Help Center
Zur FTAPI Webseite
Help Center
Zur FTAPI Webseite
Erste Schritte und Kurzanleitungen
Anwender
Administratoren
🧩Bereich: Administratoren
🎓 Onboarding für Administratoren
SecuMails
Outlook Add-In (klassiches Outlook)
Outlook Add-In (neues Outlook)
S/MIME
Trust Networks
SecuRooms
SecuRooms Drive
SecuForms
Server Einstellungen
Allgemeine Server Einstellungen
📋 G.Data Virenscanner: MIME-Types für erlaubte Dateitypen konfigurieren📋 Windows: .p12 / .pfx Zertifikat aus einer .p7b-Datei erstellen📋 OpenSSL: Zertifikatsformate (.cer, .crt, .pem) in .pfx konvertieren📋 SecuPass: Ende-zu-Ende-Verschlüsselung (E2E) aktivieren und festlegen📋 Benutzerkontenbereinigung: Inaktive Konten automatisch deaktivieren oder löschen📋 Benutzerverwaltung: Benutzerkonten manuell, automatisch oder via AD anlegen📋 System: Login-Disclaimer (Nutzungshinweise) für Benutzer konfigurieren📋 Gruppenverwaltung: Berechtigungen, Lizenzen und Prioritätsregeln konfigurieren📋 SSO: Token-Lifetime am ADFS-Server via PowerShell und Konsole anpassen📋 SSO: SAML-Zertifikat (Metadaten) von IdP exportieren und aktualisieren📋 SSO: SAML-Anmeldeinformationen für eine Relying Party (RP) erneuern📋 SSO: SAML-Single-Sign-On mit ADFS einrichten📋 SecuPass: Ende-zu-Ende-Verschlüsselung zurücksetzen📋 LDAP: LDAPS-Zertifikat über MMC oder OpenSSL exportieren📋 E-Mail-Zustellung: Mails kommen nicht an oder landen im Spam (DNS-Konfiguration)📋 Benutzerverwaltung: Kennwort für "nicht registrierte" Benutzer festlegen📋 Benutzerverwaltung: Gruppenmitgliedschaften zuweisen und ändern📋 Limits: Größen- und Downloadlimits pro Gruppe und Produkt konfigurieren📋 Sicherheit: Verfügbare Sicherheitsstufen pro Gruppe einschränken📋 System: Eigenes SMTP Relay für Zustellungen und Benachrichtigungen einrichten❓MySQL: Upgrade von 8.0 auf 8.4
Templates
Verschiedenes
Changelog

📋 SSO: SAML-Single-Sign-On mit ADFS einrichten

In dieser Anleitung erfahren Sie Schritt für Schritt, wie Sie das SAML-Single-Sign-On (SSO) für Ihre FTAPI-Instanz mithilfe von Microsoft ADFS (Active Directory Federation Services) konfigurieren.

ADFS ist ein von Microsoft als Standardrolle für Windows Server bereitgestellter Service, der eine Web-Anmeldung mit vorhandenen Active Directory-Zugangsdaten ermöglicht.

Anforderungen

Für die ADFS-Anmeldung bei Ihrer FTAPI-Instanz benötigen Sie:

  • Eine Active Directory-Instanz mit einem E-Mail-Adressattribut für jeden Benutzer.
  • Einen Server mit Microsoft Server 2016 bis 2025.
  • Ein SSL-Zertifikat zum Signieren Ihrer ADFS-Anmeldeseite.

