windows-authentifizierung mit ad fs - idl workplace server...
TRANSCRIPT
Windows-Authentifizierung mit AD FS
Installation und Einrichtung von Active
Directory Federation Services (AD FS)
Konfiguration von IDL Workplace Server
2016, 2016 Update 1 und 2016 Update 2 zur
Integration mit AD FS
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
2 © IDL GmbH Mitte
Inhaltsverzeichnis
1 Was ist AD FS und Claims-Based Authentication? .................................................................. 3
2 Vorbereitung ............................................................................................................................ 4
2.1 Installation ........................................................................................................................ 4
2.2 Verwendung eines frei wählbaren Dienstnamens und Einrichtung eines DNS A-Records 4
2.3 Checkliste – Windows Server 2012 R2 ............................................................................. 4
2.4 Checkliste – Windows Server 2008 R2 ............................................................................. 5
3 Überblick ................................................................................................................................. 6
4 Installation ............................................................................................................................... 7
5 Konfigurations-Assistent (AD FS 3.0) ...................................................................................... 8
6 Konfigurations-Assistent (AD FS 2.0) .....................................................................................15
7 Einrichten der Authentifizierungsrichtlinien .............................................................................18
7.1 Per Assistent ...................................................................................................................18
7.2 Per Powershell-CmdLet (nur AD FS 3.0) .........................................................................20
8 Einrichtung des Relying Party Trusts für eine IDL Workplace Server Instanz .........................21
8.1 Per Assistent ...................................................................................................................21
8.1.1 Anlegen des Relying Party Trusts ............................................................................21
8.1.2 Einrichten der Claims-Ausstellungsregeln ................................................................36
8.2 Per Powershell CmdLet (nur AD FS 3.0) .........................................................................40
9 Einrichten des AD FS als Identity Provider in IDL Workplace Server ......................................41
9.1 Einsehen des Identity Provider Realms bzw. Federation Service Identifiers ....................43
9.2 Einsehen des Federation Endpoint Pfades ......................................................................44
9.3 Einsehen des Signierungs-Zertifikats-Thumbprints ..........................................................45
10 Anlegen von Benutzerprofilen .............................................................................................47
11 Anmeldevorgang .................................................................................................................49
12 Windows-integrierte Anmeldung .........................................................................................51
12.1 Mit Internet Explorer ........................................................................................................51
12.2 Mit anderen Browsern .....................................................................................................52
12.2.1 Mozilla Firefox ..........................................................................................................52
12.2.2 Google Chrome ........................................................................................................52
12.2.3 Apple Safari..............................................................................................................52
12.2.4 Weitere Browser .......................................................................................................53
13 Troubleshooting ..................................................................................................................54
13.1 Grundsätzliche Protokollierung von Ereignissen für AD FS .............................................54
13.2 Erweiterte Protokollierung von Ereignissen .....................................................................54
13.3 Extended Protection Probleme ........................................................................................54
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 3
1 Was ist AD FS und Claims-Based Authentication?
Active Directory Federation Services (AD FS) kann im Sinne von Claims-Based Authentication unter
anderem als sogenannter Identity Provider dienen. In dieser Funktion kann AD FS
Benutzerauthentifizierung auf Basis des Benutzerstamms der Domäne durchführen, sofern dieser
per Active Directory Services verwaltet wird. Andere Applikation können die Identitätsinformationen
der Benutzer dann auswerten, sofern sie dem Identity Provider entsprechend vertrauen. Sie stellen
so sogenannte Relying Parties dar.
Auf andere Weise beschrieben führt eine Applikation (= Relying Party) die Authentifizierung von
Benutzern nicht selbst durch. Wenn ein Client versucht, auf eine Applikation zuzugreifen, dann wird
er an einen Identity Provider verwiesen, dem die Applikation vertraut.
Der Client und der Identity Provider handeln die Authentifizierung ab, und im Erfolgsfall stellt der
Identity Provider dem Client ein Security Token aus. Mit diesem Security Token kehrt der Client zur
Applikation zurück und diese entscheidet, ob sie dem Identity Provider und in Konsequenz dem
Security Token vertraut.
Falls dies der Fall ist, wird dem Benutzer Zugang zur Applikation gewährt und die Applikation nutzt
die im Security Token enthaltenen Informationen zur Identifikation des Benutzers.
