Um den SAML 2.0 Login über AD-FS zu verwenden müssen folgende Konfigurationen vorgenommen werden.
Basierend auf einem bestehenden AD-FS Server muss ein neuer Relying Party Trust erstellt werden:
Claims aware auswählen
Manuelle Konfiguration wählen:
Namen für den Trust vergeben, z.B. QMPilot:
Keine Verschlüsselung für die SAML Requests:
SAML 2.0 aktivieren und Endpoint angeben:
https://server/applikation/Account/Saml z.B. https://demo1.qm-pilot.com/demo/Account/Saml
Identifiyer eintragen:
https://server/applikation z.B. https://demo1.qm-pilot.com/demo (Muss später in die QM-Pilot Konfiguration eingetragen werden!)
Berechtigungen definieren:
Hier wäre es möglich z.B. die Zugriff auf bestimmte Benutzergruppen einzuschränken, im Standard wird der Zugriff jedem angemeldetem Benutzer gewährt.
Bestätigung der Konfiguration:
Konfiguration abschliessen:
Im letzten Schritt muss noch die Signatur der Request aktiviert werden.
Dazu muss zuerst das Token Sign Zertifikat exportiert werden:
Export als Base-64 - X.509 Zertifikat. Wichtig: diese Zertifikat muss auch später im QM-Pilot hinterlegt werden.
Öffnen der Eigenschaften des Relying Party Trusts:
Zertifikat im Bereich Signature auswählen:
Im nächsten Schritt muss bestimmt werden welche Informationen in Form von Claims an den QM-Pilot weitergeben werden:
Send LDAP Attributes as Claims auswählen:
Festlegen der Claim Informationen die gesendet werden sollen. Der Name kann frei vergeben werden.
Für den Login über AD-FS muss das LDAP Attribut SAM-Account-Name mit dem Outgoing Claim Type Name ID eingetragen werden. Damit erhält QM-Pilot den Benutzernamen des Users.
Der Benutzer muss dann bereits im QM-Pilot bestehen.
Soll auch die Berechtigungen über das Active Directory verwaltet werden und dynamisch (beim ersten Login) Benutzer im QM-Pilot erstellt werden, müssen auch folgende Daten übertragen werden.
Surname = Surname
Given-Name = Given-Name
E-Mail-Addresses = E-Mail Address
Die Informationen werden dann in die entsprechenden Felder des neuen/dynamische erstellen Benutzer eingefügt.
Für jede Rolle und Gruppe in QM-Pilot muss ein Groups Claim erstellt werden.
Der Name der AD Gruppe wird im QM-Pilot bei den Rollen eingetragen.
Neuer Claim für die Gruppe QMPAdmin.
Der Outgoing Claim Type muss folgender sein:
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
Dies muss dann für jede Gruppe und Rolle wiederholt werden:
Damit ist die Konfiguration auf der AD-FS Seite abgeschlossen.
Im QM-Pilot muss neben den oben erwähnten LDAP Regeln für die Gruppen und Rollen folgendes in den Einstellungen eingetragen werden.
Beim einfügen des Zertifikats (siehe Oben bei Signatur) sollte darauf geachtet werden das möglich Umbrüche entfernt werden.
Als SAML Login URL wird die Adresse der Login Seite des AD-FS Servers angegeben.
z.B: https://fs.adtest.local/adfs/ls/idpinitiatedsignon.aspx
Die Applikation ID ist die Basis URL (siehe oben Identifier) der QM-Pilot Umgebung.
z.B. https://demo1.qm-pilot.com/demo
Die Reply URL ist die oben beschriebene Endpoint URL.
z.B. https://demo1.qm-pilot.com/demo/Account/Saml
Soll nur der Login über SAML erfolgen muss unter LDAP das entsprechende Flag gesetzt werden.
In diesem Fall müssen die Benutzer lokal in QM-Pilot erstellt werden.
Die LDAP Konfiguration bleibt ansonsten leer.
