vertrauenden Seite.
  3. Öffne die Powershell-Konsole als Administrator.
  4. Rufe die aktuelle Einstellungen mit dem folgenden Befehl auf, wobei du unseren Wert
    des -Name Parameters mit eurem eigenen Anzeigenamen aus Schritt 2 ersetzt:
    Get -AdfsRelyingPartyTrust -Name "ADFS-Einrichtung.dvinci.de" | select SamlResponseSignature
    Darstellung in der Powershell-Konsole:
    PS C:\Windows\system32> Get -AdfsRelyingPartyTrust -Name "Adfs-Einrichtung.dvinci.de" | selectSamleResponseSignature

    
SamlResponseSignature
---------------------
AssertionOnly
  5. Setze die neue Einstellung mit dem folgenden Befehl ein, wobei du unseren Wert
    des -TargetName Parameters mit eurem eigenen Anzeigenamen aus Schritt 2 ersetzt:
    Set-AdfsRelyingPartyTrust -TargetName "ADFS-Enrichtung.dvinci.de -SamlResponseSignature MessageAndAssertion
    Darstellung in der Powershell-Konsole:
    PS C:\Windows\system32> Set -AdfsRelyingPartyTrust -TargetName "Adfs-Einrichtung.dvinci.de" -SamlResponseSignature MessageAndAssertion
  6. Nach der Umstellung soll die erneute Prüfung das folgende Ergebnis zurückgeben:
    PS C:\Windows\system32> Get -AdfsRelyingPartyTrust -Name "Adfs-Einrichtung.dvinci.de" | select SamlResponseSignature

    SamlResponseSignature
    ---------------------
    MessageAndAssertion



IdP-Metadata-XML in d.vinci eintragen

Gehe wie folgt vor:

  1. Öffne in d.vinci den Menüpunkt Verwaltung.
  2. Drücke im Bereich Allgemeine Verwaltung auf die Karte Grundeinstellungen.
  3. Aktiviere die Registerkarte SSO.
  4. Drücke in der Karte Identity Provider Konfiguration auf das Icon  . Das Eingabeformular Single Sign-on wird angezeigt.
  5. Wähle im Feld Quelle die Option URL, von welcher d.vinci die Metadata-XML-Datei des Identity-Providers automatisch beziehen soll. Wenn du die Metadata-XML-Datei bereits heruntergeladen hast, wähle die Option Datei aus und füge die Datei hinzu.
  6. Gib in diesem Beispiel für den oben genannten Identity-Provider im Feld IdP Metadata XML URL die folgende URL an: https:/DOMAIN/FederationMetadata/2007-06/FederationMetadata.xml. Ersetze „DOMAIN“ durch den Server-Domain-Namen eures Identity-Providers.
  7. Drücke auf Aktualisieren. d.vinci bezieht die Metadata-XML-Datei und überträgt automatisch alle enthaltenen Informationen. Die Seite Grundeinstellungen mit der Registerkarte SSO wird angezeigt.


Aus der Metadaten-XML-Datei des Identity-Providers werden folgende
Daten im d.vinci Bewerbermanagement eingespielt:

  • IdP Issuer / EntityID
    Eine eindeutige Identifizierung des Identity-Providers, meistens
    seine URL.
  • IdP Post Binding URL 
    Die URL, unter welcher der Identity-Provider den Single-Sign-
    on-Service bereitstellt.
  • IdP X.509 Zertifikat
    Link zum Inhalt des Identity-Provider-Zertifikats. Drücken auf Zertifikat (Verschlüsselung) bzw. Zertifikat (Verifizierung), um das Zertifikat herunterzuladen.


Achtung  

SSO-Zertifikate sind zeitlich begrenzt. Wenn ihr ein ablaufendes Zertifikat nicht rechtzeitig erneuern, werden alle Benutzer aus dem System ausgeschlossen. Um die Zertifikate zu erneuern, ladet einfach eine aktuelle Metadata-XML-Datei eures Identity-Providers herunter und aktualisiert die bestehende Datei in d.vinci.