Hinweis  

Da als Identity-Provider viele unterschiedliche Drittlösungen in Frage kommen, kann diese Anleitung nur ein Beispiel für die Einrichtung eines Identity-Providers geben. Das Beispiel ist nur gültig für die genannte Software in der genannten Version. Auf andere Versionen der gleichen Software ist dieses Beispiel gegebenenfalls nicht anwendbar. Für Informationen zur Einrichtung eures Identity-Providers wendet euch bitte an die Produktdokumentation bzw. an den Hersteller.

Kontaktiert den d.vinci Customer Service, wenn ihr technische Unterstützung bei der Einrichtung benötigt.


Metadata-XML

Identity-Provider und Service-Provider (d.vinci) tauschen Metadaten auf Grundlage von XML-Dateien aus, die daher Metadata-XML genannt werden. Um die beiden Systeme verbinden zu können, benötigt ihr zunächst die Metadata-XML-Datei des Identity-Providers. Diese wird euch von eurem Identity-Provider bereitgestellt.


Microsoft Active Directory Federation Services

Diese Anleitung zeigt beispielhaft die Verknüpfung des Service-Providers (d.vinci) mit dem Identity-Provider Microsoft Active Directory Federation Services (ADFS) in der Version 3.0 (Microsoft Windows Server 2012 R2). Die Metadata-XML-Datei für diese Lösung wird unter dem unten stehenden Link bereitgestellt.


d.vinci-Metadata-XML an den Identity-Provider übergeben und Regel erstellen

In d.vinci sind keine Konfigurationen nötig oder möglich. Ladet einfach die d.vinci-Metadata-XML-Datei herunter und übergebt diese an euren Identity-Provider.

Jeder Identity-Provider hat dafür einen eigenen Vorgang. In diesem Beispiel fügt ihr die d.vinci-Metadata-XML-Datei zum oben genannten Identity-Provider ADFS hinzu.


Gehe wie folgt vor:

  1. Öffne die Seite Grundeinstellungen.
  2. Aktiviere die Registerkarte SSO.
  3. Drücke in der Karte Service Provider Information auf den Link im Feld Service Provider Metadata XML. Lade die Datei herunter.
  4. Öffne in deinem ADFS-Dienst die Management-Konsole.
  5. Füge eine neue Vertrauensstellung der vertrauenden Seite hinzu.
  6. Führe den Assistenten aus und importiere die heruntergeladene d.vinci-Metadata-XML-Datei in den ADFS-Dienst.


Damit Single Sign-on funktioniert, verknüpft das Benutzerkonto eures Betriebssystems (bzw. des Absprungpunkts für die Single-Sign-on-Anmeldung) mit dem Benutzerkonto des Service-Providers (d.vinci). Richtet dafür die nötigen Transformationsregeln im Identity-Provider ein.


Dem Feld Name ID im Service-Provider (d.vinci) weist ihr ein LDAP-Attribut im ADFS-Dienst zu:

  1. Öffne im ADFS-Dienst das Fenster zum Bearbeiten oder Anlegen von Anspruchsregeln (Claims).
  2. Wähle im Feld Attributspeicher den Wert Active Directory.
  3. Wähle im Feld für ausgehende Anspruchstypen den Wert Name ID (bzw. auf Deutsch Namens-ID).
  4. Wähle als LDAP-Attribut einen Wert aus, den du dem Feld Name ID des Service-Providers (d.vinci) zuordnen möchtest. Dieser Wert muss identisch sein mit dem in d.vinci hinterlegten Wert.
  5. Drücke auf OK, um die Eingabe zu speichern und zu beenden.


SamlResponseSignature umstellen

Bei der Änderung des ADFS sollte auch die SamlResponseSignature geändert werden.
Gehe wie folgt vor:

  1. Öffne die ADFS-Verwaltung.
  2. Suche den Anzeigenamen der Vertrauensstellung der vertrauenden Seite.
  3. Öffne die Powershell-Konsole als Administrator.
  4. Rufe die aktuellen Einstellungen mit folgendem Befehl auf, wobei du den Wert des -Name Parameters mit eurem eigenen Anzeigenamen aus Schritt 2 ersetzt:
    Get-AdfsRelyingPartyTrust -Name "ADFS-Einrichtung.dvinci.de" | select SamlResponseSignature
  5. Setze die neue Einstellung mit folgendem Befehl ein, wobei du den Wert des -TargetName Parameters mit eurem eigenen Anzeigenamen aus Schritt 2 ersetzt:
    Set-AdfsRelyingPartyTrust -TargetName "ADFS-Einrichtung.dvinci.de" -SamlResponseSignature MessageAndAssertion
  6. Nach der Umstellung soll die erneute Prüfung das folgende Ergebnis zurückgeben:
    Get-AdfsRelyingPartyTrust -Name "ADFS-Einrichtung.dvinci.de" | select SamlResponseSignature
SamlResponseSignature
---------------------
MessageAndAssertion


IdP-Metadata-XML in d.vinci eintragen

Gehe wie folgt vor:

  1. Öffne in d.vinci den Menüpunkt Verwaltung.
  2. Drücke im Bereich Allgemeine Verwaltung auf die Karte Grundeinstellungen.
  3. Aktiviere die Registerkarte SSO.
  4. Drücke in der Karte Identity Provider Konfiguration auf das Icon  . Das Eingabeformular Single Sign-on wird angezeigt.
  5. Wähle im Feld Quelle die Option URL, von welcher d.vinci die Metadata-XML-Datei des Identity-Providers automatisch beziehen soll. Wenn du die Metadata-XML-Datei bereits heruntergeladen hast, wähle die Option Datei aus und füge die Datei hinzu.
  6. Gib in diesem Beispiel für den oben genannten Identity-Provider im Feld IdP Metadata XML URL die folgende URL an: https://DOMAIN/FederationMetadata/2007-06/FederationMetadata.xml. Ersetze „DOMAIN“ durch den Server-Domain-Namen eures Identity-Providers.
  7. Drücke auf Aktualisieren. d.vinci bezieht die Metadata-XML-Datei und überträgt automatisch alle enthaltenen Informationen. Die Seite Grundeinstellungen mit der Registerkarte SSO wird angezeigt.


Aus der Metadata-XML-Datei des Identity-Providers werden folgende Daten im d.vinci Bewerbermanagement eingespielt:

  • IdP Issuer / EntityID
    Eine eindeutige Identifizierung des Identity-Providers, meistens seine URL.
  • IdP Post Binding URL
    Die URL, unter welcher der Identity-Provider den Single-Sign-on-Service bereitstellt.
  • IdP X.509 Zertifikat
    Link zum Inhalt des Identity-Provider-Zertifikats. Drücke auf Zertifikat (Verschlüsselung) bzw. Zertifikat (Verifizierung), um das Zertifikat herunterzuladen.


Achtung  

SSO-Zertifikate sind zeitlich begrenzt. Wenn ihr ein ablaufendes Zertifikat nicht rechtzeitig erneuert, werden alle Benutzer aus dem System ausgeschlossen. Um die Zertifikate zu erneuern, ladet einfach eine aktuelle Metadata-XML-Datei eures Identity-Providers herunter und aktualisiert die bestehende Datei in d.vinci.