Im folgenden Artikel werden die notwendigen Einstellungen beschrieben die notwendig sind damit sich Benutzer mit Ihren Active Directory Zugangsdaten am sklera System anmelden können. Die AD Integration steht bei den Hostingvarianten on premise und Private Cloud zur Verfügung. Unterstützt wird die Verwendung von Entra ID/Azure AD, ADFS 3.0 oder ADFS 4.0.
Microsoft Entra ID (ehem. Azure AD)
Zur Anbindung an ihr Unternehmens Entra ID (Azure AD) ist es erforderlich, dass in Azure sklera als neue Unternehmensanwendung registriert wird. Dabei bitte folgende Parameter verwenden:
Redirect URLs:
- https://REPLACE_WITH_YOUR_SKLERA_CMS_URL/_oauth/azureAd
- https://REPLACE_WITH_YOUR_SKLERA_CMS_URL/_oauth/azureAd?close
Anschließend bitte die folgenden Daten sklera GmbH gesichert zukommen lassen <support@sklera.tv>:
- Anwendungs-ID (Client) | Application (client) ID
- Verzeichnis-ID (Mandant) | Directory (tenant) ID
- geheimer Clientschlüssel (Wert) | Client secret (Value)
Microsoft Entra ID für sklera konfigurieren
Microsoft Entra ID öffnen:
App registrieren:
Branding konfigurieren:
Authentication konfigurieren:
Client Secret erzeugen:
Gültigkeitsdauer auswählen:
Client secret (Value) kopieren und gesichert an sklera GmbH übermitteln:
Application (client) ID, Directory (tenant) ID kopieren und gesichert an sklera GmbH übermitteln:
ADFS 3.0
Allgemeine Voraussetzungen
- Windows Domäne mit ADFS 3.0 (Bestandteil von Windows Server 2012 R2 Enterprise oder ADFS 4.0 (Bestandteil von Windows Server 2016
- ADFS Service muss vom sklera Server aus per HTTPS erreichbar sein
AD FS Installieren
Informationen zur Einrichtung und Installation von Windows AD FS können im TechNet Portal von Microsoft unter https://technet.microsoft.com/en-us/library/dn452410.aspx eingesehen werden.
AD FS 3.0 für sklera konfigurieren
Bei vorhandenen AD FS Server sind die nachfolgenden Schritte notwendig um sklera als erlaubte OAuth Anwendung hinzuzufügen:
- Powershell Konsole als Administrator öffnen
- Eine ADFS Client ID für die sklera Anwendung mittels nachfolgenden Befehl anlegen, wobei ADMIN_URL durch die tatsächliche URL über die Ihr sklera Server erreichbar ist zu ersetzen ist:
Add-ADFSClient -Name "sklera CMS" -ClientId "skleracms" -RedirectUri "https://ADMIN_URL/_oauth/adfsoauth" - Nun eine „Relying Party Trust“ hinzufügen, dazu das Tool „AD FS Management“ öffnen und unter „Trust Relationships“ -> Relying Party Trusts per Rechtsklick „Add Relying Party Trust“ auswählen:
- Im Wizard die folgenden Einstellungen angeben. Zusammengefasst im wesentlichen:
- AD FS Profile
- Encryption überspringen
- beliebiger Name
- Wichtig ist unter Claim Transformation auf jeden Fall eine Outgoing Regel mit „id“ definiert zu haben (siehe Screenshots)
AD FS am sklera Server aktivieren
In den Server Settings muss der ADFS Server eingetragen und das SSL Zertifikat hinterlegt werden. Wenden Sie sich dazu bitte direkt an sklera unter <info@sklera.tv> um die Änderung zu veranlassen.
AD Login
Bei erfolgter Umstellung steht Ihnen am sklera Server ein neuer Login Button zur Verfügung über welchen die OAuth Authentifizierung eingeleitet wird:
Nach erfolgter Erstanmeldung durch einen AD Benutzer kann dieser erst nach Freischaltung durch einen Administrator auf Channels zugreifen.
Tipp: Wenn Sie die neue Einladefunktion verwenden kann der Mitarbeiter sofort auf sklera zugreifen.
ADFS 4.0
Schritte zur Konfiguration von ADFS 4.0 unter Windows Server 2016 zur Verwendung mit sklera:
- ADFS installieren
- AD FS Verwaltung öffnen
- Sicherstellen dass der OAuth Endpoint aktiviert ist bzw gegebenenfalls aktivieren
- Installierten Zertifikate prüfen ob diese gültig sind
Das Signing Zertifikat im CER Format (base64) exportieren, wird später benötigt.
Wichtig ist weiters, dass der Private Schlüssel für die Service Communication vom Servicebenutzer unter dem ADFS ausgeführt wird gelesen werden kann. Dazu zur Zertifkatsverwaltung wechseln und beim entsprechenden Zertifikat den entsprechenden Service Account auswählen.
Achtung: Wurde/wird das Zertifikat gewechselt muss dies mittels dem Powershell Befehl bestätigt werden – ein ändern nur in der GUI ist nicht ausreichend:Set-AdfsSslCertificate -Thumbprint XXXXXX…
- Eine neue Application Group für sklera anlegen unter Verwendung des Templates „Web browser accessing a web application“
- Als Redirect URL https://ADMINURL/_oauth/adfsoauth (Admin URL entsprechend ersetzen) angeben, weitere Einstellungen auf Standardwerte belassen, Client ID kopieren
- Die angelegte Application Group öffnen und in die Webapplikation bearbeiten und zum Reiter Issuance Transform Rules wechseln und eine neue Regel hinzufügen:
- Mit OK Bestätigen, ADFS Service neustarten
Die Adresse des ADFS Servers, die angelegte Client ID der App und das Signing Zertifikat bitte an sklera GmbH unter support@sklera.tv übermitteln. Diese werden benötigt um die Einrichtung am sklera Server abzuschließen.