Falls die Applikation dem Identity Provider oder dem Security Token nicht vertraut, so wird der
Benutzer abgewiesen. Ebenso kann die Applikation aufgrund der im Security Token enthaltenen
Benutzer-bezogenen Informationen entscheiden, diesen abzuweisen.
Dieses Dokument beschreibt, wie AD FS installiert und eingerichtet wird, und wie AD FS und IDL
Workplace Server konfiguriert werden müssen, um als Identity Provider bzw. Relying Party
zusammenzuarbeiten.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
4 © IDL GmbH Mitte
2 Vorbereitung
Es wird in jedem Fall empfohlen, AD FS weder auf dem Domänen-Controller, noch auf dem
IDL Workplace-Server-Backend-Server zu installieren/betreiben. Dieses Dokument geht
davon aus, dass AD FS auf einem dedizierten Server installiert wird. Zu anderen
Konstellationen können von unserer Seite aus keine Aussagen gemacht werden
2.1 Installation
AD FS 3.0
Dieses Dokument beschreibt die Installation und Einrichtung von AD FS 3.0 auf einem dedizierten
Server (Windows Server 2012 R2). Es wird die Verwendung von AD FS 3.0 empfohlen, da es sich
zum Zeitpunkt des Verfassens dieses Dokuments um die neueste und umfangreichste Iteration
dieser Software handelt.
AD FS 3.0 kann nur dann ohne weiteres eingesetzt werden, wenn mindestens einer der verfügbaren
Domänencontroller auf Windows Server 2012 R2 (oder höher) betrieben wird.
Werden sämtliche Domänencontroller auf Windows Server 2008 R2 betrieben, dann wird
empfohlen, AD FS 2.0 auf Windows Server 2008 R2 zu installieren.
AD FS dient im Unternehmen als zentrale Nabe für alle Applikation, die AD FS als Identity Provider
nutzen. Verfügbarkeit hat deshalb hohe Priorität. Daher sollte AD FS nicht mit anderen Diensten
um Ressourcen konkurrieren müssen, oder sogar durch eventuelle Instabilitäten anderer Dienste
oder Anwendungen in Mitleidenschaft gezogen werden.
In diesem Sinne ist die Installation auf einem dedizierten Server ein Vorgriff auf einen späteren
Ausbau zu einer Server-Farm, um Verfügbarkeit und Ausfallsicherheit der Federated-Identity-
Infrastruktur zu gewährleisten.
2.2 Verwendung eines frei wählbaren Dienstnamens und
Einrichtung eines DNS A-Records
Ein weiterer Vorgriff auf den Ausbau zur Server-Farm ist das Einrichten eines DNS A-Records, mit
welchem der AD FS Server (bzw. Server-Farm) anhand seiner IP-Adresse mit einem frei gewählten
Dienstnamen verknüpft wird.
Dies lässt sich auch beim Betrieb eines einzelnen AD FS 3.0 Servers nicht umgehen, da es sonst
zu einem Problem mit SPNs (Service Principle Names) kommt.
AD FS 2.0 kann auch in einem „Standalone-Modus“ betrieben werden. Dazu ist das DNS A-Record
nicht notwendig und das SSL-Zertifikat kann direkt auf den Hostnamen des Servers ausgestellt sein.
Der Hostname des Servers ist in diesem Szenario gleich dem Dienstnamen.
2.3 Checkliste – Windows Server 2012 R2
Ein eigener Server, Mitglied der Domäne, Betriebssystem: Windows Server 2012 R2.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 5
Ein frei gewählter Dienstname, der domänenweit eindeutig ist. Beispiel: fs.contoso.com.
Verwenden Sie auf keinen Fall den Rechnernamen als Dienstnamen!
Ein SSL-Zertifikat, welches auf den gewählten Dienstnamen ausgestellt ist. Muss entweder mit
privatem Schlüssel im Personal-Bereich des Windows-Zertifikatsspeichers des lokalen Computers,
oder in Form einer .pfx-Datei vorliegen, die auch den privaten Schlüssel enthält. Ein Zertifikat, dass
auf den Namen des Rechners ausgestellt ist, kann nicht verwendet werden!
Ein DNS A-Record, welches die IP-Adresse des Servers mit dem gewählten Dienstnamen
verknüpft.
Ein Domänen-Konto, welches für den Betrieb des AD FS Dienstes verwendet werden kann.
Bei der Installation als Server Farm wird der Dienstname mit der IP-Adresse der Farm verknüpft.
