Allgemein

Im folgenden Artikel werden die notwendigen Einstellungen beschrieben die notwendig sind damit sich Benutzer mit Ihren Active Directory Zugangsdaten am sklera System anmelden können. Die AD Integration steht bei den Hostinvarianten on premise und Private Cloud zur Verfügung. Unterstützt wird die Verwendung von ADFS 3.0, 4.0 oder Entra ID/Entra ID/Azure AD.


Microsoft Entra ID ( ehem. Azure AD)

Zur Anbindung an ihr Unternehmens Entra ID (Azure AD) ist es erforderlich, dass in Azure sklera als neue Unternehmensanwendung registriert wird. Dabei bitte folgende Parameter verwenden:

Sign On URL: 
- https://SERVER_URL
Reply URLS: 
- https://SERVER_URL/_oauth/azureAd
- https://SERVER_URL/_oauth/azureAd?close

Anschließend bitte die folgenden Daten sklera GmbH gesichert zukommen lassen:

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)
  • geheimer Clientschlüssel (Wert)

Beispiel Einrichtung in Azure:






Längstmögliche Gültigkeitsdauer auswählen:


Geheimer Clientschlüssel (Wert):


Anwendungs-ID (Client), Verzeichnis-ID (Mandant):


ADFS 3.0

Allgemeine Voraussetzungen

  1. Windows Domäne mit ADFS 3.0 (Bestandteil von Windows Server 2012 R2 Enterprise oder ADFS 4.0 (Bestandteil von Windows Server 2016
  2. ADFS Service muss vom sklera Server aus per HTTPS erreichbar sein

AD FS Installieren

Informationen zur Einrichtung und Installation von Windows AD FS können im TechNet Portal von Microsoft unter https://technet.microsoft.com/en-us/library/dn452410.aspx eingesehen werden.

AD FS 3.0 für sklera konfigurieren

Bei vorhandenen AD FS Server sind die nachfolgenden Schritte notwendig um sklera als erlaubte OAuth Anwendung hinzuzufügen:

  1. Powershell Konsole als Administrator öffnen
  2. Eine ADFS Client ID für die sklera Anwendung mittels nachfolgenden Befehl anlegen, wobei ADMIN_URL durch die tatsächliche URL über die Ihr sklera Server erreichbar ist zu ersetzen ist:

    Add-ADFSClient -Name "sklera CMS" -ClientId "skleracms" -RedirectUri "https://ADMIN_URL/_oauth/adfsoauth"

  3. Nun eine „Relying Party Trust“ hinzufügen, dazu das Tool „AD FS Management“ öffnen und unter „Trust Relationships“ -> Relying Party Trusts per Rechtsklick „Add Relying Party Trust“ auswählen:
  4. Im Wizard die folgenden Einstellungen angeben. Zusammengefasst im wesentlichen:
    • AD FS Profile
    • Encryption überspringen
    • beliebiger Name

  1. Wichtig ist unter Claim Transformation auf jeden Fall eine Outgoing Regel mit „id“ definiert zu haben (siehe Screenshots)

AD FS am sklera Server aktivieren

In den Server Settings muss der ADFS Server eingetragen und das SSL Zertifikat hinterlegt werden. Wenden Sie sich dazu bitte direkt an sklera unter <info@sklera.tv> um die Änderung zu veranlassen.

AD Login

Bei erfolgter Umstellung steht Ihnen am sklera Server ein neuer Login Button zur Verfügung über welchen die OAuth Authentifizierung eingeleitet wird:

Nach erfolgter Erstanmeldung durch einen AD Benutzer kann dieser erst nach Freischaltung durch einen Administrator auf Channels zugreifen.

Tipp: Wenn Sie die neue Einladefunktion verwenden kann der Mitarbeiter sofort auf sklera zugreifen.



ADFS 4.0

Schritte zur Konfiguration von ADFS 4.0 unter Windows Server 2016 zur Verwendung mit sklera:

  1. ADFS installieren
  2. AD FS Verwaltung öffnen
  3. Sicherstellen dass der OAuth Endpoint aktiviert ist bzw gegebenenfalls aktivieren

  4. Installierten Zertifikate prüfen ob diese gültig sind


    Das Signing Zertifikat im CER Format (base64) exportieren, wird später benötigt.


    Wichtig ist weiters, dass der Private Schlüssel für die Service Communication vom Servicebenutzer unter dem ADFS ausgeführt wird gelesen werden kann. Dazu zur Zertifkatsverwaltung wechseln und beim entsprechenden Zertifikat den entsprechenden Service Account auswählen.



    Achtung: Wurde/wird das Zertifikat gewechselt muss dies mittels dem Powershell Befehl bestätigt werden – ein ändern nur in der GUI ist nicht ausreichend:
    Set-AdfsSslCertificate -Thumbprint XXXXXX…
  5. Eine neue Application Group für sklera anlegen unter Verwendung des Templates „Web browser accessing a web application“

  6. Als Redirect URL https://ADMINURL/_oauth/adfsoauth (Admin URL entsprechend ersetzen) angeben, weitere Einstellungen auf Standardwerte belassen, Client ID kopieren

  7. Die angelegte Application Group öffnen und in die Webapplikation bearbeiten und zum Reiter Issuance Transform Rules wechseln und eine neue Regel hinzufügen:



  8. Mit OK Bestätigen, ADFS Service neustarten

Die Adresse des ADFS Servers, die angelegte Client ID der App und das Signing Zertifikat bitte an sklera GmbH unter support@sklera.tv übermitteln. Diese werden benötigt um die Einrichtung am sklera Server abzuschließen.