Aktualisierungen von Oktober, 2016 Kommentarverlauf ein-/ausschalten | Tastaturkürzel

  • Christian

    Christian 14:23 am 19. October 2016 permalink | Antwort  

    How to set AD FS Relying Party Application Permisson 

    Ab der Windows Server 2016 wird die Version AD FS 3.0 ausgeliefert und somit auch die Funktion „Grant-AdfsApplicationPermission“ diese muss nun zusätzlich ausgeführt werden, wenn Ihr eine Native Applikation in Verbindung mit einem ADFS verbindet. In der Technical Preview war dies noch nicht notwendig da dies beim hinzufügen der RelyingParty automatisch gemacht wurde.

    Beachtet bitte also bei der neuen Version das Ihr nach dem hinzufügen einer ReylingParty immer noch den „Grant-AdfsApplicationPermission“ Cmdlet setzt.

    Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://myreylingparty.com" -AllowAllRegisteredClients
     
  • Christian

    Christian 13:59 am 19. October 2016 permalink | Antwort  

    Sharepoint 2013 – How to Install and Configure ADFS 3.0 

    Für die Konfiguration des ADFS mit dem Sharepoint müssen wir erst ein paar Vorarbeiten leisten um dies zu bewerkstelligen.

    Als erstes müssen wir aus unserem ADFS Server das „Token Signing Certificate“ Exportieren. Dazu öffnet Ihr die AD FS Verwaltung auf eurem Server und geht auf den Ordner Zertifikate:

    token

     

     

     

     

     

     

     

     

     

     

    Mit Rechtsklick Anzeigen, könnt Ihr nun das Zertifikat unter Details

    –> In Datei kopieren –> exportieren folgt dem Dialog und speichert es an eine Stelle von dem Ihr aus von eurem Sharepoint Server Zugriff habt.

    Als nächstes müssen wir dem AD FS eine neue Vertrauensstellung hinzufügen und zwar ist das eure Domain des Sharepoints in unserem Beispiel ist es diese „https://spss.microsoft.com/“ ihr könnt in diesem Fall die Oberfläche der AD FS Verwaltung nutzen.

    Klick auf Sie auf neue Vertrauensstellung hinzufügen:

    vertraunsstellung2

     

     

     

    reyling1
    relying2
    relying3
    relying4

    relying5

    Achten Sie darauf das Ihre SPSS Url mit /_trust/ endet!!!

    relying5

    Fügen Sie einen zusätzlichen realm hinzu und merken Sie sich diesen, dieser wird für das Powershell Script auf der Sharepoint Server gebraucht.

    relying7
    relying8
    relying9
    relying10
    relying11
    relying11
    relying11
    relying11
    relying11

     

     

    Für die letzte Konfiguration des ADFS gehen wir in die PowerShell und fügen folgendes Cmdlet aus:

    Dieses Bewirkt das beim besuch das Sharepoints automatisch der richtige Realm gesetzt wird, so das der Nutzer nicht extra einen Realm auswählen muss.

    Set-AdfsRelyingPartyTrust -TargetName MySPSS-ClaimsProviderName @("Active Directory")

     

    Jetzt gehen wir auf unseren Sharepoint Server 2013 und führen folgende Powershell Konsole aus: sharepoint2013

    Danach öffnen wir uns ein Editor oder eine normale Powershell und kopieren uns folgendes Script hinein, und passen folgende Variablen an:

    #First step is import the token-signing certificate on the SharePoint server. For do this we need to use the “SharePoint management shell”. 
    #First copy the exported certificate on the SharePoint server. 
    #In my case I have saved the certificate in C:\ so my <PathToTokenSignCert> is C:\TokenSignCert.cer.
    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\TokenSigning.cer")
    New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

    Kopiert dies nun in die Zwischenablage und fügt die in die „SharePoint 2013-Verwaltungshell“ ein und führt das Script aus.
    Somit haben wir jetzt dem Sharepoint ein TokenSigning Zertifkat unseres ADFS hinterlegt und können nunmit dem nachfolgenden Befehl unser ClaimMapping inkl. unseren neuen Realms eine Verbindung zum AD FS aufbauen.