2.4 Checkliste – Windows Server 2008 R2
Unter Windows Server 2008 R2 ist lediglich AD FS 1.0 als Server-Role angeboten. IDL Workplace
Server ist jedoch nicht mit AD FS 1.0 kompatibel. Stattdessen muss AD FS 2.0 von Microsoft.com
heruntergeladen (oder anderweitig bezogen) und auf dem Server installiert werden.
Ein eigener Server, Mitglied der Domäne, Betriebssystem Windows Server 2008 R2.
Ein SSL-Zertifikat, welches auf den Hostnamen des Servers ausgestellt ist. Das Zertifikat
muss sowohl den FQDN (Fully Qualified Domain Name) und den Rechnernamen enthalten.
Muss entweder mit privatem Schlüssel im Personal-Bereich des Windows-
Zertifikatsspeichers des lokalen Computers, oder in Form einer .pfx-Datei vorliegen, die
auch den privaten Schlüssel enthält.
Hinweis: Ein einfaches, selbst-signiertes SSL-Zertifikat kann mit Hilfe der IIS-Management-
Konsole erstellt werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
6 © IDL GmbH Mitte
3 Überblick
Die Einrichtung von AD FS 3.0 und anschließende Integration mit IDL Workplace Server gliedert
sich grob in sechs Schritte:
1. Installation der AD FS Windows-Rolle
2. Konfiguration von AD FS (per Assistent)
3. Einrichten der Authentifizierungsrichtlinien
4. Einrichten des Relying Party Trusts für eine IDL Workplace Server Instanz
5. Einrichten des AD FS als Identity Provider in IDL Workplace Server
6. Anlegen von Benutzerprofilen
Die Einrichtung von AD FS 2.0 und anschließende Integration mit IDL Workplace Server gliedert
sich grob in fünf Schritte:
1. Installation der AD FS Software
2. Konfiguration von AD FS
3. Einrichten des Relying Party Trusts für eine IDL Workplace Server Instanz
4. Einrichten des AD FS als Identity Provider in IDL Workplace Server
5. Anlegen von Benutzerprofilen
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 7
4 Installation
AD FS 3.0 ist in Microsoft Windows Server 2012 R2 als Server-Rolle angeboten. Es gibt keine
anderen Rollen oder Features, die explizit mit installiert werden müssen.
Bei der Installation als Farm muss die Installation und Einrichtung der Rolle auf jedem Server
vorgenommen werden.
Starten Sie den Server Manager und installieren Sie die Server Rolle „Active Directory Federation
Services“.
Nach Abschluss der Installation fordert der Server Manager zur Konfiguration der AD FS Rolle auf.
AD FS 2.0:
Wählen Sie während der Installation als Server-Rolle „Federation Server“, nicht „Federation Server
Proxy“.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
8 © IDL GmbH Mitte
5 Konfigurations-Assistent (AD FS 3.0)
Im Folgenden wird die Konfiguration von AD FS 3.0 Schritt für Schritt erklärt.
Wenn Sie einen einzelnen AD FS oder den ersten AD FS einer geplanten Farm installieren, wählen
Sie die erste Option.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 9
Geben Sie einen administrativen Zugang zur Domäne an. Dieser Zugang wird nur für die Einrichtung
benötigt, während des späteren Betriebs wird er nicht verwendet.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
10 © IDL GmbH Mitte
1. Importieren Sie das vorbereitete SSL-Zertifikat oder wählen Sie es ggf. aus. Verwenden Sie
kein Zertifikat, dass auf den Rechnernamen ausgestellt ist! (Siehe Checkliste – Windows
Server 2012 R2)
2. In dieser Auswahl werden alle Subjects angezeigt, auf die das ausgewählte Zertifikat
ausgestellt wurde. Wählen Sie den Dienstnamen aus. Der Dienstname darf nicht dem
Rechnernamen entsprechen! (siehe Checkliste – Windows Server 2012 R2)
3. Wählen Sie einen Anzeigetext, der später bei Anmeldevorgängen erscheint.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 11
Wählen Sie das vorbereitete Domänenkonto aus.
