AD FS SSO-Integrationshandbuch

Active Directory Federation Services (AD FS) ist eine Technologie, die Ihre Active Directory-Konfiguration auf Dienste außerhalb Ihrer Infrastruktur erweitert. Mit AD FS können Sie Benutzern Zugriff auf PagerDuty gewähren, ohne dass diese einen weiteren Satz Anmeldeinformationen verwalten müssen.

Dieses Handbuch wurde auf Windows Server 2012 R2 geschrieben und getestet (auch mit Windows Server 2016 getestet), frühere Versionen von Windows Server bieten jedoch auch AD FS.

 

 

Auf Ihrem AD FS-Server

1. Öffne das AD FS-Verwaltung -Konsole, klicken Sie auf Vertrauensstellung der vertrauenden Partei hinzufügen… im Aktionsbereich und klicken Sie auf Start auf der Einführungsseite des Assistenten.
2. Wählen Geben Sie die Daten zur vertrauenden Seite manuell ein. und klicken Sie auf Nächste .
3. Geben Sie ein Anzeigename , wie zum Beispiel PagerDuty und klicken Sie auf Nächste .
4. Wählen AD FS-Profil und klicken Sie auf Nächste .
5. Sie benötigen kein Token-Verschlüsselungszertifikat, klicken Sie also auf Nächste weitermachen.
6. Melden Sie sich bei Ihrem PagerDuty Konto an, klicken Sie auf das Benutzersymbol wählen Sie Account Einstellungen und wählen Sie dann die Einmalige Anmeldung Tab.
7. Wähle aus SAML Optionsfeld, um Single Sign On in PagerDuty zu konfigurieren und kopieren Sie dann die SAML-Endpunkt-URL zum Einfügen in den Assistenten.
8. Aktivieren Sie auf Ihrem AD FS-Server das Kontrollkästchen Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll , und fügen Sie dann die kopierte URL in das URL des SAML 2.0 SSO-Dienstes der vertrauenden Partei und klicken Sie auf Nächste .
   (Bitte beachten Sie: Wenn Ihre PagerDuty Subdomäne „EU“ enthält, müssen Sie die vollständige PagerDuty Subdomäne einschließlich „EU“ eingeben, zum Beispiel: https://(Ihre_Subdomäne). EU .pagerduty.com)
   
9. Geben Sie Ihre PagerDuty Subdomäne in das Vertrauenskennung der vertrauenden Seite Feld - einschließlich https:// und mit kein abschließender Schrägstrich und klicken Sie auf Nächste . Notiz: Es ist sehr wichtig, dass Sie Ihre PagerDuty Subdomain genau wie beschrieben eingeben. Die Integration wird nicht funktionieren wenn Sie nicht einschließen https:// hier, noch wenn Sie am Ende der URL einen Schrägstrich einfügen.
   (Bitte beachten Sie: Wenn Ihre PagerDuty Subdomäne „EU“ enthält, müssen Sie die vollständige PagerDuty Subdomäne einschließlich „EU“ eingeben, zum Beispiel: https://(Ihre_Subdomäne). EU .pagerduty.com)
   
10. Wählen Sie die gewünschte Multi-Faktor-Authentifizierungsoption für Benutzer aus und klicken Sie auf Nächste . Notiz: Das Aktivieren der Multi-Faktor-Authentifizierung erfordert zusätzliche Schritte, die über den Umfang dieses Handbuchs hinausgehen und nicht behandelt werden.
    
11. Wählen Allen Benutzern den Zugriff auf diese vertrauende Seite gestatten und klicken Sie auf Nächste . Notiz: Sie können diese Einstellung ändern, um den Zugriff auf PagerDuty standardmäßig zu verweigern und nur bestimmten Benutzern zu gewähren. Dieser Vorgang liegt jedoch außerhalb des Rahmens dieses Handbuchs und wird nicht behandelt.
    
12. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Nächste .
13. Klicken Schließen , um den Assistenten zu beenden.
14. Klicken Regel hinzufügen… auf der Registerkarte „Ausgabetransformationsregeln“.
15. Wählen Senden von LDAP-Attributen als Ansprüche und klicken Sie auf Nächste .
16. Geben Sie ein Anspruchsregelname , wie zum Beispiel Attribute abrufen , und legen Sie dann die Attributspeicher Zu Active Directory , eintippen E-mailadressen für das erste LDAP-Attribut und setzen Sie den Ausgangstyp auf E-Mail-Adresse und geben Sie ein Anzeigename für das zweite LDAP-Attribut und setzen Sie den Ausgangstyp auf Name . Klicken Beenden wenn du fertig bist. Notiz: Es ist sehr wichtig, die Optionen mit genau denselben Bindestrichen und Leerzeichen auszuwählen, die dokumentiert sind, nachdem Sie mit der Eingabe des angegebenen Werts begonnen haben. Die Integration funktioniert möglicherweise nicht, wenn Sie eine Variante auswählen, die nicht genau übereinstimmt.
17. Klicken Regel hinzufügen… Klicken Sie erneut auf der Registerkarte „Ausgabetransformationsregeln“.
18. Wählen Einen eingehenden Anspruch umwandeln und klicken Sie auf Nächste .
19. Geben Sie ein Anspruchsregelname , wie zum Beispiel Namens-ID-Transformation , Satz Eingehender Anspruchstyp Zu E-Mail-Adresse , Satz Ausgehender Anspruchstyp Zu Namens-ID und legen Sie fest Format der ausgehenden Namens-ID Zu Email . Wählen Alle Anspruchswerte durchreichen und klicken Sie auf Beenden . Notiz: Es ist sehr wichtig, die Optionen mit genau denselben Bindestrichen und Leerzeichen auszuwählen, die dokumentiert sind, nachdem Sie mit der Eingabe des angegebenen Werts begonnen haben. Die Integration funktioniert möglicherweise nicht, wenn Sie eine Variante auswählen, die nicht genau übereinstimmt. Zum Beispiel die Einstellung Ausgehender Anspruchstyp Zu NameID anstatt Namens-ID lässt Sie nicht einstellen Format der ausgehenden Namens-ID Zu Email , und die Integration funktioniert nicht.
20. Klicken Regel hinzufügen… Klicken Sie erneut auf der Registerkarte „Ausgabetransformationsregeln“.
21. Wählen Senden von Ansprüchen mithilfe einer benutzerdefinierten Regel und klicken Sie auf Nächste .
22. Geben Sie ein Anspruchsregelname , wie zum Beispiel Transformation des Attributnamens „Name“ und legen Sie dann fest Benutzerdefinierte Regel Zu dem Folgendem:

     c:[Typ == 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'] => Ausgabe(Typ = 'Name', Aussteller = c.Aussteller, Ursprünglicher Aussteller = c.Originalaussteller, Wert = c.Wert, Wertetyp = c.Wertetyp); 

    Klicken Beenden wenn du fertig bist.

    

23. Klicken OK im Dialogfeld „Anspruchsregeln bearbeiten“.
24. Gehe zu Service > Zertifikate , wähle Deine Tokensignaturzertifikat und klicken Sie auf Zertifikat ansehen… im Aktionsbereich.
25. Gehen Sie zum Einzelheiten und klicken Sie auf In Datei kopieren… und klicken Sie auf Nächste zur Einführung in den Zertifikatexport-Assistenten.
26. Wählen Base-64-kodiertes X.509 (.CER) und klicken Sie auf Nächste .
27. Wählen Sie einen Speicherort für die Zertifikatsdatei aus, klicken Sie auf Nächste und klicken Sie auf Beenden , OK , Und OK wieder.
28. Gehe zu Authentifizierungsrichtlinien und klicken Sie unter Globale Einstellungen für die primäre Authentifizierung .
29. Unter Intranet , überprüfen Formularauthentifizierung und klicken Sie auf OK . Notiz: Dies ist für Windows Server 2012 R2 erforderlich. In früheren Windows-Versionen ist die Formularauthentifizierung bereits standardmäßig aktiviert. Beachten Sie auch, dass die Aktivierung der Formularauthentifizierung für alle konfigurierten Sites gilt, nicht nur für PagerDuty. Eine alternative Option besteht darin, Formulare mit dem folgenden PowerShell-Befehl als Fallback-Authentifizierungsmethode für das Intranet festzulegen:

