Ansichten:
Frage:
Wie stellt man eine Verbindung zu den Microsoft Active Directory Federation Services her, um SSO zu nutzen?

Lösung:
Bitte führen Sie die folgende Anleitung aus;
  1. Navigieren Sieim Plugin Organisationseinstellungen auf der Seite DocuWare-Konfigurationen zum Abschnitt Sicherheit und aktivieren Sie die OptionSingle Sign-On .
  2. Gehen Sie zu Ihrem AD FS Server Manager und klicken Sie aufTools und AD FS Managements.
  3. Gehen Sie zu Service > Endpunkte und finden Sie den OpenId Connect Discovery Endpunkt.
  4. Wechseln Sie zurück zum Plugin Organisationseinstellungen, wo Single Sign-On zuvor aktiviert war.Gehen Sie zu Sicherheit > Aktivieren Sie Single Sign-On mit Ihrem Identitätsanbieter > Konfigurieren Sie die Single Sign-On Verbindung. Wählen Sie Microsoft Active Directory Federation Services aus dem ersten Dropdown-Menü.
  5. Geben Siein das Eingabefeld Issuer URL die URL des OpenId Connect-Ermittlungsendpunkts ein. Ein Beispiel: Wenn sich Ihr ADFS-Host unter"https://myadfs.net" befindetund Ihr Erkennungsendpunkt "/adfs/.well-known/openid-configuration" ist, müssen Sie "https://myadfs.net/adfs/.well-known/openid-configuration" einfügen.
  6. Gehen Sie zurück zu Ihren AD FS-Einstellungen und wählen Sie Anwendungsgruppen.
  7. Klicken Sie auf " Anwendungsgruppe hinzufügen ..." in der rechten Seitenleiste.
  8. Wählen Sie einen Namen und eine Beschreibung für die Anwendungsgruppe, z. B. "DocuWare", wählen Sie den Typ Serveranwendung, die auf eine Web-API zugreift , und klicken Sie auf Weiter.
  9. Der Client Identifier wird generiert. Kopieren Sie die ID und gehen Sie zu DocuWare.
  10. Fügen Sie die Client-Kennung in das Feld "Client-ID" ein, kopieren Sie dann die angegebeneCallback-URL und speichern Sie Ihre Einstellungen. Wechseln Sie anschließend wieder zu AD FS.
  11. Fügen Siein der AD FS-Konfiguration die Callback-URL in das Feld Redirect URI ein , klicken Sie auf Hinzufügen und anschließend auf Weiter.
  12. Im nächsten Fenster werden Sie aufgefordert, Anmeldeinformationen für die Anwendung auszuwählen, die nicht benötigt werden. Wählen Sie Generate a shared secret und fahren Sie fort.
  13. Auf dem nächsten Bildschirm befindet sich das FeldBezeichner. Kopieren Sie die Client-ID, die Sie in Schritt 9 angegeben haben, und klicken Sie auf Hinzufügen. Es ist wichtig, dass sie genau gleich ist. Wenn Sie fertig sind,klicken Sie auf Weiter.
  14. Belassen Sie die Standardeinstellungen und klicken Sie auf Weiter.
  15. Wählen Sie die soeben erstellte Anwendung aus, undwählen Sie in der unteren Liste der zulässigen Bereiche allatclaims, profile und openid aus, undklicken Sie dann auf Next.
  16. Überprüfen Sie, ob alles korrekt eingerichtet ist, und schließen Sie die Erstellung Ihrer Anwendung ab.
  17. Doppelklicken Sie auf Ihre neu erstellte Anwendungsgruppe, wodurch sich ein Eigenschaftsfenster öffnet.Doppelklicken Sie auf die DocuWare Web API.
  18. Wählen Sie im neuen Fenster die Registerkarte "Issuance Transform Rules" und fügen Sie eine Regel hinzu.
  19. Wählen Sie "LDAP-Attribute als Ansprüche senden" aus derDropdown-Liste " Anspruchsregelvorlage "und klicken Sie auf Weiter.
  20. Im nächsten Fenster wählen Sie den Namen Ihrer Claim-Regel, z.B. "DocuWare object guidrule". Wählen Siein der Dropdown-Liste "Attributspeicher " die Option"Active Directory", und geben Siein der folgenden Tabelle für das Feld "LDAP-Attribut" die Option"objectGUID" und für dasFeld " ausgehendeAnspruchsart" die Option "oid" ein.
  21. Wählen Sie Fertigstellen und übernehmen Sie Ihre Änderungen.
  22. Nach dem Speichern der Einstellungen können sich Benutzer mit DocuWare-Benutzernamen und Passwort anmelden und auch Single Sign-on über Microsoft nutzen. Die Anmeldung mit DocuWare-Anmeldedaten kann zu diesem Zeitpunkt noch nicht deaktiviert werden.



    Hinweis zur Option "Bestehende Benutzer bei Anmeldung automatisch verknüpfen":
    Ist diese Option aktiviert, sucht DocuWare bei der ersten Anmeldung eines Benutzers mit Single Sign-On nach einem passenden bestehenden DocuWare-Benutzer mit dem entsprechenden Benutzernamen und der entsprechenden E-Mail-Adresse.Der DocuWare-Benutzername muss mit dem lokalen Teil (erster Teil vor @) und die DocuWare-E-Mail-Adresse muss mit dem vollständigen Benutzernamen im Active Directory übereinstimmen.

    Nur wenn Benutzername UND E-Mail-Adresse übereinstimmen, können Active Directory-Benutzerkonto und DocuWare-Benutzerkonto verbunden werden.

    Beispiel:
    Benutzername: peggy.jenkins@peters-engineering.net
    DocuWare-Benutzername: peggy.jenkins     (NICHT pjenkins oder peggyj, es muss eine exakte Übereinstimmung mit dem Wert vor dem @-Zeichen sein.)
    DocuWare-E-Mail-Adresse: peggy.jenkins@peters-engineering.net

    Es ist nicht notwendig, DocuWare-Benutzer über die App User Synchronization anzulegen, um Single Sign-On zu nutzen, auch wenn Sie neue Benutzer manuell anlegen oder über eine Schnittstelle importieren, werden das externe Benutzerkonto
    und das DocuWare-Konto automatisch synchronisiert. Ist ein Benutzer einmal zugewiesen, wird er ab diesem Zeitpunkt über eine externe Objekt-ID erkannt.
    Das heißt, auch wenn die E-Mail-Adresse und/oder der Benutzername nicht mehr übereinstimmen, wird der Benutzer noch erkannt.

    Diese KBA ist sowohl für On-Premise- als auch für Cloud-Organisationen anwendbar.

Bitte beachten Sie: Dieser Artikel ist eine Übersetzung aus dem Englischen. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Originalversion(en) des Produkts. In der übersetzten Version unserer Artikel können kleinere Fehler enthalten sein, z.B. in der Grammatik. Wir können zwar nicht für die vollständige Richtigkeit der Übersetzung garantieren, aber in den meisten Fällen werden Sie sie als ausreichend informativ empfinden. Im Zweifelsfall wechseln Sie bitte zurück zur englischen Version dieses Artikels.

Dieser Artikel ist gültig für die DocuWare Versionen: 7.4 7.5 7.6 7.7 7.8 7.9 | How to connect to Microsoft Active Directory Federation Services for use with SSO?