Hinweis: Der Assistent legt automatisch eine HOST-SPN an, die den Dienstnamen mit dem hier
angegeben Domänenkonto verknüpft, um Windows-integrierte Anmeldung per Kerberos zu
ermöglichen.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
12 © IDL GmbH Mitte
Hier kann entschieden werden, wie ADFS seine eigene Konfiguration speichert. Für einfache
Installationen ist die erste Option ausreichend.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 13
Hier kann ein Powershell-Skript exportiert werden, um evtl. folgende Installationen in einer Farm zu
automatisieren.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
14 © IDL GmbH Mitte
Die Einrichtung kann abgeschlossen werden.
Nach Abschluss der Installation kann die Anwendung „AD FS Management“ gestartet werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 15
6 Konfigurations-Assistent (AD FS 2.0)
Diese Anleitung deckt im Folgenden nur die Einrichtung eines „Stand-alone Federation Servers“
ab.
Erstellen Sie einen neuen Federation Service.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
16 © IDL GmbH Mitte
Wählen Sie die „Standalone“-Option.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 17
Wählen Sie das vorbereitete SSL-Zertifikat aus. Der Dienstname wird automatisch aus dem
Zertifikat abgeleitet und sollte dem Hostnamen des Servers entsprechen.
Es kann ein selbstsigniertes Zertifikat verwendet werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
18 © IDL GmbH Mitte
7 Einrichten der Authentifizierungsrichtlinien
Das Einrichten der Authentifizierungsrichtlinien entfällt bei AD FS 2.0.
7.1 Per Assistent
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 19
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
20 © IDL GmbH Mitte
7.2 Per Powershell-CmdLet (nur AD FS 3.0)
Die Authentifizierungsrichtlinien können auch mit Hilfe des folgenden Powershell-CmdLets gesetzt
werden:
Set-AdfsGlobalAuthenticationPolicy
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 21
8 Einrichtung des Relying Party Trusts für eine IDL
Workplace Server Instanz
8.1 Per Assistent
Die Assistenten zum Anlegen eines Relying Party Trusts und der Claim-Ausstellungs-Regeln sind
unter AD FS 3.0 und 2.0 fast identisch, die Unterschiede sind an den entsprechenden Stellen
beschrieben.
8.1.1 Anlegen des Relying Party Trusts
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
22 © IDL GmbH Mitte
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 23
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
24 © IDL GmbH Mitte
Wählen Sie einen Anzeigenamen für den neuen Relying Party Trust. Dieser dient lediglich Ihrer
Übersicht. Beispiel: IDL Workplace Server auf <Computername>
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 25
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
26 © IDL GmbH Mitte
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 27
IDL Workplace Server 2016, AD FS 3.0 und AD FS 2.0:
Tragen Sie bei (2) die Serveradresse der IDL Workplace Server Installation ein, gefolgt von
/WdCbiIssuer/issue/hrd.
Beispiel: https://myworkplaceserver/WdCbiIssuer/issue/hrd
Hinweis: Die Groß/Klein-Schreibung von „wdcbiissuer“ ist relevant und muss genau so
angegeben werden: WdCbiIssuer! (Issuer mit einem großen „i“ und nicht mit einem kleinen
„L“.)
IDL Workplace Server 2016 Update 1 und Update 2, AD FS 2.0:
Tragen Sie bei (2) die Serveradresse der IDL Workplace Server Installation ein, gefolgt von
/federationprovider/core/wsfedcallback.
Beispiel: https://myworkplaceserver/federationprovider/core/wsfedcallback
Achtung! Groß-/Kleinschreibung muss exakt übernommen werden!
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
28 © IDL GmbH Mitte
Entfernen Sie den automatisch erstellten Relying Party Trust Identifier (1, 2)
Tragen Sie bei (3) folgenden URI ein: http://<Computername>/idlwps/internalidp und fügen Sie
sie diese mit Hilfe von Add hinzu (4).
Beispiel: http://myworkplaceserver/idlwps/internalidp
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 29
Die Frage nach Multi-Factor-Authentication entfällt bei AD FS 2.0.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
30 © IDL GmbH Mitte
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 31
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
32 © IDL GmbH Mitte
Die Einrichtung der Ausstellungsregeln erfolgt in einem späteren Schritt, daher sollte diese
Checkbox deaktiviert werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 33
Nur AD FS 3.0 (IDL Workplace Server 2016, 2016 Update 1 und Update 2):
Zusätzlich zur gerade fertiggestellten Konfiguration muss noch ein weiterer Endpunkt zum Relying
Party Trust hinzugefügt werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
34 © IDL GmbH Mitte
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 35
Tragen Sie bei (1) die Serveradresse der IDL Workplace Server Installation ein, gefolgt von
/federationprovider/core/wsfedcallback.
