Aktualisierungen von Oktober, 2016 Kommentarverlauf ein-/ausschalten | Tastaturkürzel

  • Christian

    Christian 14:23 am 19. October 2016 permalink | Antwort  

    How to set AD FS Relying Party Application Permisson 

    Ab der Windows Server 2016 wird die Version AD FS 3.0 ausgeliefert und somit auch die Funktion „Grant-AdfsApplicationPermission“ diese muss nun zusätzlich ausgeführt werden, wenn Ihr eine Native Applikation in Verbindung mit einem ADFS verbindet. In der Technical Preview war dies noch nicht notwendig da dies beim hinzufügen der RelyingParty automatisch gemacht wurde.

    Beachtet bitte also bei der neuen Version das Ihr nach dem hinzufügen einer ReylingParty immer noch den „Grant-AdfsApplicationPermission“ Cmdlet setzt.

    Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://myreylingparty.com" -AllowAllRegisteredClients
     
  • Christian

    Christian 13:59 am 19. October 2016 permalink | Antwort  

    Sharepoint 2013 – How to Install and Configure ADFS 3.0 

    Für die Konfiguration des ADFS mit dem Sharepoint müssen wir erst ein paar Vorarbeiten leisten um dies zu bewerkstelligen.

    Als erstes müssen wir aus unserem ADFS Server das „Token Signing Certificate“ Exportieren. Dazu öffnet Ihr die AD FS Verwaltung auf eurem Server und geht auf den Ordner Zertifikate:

    token

     

     

     

     

     

     

     

     

     

     

    Mit Rechtsklick Anzeigen, könnt Ihr nun das Zertifikat unter Details

    –> In Datei kopieren –> exportieren folgt dem Dialog und speichert es an eine Stelle von dem Ihr aus von eurem Sharepoint Server Zugriff habt.

    Als nächstes müssen wir dem AD FS eine neue Vertrauensstellung hinzufügen und zwar ist das eure Domain des Sharepoints in unserem Beispiel ist es diese „https://spss.microsoft.com/“ ihr könnt in diesem Fall die Oberfläche der AD FS Verwaltung nutzen.

    Klick auf Sie auf neue Vertrauensstellung hinzufügen:

    vertraunsstellung2

     

     

     

    reyling1
    relying2
    relying3
    relying4

    relying5

    Achten Sie darauf das Ihre SPSS Url mit /_trust/ endet!!!

    relying5

    Fügen Sie einen zusätzlichen realm hinzu und merken Sie sich diesen, dieser wird für das Powershell Script auf der Sharepoint Server gebraucht.

    relying7
    relying8
    relying9
    relying10
    relying11
    relying11
    relying11
    relying11
    relying11

     

     

    Für die letzte Konfiguration des ADFS gehen wir in die PowerShell und fügen folgendes Cmdlet aus:

    Dieses Bewirkt das beim besuch das Sharepoints automatisch der richtige Realm gesetzt wird, so das der Nutzer nicht extra einen Realm auswählen muss.

    Set-AdfsRelyingPartyTrust -TargetName MySPSS-ClaimsProviderName @("Active Directory")

     

    Jetzt gehen wir auf unseren Sharepoint Server 2013 und führen folgende Powershell Konsole aus: sharepoint2013

    Danach öffnen wir uns ein Editor oder eine normale Powershell und kopieren uns folgendes Script hinein, und passen folgende Variablen an:

    #First step is import the token-signing certificate on the SharePoint server. For do this we need to use the “SharePoint management shell”. 
    #First copy the exported certificate on the SharePoint server. 
    #In my case I have saved the certificate in C:\ so my <PathToTokenSignCert> is C:\TokenSignCert.cer.
    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\TokenSigning.cer")
    New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

    Kopiert dies nun in die Zwischenablage und fügt die in die „SharePoint 2013-Verwaltungshell“ ein und führt das Script aus.
    Somit haben wir jetzt dem Sharepoint ein TokenSigning Zertifkat unseres ADFS hinterlegt und können nunmit dem nachfolgenden Befehl unser ClaimMapping inkl. unseren neuen Realms eine Verbindung zum AD FS aufbauen.

    $emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    $upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
    $roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming 
    $sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" -SameAsIncoming 
    $realm = "urn:sharepoint:spss" 
    $signInURL = "https://adfs.microsoft.com/adfs/ls" 
    $ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Microsoft" -Description "ADFS Microsoft" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

    Nun haben wir dem Sharepoint klar gemacht das wir einen neuen Anspruchsanbieter besitzen nun gehen wir in die Administration des Sharepoints und gehen auf die Webanwendung die die ADFS Authentfizierung bekommen soll. Standardmäßig ist die Windows Authentifizierung eingestellt diese müssen wir nun im zuge der Umstellung abschalten und dafür die AD FS Authentifizierung anschalten. Das machen wir wie folgt:

    anspruchsanbieter

    Wählen Sie zuerst Ihre Webanwendung aus und dann klicken Sie auf „Authentifizierungsanbieter“ in der oberen Titelleiste der Sharepoint Administration

    adfs_forderung

    Wählen Sie hier bitte die Windows Authentifizierung und aktivieren Sie die Vertrauenswürdiger Identitätsanbieter Ihren ADFS den Sie soeben per Powershell hinzugefügt haben

     

    Nun klicken Sie noch auf Fertigstellen und warten ab bis der Sharepoint die Konfiguration gespeichert hat. Nun könnten wir uns schon einloggen, nur wird dies uns nichts bringen da wir unseren Benutzerkonten noch keine Berechtigungen erteilt haben.