     Set-AdfsGlobalAuthenticationPolicy –PrimaryIntranetAuthenticationProvider @('WindowsAuthentication','FormsAuthentication') 

    

30. Öffnen Sie die Zertifikatsdatei, die Sie exportiert haben in Notizblock (oder ein anderer einfacher Texteditor) und kopieren Sie den Inhalt. Hinweis: Sie müssen die -----ZERTIFIKAT BEGINNEN----- Und -----ENDE DES ZERTIFIKATS----- Header beim Kopieren des Inhalts der Zertifikatsdatei. Sie sollten Notepad oder einen anderen einfachen Texteditor verwenden, um die Zertifikatsdatei zu öffnen. WordPad, Word usw. sind keine einfachen Texteditoren und verhindern möglicherweise, dass Sie das Zertifikat korrekt kopieren.
31. Fügen Sie in PagerDuty das Zertifikat in das X.509-Zertifikat und geben Sie dann den Anmelde-URL für Ihren AD FS-Dienst. Die Anmelde-URL ist normalerweise der FQDN oder die IP Ihres Servers mit /adfs/ls angehängt (dh https://login.company.com/adfs/ls ).
32. Wenn Sie die Schritte in dieser Anleitung abgeschlossen und die Tests abgeschlossen haben, können Sie zu dieser Seite zurückkehren, um Benutzeranmeldungen über Benutzername und Passwort zu deaktivieren. Wenn die automatische Bereitstellung aktiviert ist, können Sie SSO-Benutzern erlauben, ohne manuelles Eingreifen ein PagerDuty -Konto zu erstellen. Beachten Sie jedoch, dass das Hinzufügen zusätzlicher Benutzer Ihre Abrechnung beeinflusst, wenn Sie die Anzahl der in Ihrem Preisplan enthaltenen Benutzer überschreiten. Klicken Sie auf Änderungen speichern wenn Sie mit dieser Seite fertig sind.
33. Herzlichen Glückwunsch! Sie sollten sich jetzt mit AD FS bei PagerDuty anmelden können.

FAQ

Kann sich der Kontoinhaber ohne SSO anmelden, wenn die Benutzername- und Kennwortauthentifizierung deaktiviert ist?

Auch wenn die Authentifizierung per Benutzername und Kennwort für Benutzer deaktiviert ist, kann sich der Kontoinhaber immer mit seinem Benutzernamen und Kennwort als Backup-Option anmelden, falls Sie die SSO-Konfiguration ändern oder vollständig deaktivieren müssen.

Warum wird mir die Option „Single Sign-On“ nicht angezeigt, wenn ich zu den Kontoeinstellungen gehe?

SSO ist nur in Konten auf unserem aktuellen Standard- oder Enterprise-Pläne . Bitte Kontaktieren Sie unser Verkaufsteam wenn Sie an einem Upgrade Ihres Plans interessiert sind.

Wie erstelle ich eine benutzerdefinierte Anspruchsregel, um Benutzerrollen/Berufsbezeichnungen in meine Konfiguration einzuschließen?

Befolgen Sie die Schritte zum Erstellen einer benutzerdefinierten Anspruchsregel für Transformation des Attributnamens „Name“ , legen Sie die Anspruchsregel jedoch wie folgt fest:

 c:[Typ == 'Arbeitsaufgaben'] => Ausgabe(Typ = 'Rolle', Aussteller = c.Aussteller, Ursprünglicher Aussteller = c.Ursprünglicher Aussteller, Wert = c.Wert, Wertetyp = c.Wertetyp);