Benutzerdefinierte Anwendung
Diese Anleitung erklärt, wie man eine OpenID Connect-Anwendung erstellt und konfiguriert und mit der Specops Single Sign-On-Authentifizierung beginnt.
Konfiguration
Dies sind die Hauptkonfigurationsschritte:
- Konfigurieren Sie ein Gruppenrichtlinienobjekt
- Erstellen Sie eine OpenID Connect-Anwendung für Single Sign-On
Konfigurieren Sie ein Gruppenrichtlinienobjekt
Befolgen Sie diese Schritte nur, wenn Sie Gruppenrichtlinie oder Beides als Richtlinienmodus auswählen, wenn Sie die OpenID Connect-Anwendung erstellen.
- Erstellen Sie im Gruppenrichtlinienverwaltungs-Console ein Gruppenrichtlinienobjekt (GPO).
- Verknüpfen Sie das GPO mit einem Container mit Benutzern, die auf die Anwendung der Organisation zugreifen können sollen.
- Klicken Sie im Gatekeeper Admin Tool auf Single Sign-on.
- Klicken Sie auf GPOs taggen, wählen Sie das GPO aus, das bei der Konfiguration einer OpenID Connect-Anwendung in Specops Authentication verfügbar sein soll, und klicken Sie auf OK.
Erstellen Sie eine OpenID Connect-Anwendung für Single Sign-On
- Melden Sie sich als Administrator bei der Specops Authentication Web an.
- Klicken Sie auf Single Sign-On.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie Anwendungstyp: Benutzerdefiniert.
- Geben Sie unter Allgemeine Einstellungen einen Anwendungsnamen und optional eine Beschreibung für die Anwendung ein.
- Wenn die vertrauende Partei ein signiertes JWT vom Benutzerinfo-Endpunkt erwartet, wählen Sie Benutzerinfo signieren. Wenn nicht ausgewählt, gibt der Benutzerinfo-Endpunkt JSON zurück.
- Fügen Sie unter Umleitungs-URLs URLs hinzu, die während der Authentifizierung und Abmeldung für die Umleitung erlaubt sein sollen. Diese sollten von der vertrauenden Partei bereitgestellt werden. Es ist optional, sie jetzt hinzuzufügen, aber mindestens eine URL wird benötigt, damit die Authentifizierung funktioniert.
- Fügen Sie in Standard-Claim-Zuordnung Claims hinzu, die während der Authentifizierung an die vertrauende Partei gesendet werden sollen.
- Claim: Wählen Sie einen Namen aus der Liste der vordefinierten Namen oder wählen Sie Benutzerdefiniert... um einen benutzerdefinierten Namen einzugeben.
- AD-Attribut oder Benutzerdefinierter Wert: Wählen Sie einen Wert aus der Liste der Active Directory-Attribute oder wählen Sie Benutzerdefiniert... um einen benutzerdefinierten Namen einzugeben. Wenn ein AD-Attribut ausgewählt ist, wird der Claim während der Authentifizierung vom Benutzer ausgefüllt. Wenn Benutzerdefiniert ausgewählt ist, wird ein fester Wert verwendet.
- Klicken Sie auf Speichern und Fortfahren.
- Wählen Sie einen Richtlinienmodus aus der Liste.
- Wenn Sie Gruppenrichtlinie oder Beides als Richtlinienmodus ausgewählt haben, wählen Sie ein oder mehrere GPOs aus der Liste der Gruppenrichtlinienobjekte aus und klicken Sie auf Hinzufügen.
- Klicken Sie auf Authentifizierungsregeln bearbeiten neben dem hinzugefügten GPO. Konfigurieren Sie die gewünschten Authentifizierungsregeln und klicken Sie auf Speichern.
- Wenn Sie Cloud oder Beides als Richtlinienmodus ausgewählt haben, klicken Sie auf Konfigurieren und fügen Sie die Identitätsdienste hinzu, die Sie einbeziehen möchten.
- Klicken Sie auf Ich bin fertig.
-
Die Seite Anmeldeinformationen der Anwendung enthält Anmeldeinformationen und URLs, die möglicherweise benötigt werden, wenn Specops Authentication als Identitätsanbieter bei der vertrauenden Partei konfiguriert wird. Kopieren Sie den Client Secret und stellen Sie sicher, dass Sie ihn für die spätere Verwendung speichern. Klicken Sie auf Fortfahren.
Hinweis
Der Client Secret wird nur einmal angezeigt und kann nicht erneut angezeigt oder kopiert werden, nachdem Sie diese Seite verlassen haben.