Beispiel: https://myworkplaceserver/federationprovider/core/wsfedcallback
Achtung! Groß-/Kleinschreibung muss exakt übernommen werden!
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
36 © IDL GmbH Mitte
8.1.2 Einrichten der Claims-Ausstellungsregeln
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 37
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
38 © IDL GmbH Mitte
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 39
Die somit eingerichtete Regel sorgt dafür, dass der User-Principal-Name in Form zweier Claims
ausgestellt wird. Beide werden von IDL Workplace Server benötigt.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
40 © IDL GmbH Mitte
8.2 Per Powershell CmdLet (nur AD FS 3.0)
Relying Parties können auch mit Hilfe der folgenden Powershell-CmdLets ausgelesen oder erzeugt
werden:
Get-AdfsRelyingPartyTrust
Add-AdfsRelyingPartyTrust
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 41
9 Einrichten des AD FS als Identity Provider in IDL
Workplace Server
Die Einrichtung von AD FS 3.0 und 2.0 ist seitens IDL Workplace-Server identisch.
Starten Sie das Web-Portal Ihrer IDL Workplace Server Instanz (Beispiel:
https://myworkplaceserver/portal), melden Sie sich mit einem administrativen Zugang an und
begeben Sie sich in den Administrationsbereich.
Legen Sie einen neuen Identity Provider an.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
42 © IDL GmbH Mitte
Der Anzeigename (1) dient der Unterscheidung des AD FS Identity Providers vom internen Identity
Provider während des Anmeldevorgangs.
Die Beschreibung (2) ist optional und dient nur Ihrer eigenen Übersicht.
Das Realm (3) setzt sich standardmäßig folgendermaßen zusammen:
http://<Ad FS Dienstname>/adfs/services/trust
Der Realm kann auch in AD FS Management eingesehen werden.
Der Federation Endpoint (4) setzt sich standardmäßig folgendermaßen zusammen:
https://<AD FS Dienstname>/adfs/ls/
Der Pfad der Adresse kann auch in AD FS Management eingesehen werden.
Der Thumbprint (5) ist der Thumbprint des Zertifikats, welches von AD FS benutzt wird, um
ausgehende Security Tokens zu signieren.
Das Zertifikat kann in AD FS Management eingesehen werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 43
9.1 Einsehen des Identity Provider Realms bzw. Federation Service
Identifiers
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
44 © IDL GmbH Mitte
9.2 Einsehen des Federation Endpoint Pfades
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 45
9.3 Einsehen des Signierungs-Zertifikats-Thumbprints
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
46 © IDL GmbH Mitte
Hinweis: Der Inhalt der Detailanzeige (3) kann per Maus markiert und per <Strg>+<C> in die
Zwischenablage kopiert werden, um die Übertragung in den Administrationsbereich von IDL
Workplace Server zu erleichtern.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 47
10 Anlegen von Benutzerprofilen
Für alle Benutzer, die sich per AD FS anmelden können sollen, müssen im Vorfeld Benutzerprofile
in IDL Workplace Server angelegt werden.
Starten Sie das Web-Portal Ihrer IDL Workplace Server Instanz (Beispiel:
https://myworkplaceserver/portal), melden Sie sich mit einem administrativen Zugang an und
begeben Sie sich in den Administrationsbereich.
Legen Sie einen neuen Benutzer für Ihren AD FS an.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
48 © IDL GmbH Mitte
Damit beim Anmeldevorgang die Zuordnung des Benutzers zu seinem Profil funktioniert, muss der
Benutzername exakt so angegeben werden, wird er in der Windows-Domäne lautet. Außerdem
muss die UPN-Schreibweise verwendet werden:
<Windows-Login-Name>@<FQDN-Domäne>
Beispiele: [email protected], [email protected]
Alle weiteren Felder können frei besetzt werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 49
11 Anmeldevorgang
Sobald mindestens ein Identity Provider im IDL Workplace Server eingerichtet ist, erscheint beim
Anmeldevorgang eine entsprechende Auswahlmaske.
Wenn ein AD FS Identity Provider ausgewählt wird, hängt der weitere Ablauf davon ab, inwiefern
Windows-integrierte Anmeldung (WIA) möglich ist.
Bei voll funktionierender WIA erscheint keine weitere Aufforderung, Zugangsdaten einzugeben.
