Wie richte ich bei desk.ly einen Single Sign On mit einem ADFS ein?

ADFS mit der OpenID-Integration von desk.ly nutzen

Vorbereitungen

Falls ihr Active Directory Federation Services (ADFS) in eurem Unternehmen nutzt, könnt ihr das ebenfalls für die Authentifizierung mit desk.ly nutzen. Stelle auch in diesem Fall, wie bei dem Single Sign On mit OpenID, vorher sicher, dass an eurem Konto eine Subdomain hinterlegt ist. Ist das der Fall, können wir nun im “Adminbereich” unter “Authentifizierung” fortfahren.

Aktiviere nun in den Einstellungen zur Authentifizierung den “Firmen-Login”, bzw. “Unternehmens-Login”. Kopiere dir nun von der rechten Seite die “Callback URL” und lege sie dir irgendwo ab, die werden wir später nochmal brauchen.

Konfiguration im ADFS

Anwendung anlegen

Gehe nun in die AD FS Management Konsole und füge eine neue Application Group hinzu. In dem sich darauf öffnenden Dialogfenster vergibst du den Namen für die Anwendung und wählst unter “Client-Server applications” den Punkt“ Server application accessing a web API” aus.

Im nächsten Schritt kopierst du dir den angezeigten “Client Identifier” und legst ihn dir ebenfalls irgendwo ab. Auch den werden wir später brauchen. Unter “Redirect URI” fügst du nun die aus dem vorherigen Schritt (Vorbereitungen) kopierte URL hinzu.

Setze nun bei “Configuration Application Credentials” einen Haken bei “Generate a shared secret”. Auch dieses kopierst du und legst es dir irgendwo ab.

Unter dem nächsten Schritt “Configure Web API” fügst du unter “Identifier” den eben kopierten “Client Identifier” ein.

Entscheide dich nun im nächsten Schritt für eine geeignete “Apply Access Control Policy”.

Stelle nun sicher, dass du bei “Configure Application Permissions” die Haken bei allatclaims, email, openid und profile setzt.

Überprüfe unter “Summary” nochmal alle Einstellungen und schließe dann die Einrichtung ab.

Konfigurieren der Anwendung

Nun müssen wir noch ein paar LDAP-Attribute hinzufügen, damit desk.ly funktionieren kann. Wähle dazu die eben erstellte Application Group aus und bearbeite die “Web API”.

Klicke auf den Reiter “Issuance Transform Rules” und füge eine neue Regel hinzu. Vergib einen Namen und wähle unter “Attribute Store” das “Active Directory” aus. Lege nun folgende Attribute an:

LDAP Attribute Outgoing Claim Type
User-Principal-Name UPN
E-Mail-Adresses email
Surname lastName
Given-Name givenName

Konfiguration in desk.ly

Kehre nun zu den Authentifizierungseinstellungen in desk.ly zurück und fülle die Felder aus:

  1. Typ: Active Directory Federation Services (ADFS)
  2. Discovery URL: [EURE ADFS-URL]/adfs/.well-known/openid-configuration
  3. Client ID: Füge hier den “Client Identifier” ein, den du dir beim Anlegen der Anwendung in ADFS kopiert hast.
  4. Client Secret: Füge hier das Secret ein, den du dir beim Anlegen der Anwendung in ADFS kopiert hast.
  5. Audience: microsoft:identityserver:[CLIENT ID]
  6. Response Type: code
  7. Scopes: allatclaims openid profile email