Orchestrator-Anleitung

Konfigurieren von PingOne auf Erkennung einer neuen Orchestrator-Maschine​

1. Melden Sie sich bei der PingOne-Administratorkonsole an.

2. Wählen Sie auf der Registerkarte Anwendungen die Option + Anwendung hinzufügen aus. Ein neues Fenster wird geöffnet.

   

3. Wählen Sie WEB APP aus, und klicken Sie im Feld SAML auf die Schaltfläche Konfigurieren .

   

4. Geben Sie auf der Seite App-Profil erstellen einen Anwendungsnamen in das entsprechende Feld ein und wählen Sie die Schaltfläche Weiter aus.

   

5. Geben Sie auf der Seite SAML konfigurieren die ACS-URL an, indem Sie die URL der Orchestrator-Instanz plus das Suffix identity/Saml2/Acs eingeben. Zum Beispiel: https://orchestratorURL/identity/Saml2/Acs. Beachten Sie, dass bei ACS die Groß-/Kleinschreibung beachtet wird.

6. Scrollen Sie auf der Seite SAML konfigurieren nach unten, und legen Sie die Entitäts-ID auf https://orchestratorURL fest.

7. Wählen Sie auf derselben Seite HTTP Redirect als SLO-Bindung aus.

8. Geben Sie im Feld Assertion-Gültigkeitsdauer die gewünschte Gültigkeit in Sekunden ein, und drücken Sie Weiter.

   

9. Ordnen Sie auf der Seite Attribute zuordnen das folgende Attribut zu: E-Mail-Adresse = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   

10. Wählen Sie Speichern und öffnen Sie die App auf der Registerkarte Anwendungen.

    

11. Kopieren Sie im neu geöffneten Fenster die Single SignOn-URL.

    

Konfigurieren vom Orchestrator/Identity Server zur Verwendung der PingOne-Authentifizierung​

1. Definieren Sie einen Benutzer in Orchestrator und richten Sie auf der Seite Benutzer (Users) eine gültige E-Mail-Adresse ein.
2. Importieren Sie das vom Identitäts-Provider bereitgestellte Signaturzertifikat über die Microsoft Management-Konsole in den Windows-Zertifikatspeicher. Hier sehen Sie die Vorgehensweise.
3. Melden Sie sich als Systemadministrator beim Verwaltungsportal an.
4. Select Security.
5. Wählen Sie Konfigurieren unter SAML SSO aus:

6. Richten Sie es wie folgt ein:
   • Aktivieren Sie optional das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie möchten, dass sich Ihre Benutzer nach der Aktivierung der Integration nur über die SAML-Integration anmelden.
   • Set the Service Provider Entity ID parameter to https://orchestratorURL.
   • Legen Sie den Parameter ID der Identitätsanbieterentität auf den Wert fest, den Sie durch Konfigurieren der PingOne-Authentifizierung erhalten haben.
   • Legen Sie den Parameter URL des Diensts für einmaliges Anmelden auf den Wert fest, den Sie durch Konfigurieren der PingOne-Authentifizierung erhalten haben.
   • Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
   • Legen Sie den Parameter Rückgabe-URL auf https://orchestratorURL/identity/externalidentity/saml2redirectcallback fest.
   • Legen Sie den Parameter Zuordnungsstrategie für externen Benutzer auf By user email fest.
   • Set the SAML binding type parameter to HTTP redirect.
   • Wählen Sie im Abschnitt Signaturzertifikat in der Liste Store name die Option My aus.
   • Wählen Sie in der Liste Speicherort die Option LocalMachine aus.
   • Fügen Sie im Feld Fingerabdruck den Fingerabdruck-Wert hinzu, der im Windows-Zertifikatspeicher bereitgestellt wird. Details.
     Hinweis:

     Ersetzen Sie alle vorkommenden https://orchestratorURL durch die URL Ihrer Orchestrator-Instanz. Stellen Sie sicher, dass die URL der Orchestrator-Instanz keinen nachgestellten Schrägstrich enthält. Geben Sie sie immer als https://orchestratorURL und nicht als https://orchestratorURL/ ein.

7. Wählen Sie Speichern aus, um die Änderungen an den Einstellungen des externen Identitätsanbieters zu speichern.

8. Wählen Sie den Umschalter links neben SAML SSO aus, um die Integration zu aktivieren.
9. Starten Sie den IIS-Server neu.