    $emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    $upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
    $roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming 
    $sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" -SameAsIncoming 
    $realm = "urn:sharepoint:spss" 
    $signInURL = "https://adfs.microsoft.com/adfs/ls" 
    $ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Microsoft" -Description "ADFS Microsoft" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

    Nun haben wir dem Sharepoint klar gemacht das wir einen neuen Anspruchsanbieter besitzen nun gehen wir in die Administration des Sharepoints und gehen auf die Webanwendung die die ADFS Authentfizierung bekommen soll. Standardmäßig ist die Windows Authentifizierung eingestellt diese müssen wir nun im zuge der Umstellung abschalten und dafür die AD FS Authentifizierung anschalten. Das machen wir wie folgt:

    anspruchsanbieter

    Wählen Sie zuerst Ihre Webanwendung aus und dann klicken Sie auf „Authentifizierungsanbieter“ in der oberen Titelleiste der Sharepoint Administration

    adfs_forderung

    Wählen Sie hier bitte die Windows Authentifizierung und aktivieren Sie die Vertrauenswürdiger Identitätsanbieter Ihren ADFS den Sie soeben per Powershell hinzugefügt haben

     

    Nun klicken Sie noch auf Fertigstellen und warten ab bis der Sharepoint die Konfiguration gespeichert hat. Nun könnten wir uns schon einloggen, nur wird dies uns nichts bringen da wir unseren Benutzerkonten noch keine Berechtigungen erteilt haben.

    Um Berechtigungen für die Webseite zu erlauben selektiert eure Webseite und klickt auf „Benutzerrichtlinie“

    benutzerrichtline

    benutzerhinzufuegen

    Klicken Sie auf Benutzer hinzufügen

     

    useradd

    Um einen Benutzer im ADFS zu suchen klicken auf der kleine Icon was im Bild mit dem Pfeil gekennzeichnet ist an

    useradd_groups

    Bitte beachten der Dialog sucht nur korrekt wenn sie einen Begriff eingetippt haben ins Suchfeld ansonsten bekommen Sie kein Ergebnis. haben Sie Ihren Nutzer gefunden. Wählen Sie mit dem Button Hinzufügen den Nutzer aus und klicken Sie auf „OK“ danach steht der User in dem Textfeld der auszuwählenden Nutzer.

    useradd2

    Jetzt kann die Berechtigung ausgewählt werden. In meinem Beispiel Vollzugriff. Und schließen den Dialog

    So nun ist die Konfiguration abgeschlossen und der Sharepoint ist mit dem ADFS Verknüpft und kann für die Webseite verwendet werden.

    sharepoint_login

     
  • Christian

    Christian 09:05 am 8. December 2015 permalink | Antwort
    Tags: cygwin, , Let’s Encrypt, openssl   

    gethttpsforfree.com – gültige Zertifikate erstellen leicht gemacht! 

    In diesem Tutorial beschreibe ich wie man sich ein Kostenloses SSL Zertifikat holt und dies in seinen IIS einrichtet. Die meisten How-Tow’s beschreiben nur die Einrichtung auf einer Linux Maschine. Da sich dieser Dienst noch in der BETA-Phase befindet ist es noch etwas umständlich an ein Zertifikat zu kommen, laut Aussagen von Let’s Encrypt wird es bald automatisierte Tools geben die dies einen abnehmen, ich bin gespannt 🙂

    Vorerst solltet Ihr euch OpenSSL x86/x64 installieren findet ihr hier.

    Danach installiert ihr euch Cygwin (Ein Linux Emulator) für euer Windows-System, ihr findet es hier.