Informationen zur Installation des AD FS-Rollendienst finden Sie bei Microsoft: 
https://learn.microsoft.com/de-de/windows-server/identity/ad-fs/deployment/install-the-ad-fs-role-service

Hinzufügen eines Relying Party Trust

  1. Wählen Sie unter AD FS Management den Ordner Vertrauensstellungen der vertrauenden Seite aus und fügen Sie über das Kontextmenü (Rechtsklick) oder von der Seitenleiste Aktionen aus eine neue vertrauende Seite hinzu. Der Konfigurationsassistent für einen neuen Trust wird gestartet. 
  2. Wählen Sie Ansprüche unterstützend aus und klicken Sie auf Start
  3. Sofern der AD FS-Server direkten Internetzugriff hat, wählen Sie die erste Option aus und geben Sie die URL Ihrer FTAPI-Instanz mit dem Zusatz /saml/metadata an. Die URL finden Sie auch in der Administration Ihres FTAPI-Servers unter Single Sign-On SAML 2.0 -> Relying Party (RP) Metadata URL
  4. Hat der AD FS-Server keinen direkten Zugang ins Internet, so laden Sie die o.g. Metadaten herunter und geben Sie diese unter Punkt 2 Daten über die vertrauende Seite aus einer Datei importieren an. Klicken Sie auf Weiter
  5. Geben Sie einen eindeutigen Namen an. 
  6. Wählen Sie Bestimmter Gruppe Zugriff gewähren aus und klicken Sie anschließend auf <Parameter>. Im sich öffnenden Fenster können nun dedizierte AD Gruppen ausgewählt werden, deren Mitglieder Zugriff auf SSO via SAML haben sollen. 
     
    Klicken Sie 2x auf Weiter bzw. Schließen, um den Assistenten zu beenden und die Konfiguration zu speichern. 

Anspruchsausstellungs-Richtlinie

Die Anspruchsausstellungs-Richtlinie öffnet sich nach dem Schließen automatisch, alternativ rechtsklicken Sie die neu erstellte Seite und wählen Sie Anspruchsausstellungsrichtlinie bearbeiten... aus. 

  1. Klicken Sie auf Regel hinzufügen und Wählen Sie LDAP-Attribute als Ansprüche senden aus. 
     
    Der Anspruchsregelname kann frei vergeben werden, z.B. FTAPI - SSO. Als Attributspeicher muss Active Directory gewählt werden. 
    Das Mapping sollte wie folgt aussehen: 
     
    Auf Wunsch können weitere LDAP-Attribute konfiguriert werden (der FTAPI-Server unterstützt weiterhin Vorname, Nachname, Firma, Telefonnummer und Position).

Gruppenmapping

Wenn das Gruppenmapping zur Anwendung kommen soll, konfigurieren Sie bitte für die FTAPI-Gruppen entsprechende AD-Gruppen. Wählen Sie unter Regel hinzufügen... den Punkt Gruppenmitgliedschaft als Anspruch senden aus. 

  • Anspruchsregelname: Freitext, sollte der Gruppe entsprechen
  • Gruppe des Benutzers: Die lokale AD-Gruppe
  • Typ des ausgehenden Anspruchs: Rolle oder Gruppe, abhängig von der Konfiguration auf dem FTAPI-Server
  • Wert des ausgehenden Anspruchs: Name der FTAPI-Gruppe

 
Die vordefinierten FTAPI-Gruppen Administrator, Mitarbeiter und Gast haben die internen Bezeichnungen GROUP_ADMIN, GROUP_EMPLOYEE und GROUP_GUEST. Für eigene FTAPI-Gruppen tragen Sie diese unter Wert des ausgehenden Anspruchs ein. 
Hinterlegen Sie alle benötigten Gruppen und klicken Sie auf Anwenden.

Anpassung der Token-Lifetime

Die Gültigkeitsdauer des SAML-Authentifizierungstokens wird über die Lebensdauer für Web-SSO gesteuert, der Standardwert ist 480 Minuten. Der Wert kann maximal auf 9999 Minuten (ca. eine Woche) erhöht werden.

Nachrichtensignierung aktivieren (verschlüsselte Assertion)

Damit das Single-Sign-On-Verfahren via SAML auch weiterhin für die FTAPI Plattform funktioniert, muss die verschlüsselte Assertion aktiv sein.

Ähnliche Artikel

❓ SSO: Token-Lifetime am ADFS-Server via PowerShell und Konsole anpassen

❓ SAML IDP Konfiguration bei verschlüsselten Assertions

War der Artikel hilfreich?

Powered by Product Fruits