Andernfalls erscheint ein Browser-eigener Anmeldedialog. Hier muss der Benutzername in der
Domäne\Name-Schreibweise angegeben werden.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
50 © IDL GmbH Mitte
Beispiele: whiteduck\fred, contoso\mustermann
Ist in den AD FS Authentifizierungsrichtlinien im Abschnitt Intranet ausschließlich Forms
Authentication aktiviert, dann erscheint der Anmeldedialog des AD FS. Hier muss der
Benutzername in der UPN-Schreibweise angegeben werden.
Beispiele: [email protected], [email protected]
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 51
12 Windows-integrierte Anmeldung
Um Windows-integrierte Anmeldung (WIA) zu nutzen empfiehlt es sich, Microsoft Internet Explorer
einzusetzen.
12.1 Mit Internet Explorer
Um WIA mit Internet Explorer zu ermöglichen, muss in den Internet Options der AD FS
Dienstname unter Local Intranet Zone eingetragen werden.
Tragen Sie bei (5) den Ad FS Dienstnamen ein: https://<AD FS Dienstname>
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
52 © IDL GmbH Mitte
12.2 Mit anderen Browsern
12.2.1 Mozilla Firefox
Hinzufügen von User Agents zur Liste der unterstützten User Agents
Um WIA zu ermöglichen, muss im AD FS 3.0 die User Agent Identification bekannt gemacht
werden. Dies kann ausschließlich mit Hilfe des folgenden PowerShell-CmdLets durchgeführt
werden:
Set-AdfsProperties
Bekanntmachen des AD FS Dienstnamens in Mozilla Firefox
Starten Sie Mozilla Firefox und navigieren Sie zu folgender Adresse:
about:config?filter=network.automatic-ntlm-auth.trusted-uris
Fügen Sie bei (´3) den Ad FS Dienstnamen hinzu: https://<AD FS Dienstname>
Hinweis: Mehrere Werte können per Komma getrennt werden.
12.2.2 Google Chrome Die Anmeldung mit Google Chrome ist nur möglich, wenn in den AD FS
Authentifizierungsrichtlinien im Abschnitt Intranet ausschließlich Forms Authentication aktiviert ist.
WIA mit Google Chrome ist leider nicht möglich, es sei denn, das Feature „Extended Protection“
wird am AD FS deaktiviert. Dies ist allerdings nicht empfohlen und ist daher hier nicht weiter
dokumentiert.
12.2.3 Apple Safari Die Anmeldung mit Apple Safari ist nur möglich, wenn in den AD FS Authentifizierungsrichtlinien
im Abschnitt Intranet ausschließlich Forms Authentication aktiviert ist.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
© IDL GmbH Mitte 53
12.2.4 Weitere Browser Weitere Browser werden zu diesem Zeitpunkt nicht offiziell unterstützt.
IDL Workplace Server – Windows-Authentifizierung mit AD FS (07-2016)
54 © IDL GmbH Mitte
13 Troubleshooting
13.1 Grundsätzliche Protokollierung von Ereignissen für AD FS
In der Ereignisanzeige von Windows findet man unter „Applications and Services Logs“ die
Einträge für AD FS.
13.2 Erweiterte Protokollierung von Ereignissen
Um Problemen bei der Anmeldung an AD FS auf die Spur zu kommen, kann in AD FS
Management in den Federation Service Properties die Erzeugung von Windows-Ereignissen für
Sicherheitsaudits aktiviert werden.
Um im speziellen Problemen bei Kerberos-basierter WIA auf die Spur zu kommen, kann auf dem
AD FS Server folgender Registrierungsschlüssel gesetzt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1
Dies aktiviert die Erzeugung von Windows-Ereignissen im Zusammenhang mit Kerberos-
Vorgängen.
13.3 Extended Protection Probleme
Einen EP-Fehler erkennt man daran, dass AD FS-serverseitig im Windows Event Log unter
Security Einträge auftauchen, die Audit Failure als Schlüsselwort haben und in denen unter
Failure Information der Status 0xC000035B auftaucht.
Dies ist ein Anzeichen dafür, dass der eingesetzte Browser versucht, WIA zu fahren, aber an EP
scheitert.
Mögliche Abhilfen:
Anderen Browser verwenden
WIA in den Authentifizierungsrichtlinien des AD FS zu Gunsten von Forms Authentication
deaktivieren
EP deaktivieren (nicht empfohlen)