Orchestrator-Anleitung

Konfigurieren von ADFS auf Erkennung einer neuen Orchestrator-Instanz​

1. Öffnen Sie die ADFS-Verwaltung und definieren Sie eine neue Vertrauensstellung der vertrauenden Seite für den Orchestrator wie folgt:

   1. Wählen Sie Vertrauensstellung der vertrauenden Partei aus.

   2. Wählen Sie im Bereich Aktionen die Option Vertrauensstellung der vertrauenden Partei hinzufügen aus. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Partei wird angezeigt.

   3. Wählen Sie im Abschnitt Willkommen die Option Anspruchsbezogen aus.

   4. Wählen Sie im Abschnitt Daten auswählen die Option Daten über vertrauende Partei manuell eingeben aus.

   5. Fügen Sie im Abschnitt Anzeigename angeben im Feld Anzeigename die URL der Orchestrator-Instanz ein.

   6. Der Abschnitt Zertifikat konfigurieren benötigt keine spezifischen Einstellungen, sodass Sie ihn so belassen können, wie er ist.

   7. Wählen Sie im Abschnitt URL konfigurieren die Option Unterstützung für das SAML 2.0 Web SSO-Protokoll aktivieren aus, und geben Sie die URL der Orchestrator-Instanz sowie das Suffix identity/Saml2/Acs im Feld URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite ein. Beispiel: https://orchestratorURL/identity/Saml2/Acs.

   8. Geben Sie im Abschnitt Bezeichner konfigurieren die URL der Orchestrator-Instanz im Feld Bezeichner der Vertrauensstellung der vertrauenden Seite ein.

   9. Stellen Sie im Abschnitt Zugriffssteuerungsrichtlinie auswählen sicher, dass Sie die Zugriffssteuerungsrichtlinie Allen Benutzern Zugriff gewähren auswählen.

   10. Die nächsten beiden Abschnitte (Bereit zum Hinzufügen der Vertrauensstellung und Fertig stellen) benötigen keine spezifischen Einstellungen, sodass Sie sie so belassen können, wie sie sind.

   11. Die neu hinzugefügte Vertrauensstellung wird im Fenster Vertrauensstellung der vertrauenden Seite angezeigt.

   12. Stellen Sie sicher, dass der Standardwert für Ihre URL Ja ist (Aktionen > Eigenschaften > Endpunkte).

       

2. Wählen Sie die Vertrauensstellung der vertrauenden Seite und im Aktionenbereich die Option Bearbeiten der Richtlinie zur Anspruchsausstellung aus. Der Assistent zum Bearbeiten der Richtlinie zur Anspruchsausstellung wird angezeigt.

3. Wählen Sie Regel hinzufügen aus und erstellen Sie eine neue Regel mit der Vorlage LDAP-Attribute als Claims senden mit den folgenden Einstellungen:

   

4. Nachdem Sie ADFS konfiguriert haben, öffnen Sie PowerShell als Administrator und führen Sie folgende Befehle aus:

   • Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion (Ersetzen Sie DISPLAYNAME durch den bei Punkt 1.e. gesetzten Wert)
   • Restart-Service ADFSSRV

Konfigurieren vom Orchestrator/Identity Server zur Verwendung der ADFS-Authentifizierung​

1. Definieren Sie einen Benutzer in Orchestrator und richten Sie auf der Seite Benutzer (Users) eine gültige E-Mail-Adresse ein.

2. Importieren Sie das vom Identitäts-Provider bereitgestellte Signaturzertifikat über die Microsoft Management-Konsole in den Windows-Zertifikatspeicher. Hier sehen Sie die Vorgehensweise.

3. Melden Sie sich als Systemadministrator beim Host-Verwaltungsportal an.

4. Select Security.

5. Wählen Sie unter SAML SSO die Option Konfigurieren aus.

   Die SAML-SSO-Konfigurationsseite wird geöffnet.

6. Richten Sie es wie folgt ein:

   • Aktivieren Sie optional das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie möchten, dass sich Ihre Benutzer nach der Aktivierung der Integration nur über die SAML-Integration anmelden.
   • Geben Sie im Feld Anzeigename den Namen ein, den Sie für die SAML- Anmeldeoption auf der Seite Anmeldung anzeigen möchten.
   • Set the Service Provider Entity ID parameter to https://orchestratorURL/identity/Saml2/Acs.
   • Legen Sie den Parameter ID der Identitätsanbieterentität auf den Wert fest, den Sie durch Konfigurieren der ADFS-Authentifizierung erhalten haben.
   • Legen Sie den Parameter URL des Diensts für einmaliges Anmelden auf den Wert fest, den Sie durch Konfigurieren der ADFS-Authentifizierung erhalten haben.
   • Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
   • Legen Sie den Parameter Rückgabe-URL auf https://orchestratorURL/identity/externalidentity/saml2redirectcallback fest.
   • Legen Sie den Parameter Zuordnungsstrategie für externen Benutzer auf By user email fest.
   • Set the SAML binding type parameter to HTTP redirect.
   • Wählen Sie im Abschnitt Signaturzertifikat in der Liste Store name die Option My aus.
   • Wählen Sie in der Liste Speicherort die Option LocalMachine aus.
   • Fügen Sie im Feld Fingerabdruck den Fingerabdruck-Wert hinzu, der im Windows-Zertifikatspeicher bereitgestellt wird. Details.
     Hinweis:

     Ersetzen Sie alle vorkommenden https://orchestratorURL durch die URL Ihrer Orchestrator-Instanz. Stellen Sie sicher, dass die URL der Orchestrator-Instanz keinen nachgestellten Schrägstrich enthält. Geben Sie sie immer als https://orchestratorURL/identity und nicht als https://orchestratorURL/identity/ ein.

7. Wählen Sie Speichern aus, um die Änderungen an den Einstellungen des externen Identitätsanbieters zu speichern.

   Die Seite wird geschlossen und Sie kehren zur Seite Sicherheitseinstellungen zurück.

8. Wählen Sie den Umschalter links neben SAML SSO aus, um die Integration zu aktivieren.

9. Starten Sie den IIS-Server neu.