Einrichtung von SSO mit AD FS

Einführung

In diesem Artikel wird erläutert, wie Sie Single Sign-On (SSO) in der NordPass-Verwaltungsoberfläche einrichten, indem Sie die Microsoft Active Directory-Verbunddienste (AD FS) als Identitätsanbieter verwenden.

Sie werden nur dann zur AD FS SSO-Authentifizierung aufgefordert, wenn Sie sich in einem neuen Browser oder auf einem neuen Gerät anmelden oder wenn Sie sich von einer aktiven Sitzung mit dem NordPass Business-Account abgemeldet haben. Eine aktive Sitzung bleibt auf demselben Browser oder Gerät bis zu 30 Tage lang aktiv.

HAFTUNGSAUSSCHLUSS: In naher Zukunft planen wir, die Unterstützung für AD FS SSO einzustellen. Wir empfehlen die Migration zu Entra ID. Weitere Informationen finden Sie im Microsoft-Leitfaden zur AD FS-Außerbetriebnahme.

Bevor Sie beginnen

• Sie müssen über die Berechtigung verfügen, DNS-TXT-Einträge für die Domainverifizierung hinzuzufügen.
• Sie verfügen über einen Netzwerkzugriff, der HTTPS (TCP-Port 443) zu Ihrem AD FS-Verbunddienst ermöglicht.

So gehen Sie vor

1. Öffnen Sie die AD FS-Verwaltungskonsole und klicken Sie im Bereich Aktionen auf „Anwendungsgruppe hinzufügen…“.
2. Geben Sie einen Namen für die Anwendungsgruppe ein, wählen Sie „Serveranwendung“ aus der Vorlagenliste aus und klicken Sie auf „Weiter“.
3. Kopieren Sie den Wert für die Client-ID und speichern Sie ihn.
4. Geben Sie die entsprechende Weiterleitungs-URI ein und klicken Sie auf „Hinzufügen“:
   • US-Rechenzentrum: https://api.nordbusinessaccount.com/v1/oauth/adfs/callback 
   • EU-Rechenzentrum: https://business-auth.eu.nordpass.com/v1/oauth/adfs/callback
      
5. Klicken Sie auf „Weiter“, wählen Sie „Gemeinsames Geheimnis generieren“ aus, kopieren und speichern Sie den generierten Wert und schließen Sie die Einrichtung der Anwendungsgruppe ab.
6. Öffnen Sie „Anwendungsgruppen“, wählen Sie die neu erstellte Gruppe aus, klicken Sie auf „Eigenschaften“ und dann auf „Anwendung hinzufügen…“.
7. Wählen Sie „Web-API“ aus, klicken Sie auf „Weiter“, geben Sie https://api.nordbusinessaccount.com als ID ein, klicken Sie auf „Hinzufügen“ und fahren Sie fort.
8. Wählen Sie als Zugriffsrichtlinie „Allen erlauben“ aus, stellen Sie sicher, dass unter den zulässigen Bereichen „OpenID“ ausgewählt ist, und schließen Sie die Einrichtung ab.
9. Wechseln Sie in der AD FS-Verwaltungskonsole zu „Service“, klicken Sie auf „Eigenschaften des Verbunddienstes bearbeiten…“ und kopieren Sie den Namen des Verbunddienstes (AD FS-Domain-URL).
10. Stellen Sie sicher, dass der folgende Endpunkt über HTTPS (TCP-Port 443) erreichbar ist:
    {FEDERATION_SERVICE_DOMAIN_NAME}/adfs/oauth2/authorize/
     
11. Melden Sie sich in der NordPass-Verwaltungsoberfläche an und gehen Sie zu „Authentifizierung“.
12. Wählen Sie „Microsoft Active Directory-Verbunddienste (AD FS)“ aus.
13. Klicken Sie auf „Domain hinzufügen“, geben Sie den Domainnamen Ihres Unternehmens ein und klicken Sie auf „Weiter“.
14. Fügen Sie den generierten DNS-TXT-Eintrag zu Ihrer Domain hinzu und klicken Sie dann auf „Verifizieren“ (die Verifizierung kann bis zu 72 Stunden dauern).
15. Geben Sie die zuvor gespeicherte Client-ID, den Client-Geheimschlüssel und die AD FS-Domain-URL ein und klicken Sie auf „Verbindung testen“.
16. Sobald die Verbindung erfolgreich hergestellt wurde, klicken Sie auf „Aktivieren“ und im Bestätigungsfenster erneut auf „Aktivieren“.

Weitere Tipps

• Wenn Ihre Firewall den Zugriff auf den AD FS-Autorisierungsendpunkt einschränkt, wenden Sie sich bitte an den NordPass-Support, indem Sie auf eine der Schaltflächen am Ende dieses Artikels klicken, um die erforderliche IP-Adresse zu erhalten.
• Die SSO-Authentifizierung wird nur dann erneut angefordert, wenn die Sitzung abläuft, sich der Nutzer abmeldet oder ein neuer Browser bzw. ein neues Gerät verwendet wird.
• Bewahren Sie alle generierten IDs und Geheimnisse sicher auf, damit Sie sie später bei Bedarf verwenden können.