    Nun kann es los gehen öffnet am besten die Cygwin Verknüpfung von eurem Desktop und wechselt in euer OpenSSL Verzeichnis (/cygdrive/c/OpenSSL-Win64/bin): Als erstes generieren wir uns einen Public-Key und legen diese im Dateisystem ab:

    openssl genrsa -out publicaccount.key 4096

    So, nun lassen wir uns diesen ausgeben mit folgenden Befehl:

    openssl rsa -in publicaccount.key -pubout

    ssl

    Nun geht Ihr auf folgende Webseite: https://gethttpsforfree.com/

    Step 1: Account Info

    Im Step 1 wird eure Email-Adresse eingetragen und der Public-Key den wir soeben generiert haben

    Nun bestätigen wird mit dem Button: „Validate Account Info“

    Step 2: Certificate Signing Request

    Nun generieren wir uns ein RSA und legen ihn auch in unser Verzeichnis, ersetzt die Domain bitte mit eurer!

     openssl req -new -sha256 -key christianloth.de.key -out christianloth.de.csr

    Beantwortet folgende Fragen die euch gestellt werden, bei FQDN wird die Domain eingetragen!

    ssl2

    Öffnet die erstellte Datei (Endung csr) mit einem Editor und kopiert diesen RSA in den Step 2.

    Nun bestätigen wird mit dem Button: „Validate CSR“

    Step 3: Sign API Requests

    Nun werden 3x Textfelder angezeigt diese kopiert Ihr einzeln aus den Textfelder und führt die Befehele auf der Cygwin-Bash aus, bitte achtet auf das Key-File was am Anfang mit angeben wird, ersetzt bitte den Namen mit eurem publicaccount.key, Ihr bekommt jeweils einen Hash zurück diesen fügt Ihr immer in die Felder der darunter stehenden Felder ein.

    step3

    Nun bestätigen wird mit dem Button: „Validate Signatures“

    Step 4: Verify Ownership

    In diesem Punkt müssen wir uns verifizieren das wir Zugriff auf unseren Webserver habe, dazu wählen wir Option 2 aus und legen auf dem IIS auf eurer Website die angebenen Pfad an und die jeweilige Datei

    .well-known/acme-challenge/vfC2cDby69GIeSy4NNaK0Qa7gn7XKyfgM31huA6xYis

    Mit folgendem Content:

    vfC2cDby69GIeSy4NNaK0Qa7gn7XKyfgM31huA6xYis.7bWaC2OZVfYG2ru5Yvn7HmmxZICRD-T5jBJ1IobONIc

    Bitte beachtet das im eurem IIS bei den MIME/Types auch Dateien unterstützt werden die keine Dateiendung besitzen

    mimetyp

    Dann führt noch den Signatur Befehl aus. Und jetzt bestätigt Ihr mit dem Button: „I´m now serving this file on domain.de“

    step4

    So nun prüft der Dienst ob er diese Datei downloaden kann! Wenn das erfolgreich ist wird euch ein Zertifikat ausgestellt. 🙂

    Kopiert euch das Zertifikat in eine neue Datei und nennt Sie „domain.crt“ und speichert diese in eurem Verzeichnis ab.

    Nun brauchen wir aber noch ein gültiges PFX-File zur Weiterverwendung in unserm System. Dazu gehen wir in die Console.

    openssl pkcs12 -export -out christianloth.de.pfx -inkey christianloth.de.key -in christianloth.de.crt 

    Danach ist euer PFX Datei fertig erstellt und kann somit im IIS unter den Server-Zertifikaten installiert werden.

    trusted

    Wenn wir nun unser Zertifikat im Browser anschauen sollten wir ein gültiges Zertifikat sehen

    Ich empfehle euch die Erweiterung für den IIS „URL Rewrite“ zu installieren um HTTPS Redirects zu bewerkstelligen.

    Mehr zum Thema URL Rewrite kommt in den nächsten Blogs.

     
c
compose new post
j
next post/next comment
k
previous post/previous comment
r
reply
e
edit
o
show/hide comments
t
go to top
l
go to login
h
show/hide help
Shift + Esc
cancel