    Um Berechtigungen für die Webseite zu erlauben selektiert eure Webseite und klickt auf „Benutzerrichtlinie“

    benutzerrichtline

    benutzerhinzufuegen

    Klicken Sie auf Benutzer hinzufügen

     

    useradd

    Um einen Benutzer im ADFS zu suchen klicken auf der kleine Icon was im Bild mit dem Pfeil gekennzeichnet ist an

    useradd_groups

    Bitte beachten der Dialog sucht nur korrekt wenn sie einen Begriff eingetippt haben ins Suchfeld ansonsten bekommen Sie kein Ergebnis. haben Sie Ihren Nutzer gefunden. Wählen Sie mit dem Button Hinzufügen den Nutzer aus und klicken Sie auf „OK“ danach steht der User in dem Textfeld der auszuwählenden Nutzer.

    useradd2

    Jetzt kann die Berechtigung ausgewählt werden. In meinem Beispiel Vollzugriff. Und schließen den Dialog

    So nun ist die Konfiguration abgeschlossen und der Sharepoint ist mit dem ADFS Verknüpft und kann für die Webseite verwendet werden.

    sharepoint_login

     
  • Christian

    Christian 15:36 am 27. November 2015 permalink | Antwort
    Tags: adfs, adfsproxy, proxy   

    ADFS Proxykonfigurationsdaten konnten nicht vom Verbunddienst abgerufen werden. (Event: 422 / 276) 

    Nach langwierigen einlesen und forschen wie man einen ADFS Proxy korrekt einrichtet, bin ich auf eine Fehlermeldung gestoßen die ich hier näher erläutern möchte und wie ich das Problem gelöst habe.

    Möchte man einen ADFS Proxy einrichten der ein selbstsigniertes Wildcard Zertifikat besitzt, wird dieser Fehler kommen sobald man einen Proxy einrichten möchte.

    Die Einrichtung kann entweder mittels „Remotezugriff“ konfiguriert werden oder mit folgendem PowerShell Command:
    Install-WebApplicationProxy -CertificateThumbprint ‚E4CBBF97F16F187191A471581DE02B29BB61DBBD‘ -FederationServiceName ‚adfs.domain.org‘
    Folgende Fehlermeldung:

    422

    Event-Log: Vom ADFS-Proxy Server

    276

    Event-Log: Vom ADFS Server

    Folgende Schritte sind zu tun:

    1. Prüft eure IIS-Einstellung auf dem ADFS-Server, die IP-Adresse bei den SSL-Einstellungen darf nicht gesetzt sein, desweiteren muss der Harken „Require Server Name Indication“ ausgewählt sein
    2. Sobald das geprüft ist machen wir uns an die PowerShell, gebt folgenden Befehl ein: netsh http show sslcert
      Sucht euch nun euer Wildcard Zertifikat aus der Liste heraus und prüft folgendes:

      ssl_adfstrustdevices

      Hier ist zu erkennen das der Ctl Store Name nicht auf AdfsTrustDevice gesetzt ist, das ist das Problem warum der ADFS Proxy unser Zertifikat ablehnt.

    Nun müssen wir das Zertifikat abändern, dies machen wir wie folgt, als erstes löschen wir das Zertifikat da wir es nicht ändern dürfen (passt einfach eure Domain hinter hostnameport an). Danach passt Ihr die Variablen $guid $certhash $hostnameport an euer Zertifikat aus der letzten Ansicht an. Habt Ihr das getan könnt Ihr das Script ausführen.
    netsh http delete sslcert hostnameport=adfs.domain.org:443
    $guid = “4dc3e181-e14b-4a21-b022-59fc669b0914”
    $certhash = “e4cbbf97f16f187191a471581de02b29bb61dbbd”
    $hostnameport = “adfs.domain.org:443”
    $Command = “http add sslcert hostnameport=$hostnameport certhash=$certhash appid={$guid} certstorename=MY sslctlstorename=AdfsTrustedDevices clientcertnegotiation=enable”
    $Command | netsh

    adfstrustdevices

    Nach dem Befehl „netsh http show sslcert“ kommt folgendes Ergebnis.

    So, nun haben wir das Problem gelöst, es ist nun möglich die Proxy Einrichtung nachmaligst zu starten, nun sollte folgende Meldung erscheinen:

    success_thumbprint

    Nach dem Hinzufügen, öffnen wir den Remotezugriff und sehen das der ADFS Proxy ordnungsgemäß eingerichtet ist 🙂

    success_adfs

     

    Ich hoffe ich konnte dem einen oder anderen mit dem Eintrag helfen!

    PS:

    Bitte beachtet das euer ADFS Proxy das Wildcard Zertifikat als Vertrauenswürdiges Stammzertifkat in eurem Speicher installiert habt. (inkl. PrivateKey). Des weitern muss der User unter dem der ADFS ausgeführt wird Lese Berechtigung auf das Zertifikat besitzen sonst kann der ADFS nichts mit eurem Zertifikat anfangen.

     
c
compose new post
j
next post/next comment
k
previous post/previous comment
r
reply
e
edit
o
show/hide comments
t
go to top
l
go to login
h
show/hide help
Shift + Esc
cancel