Benutzerdefinierte Anwendung

In diesem Abschnitt wird beschrieben, wie Sie eine benutzerdefinierte Single Sign-On-Anwendung (SSO) mit OpenID Connect einrichten.

Voraussetzungen

Die Funktion "Specops Domain Name Protection" muss deaktiviert sein, siehe Schutz von Domänennamen.

Einrichten einer benutzerdefinierten Anwendung

Dies sind die Hauptschritte beim Einrichten einer benutzerdefinierten Anwendung.

Konfigurieren eines Gruppenrichtlinienobjekts
Erstellen einer Single Sign-On-Anwendung

Konfigurieren eines Gruppenrichtlinienobjekts

Befolgen Sie diese Schritte nur, wenn Sie Gruppenrichtlinie oder Beides als Richtlinienmodus auswählen, wenn Sie die Single Sign-On-Anwendung erstellen.

Erstellen Sie in der Gruppenrichtlinienverwaltungskonsole ein Gruppenrichtlinienobjekt (GPO).
Verknüpfen Sie das GPO mit einem Container mit Benutzern, die auf die Anwendung der Organisation zugreifen können sollen.
Klicken Sie im Gatekeeper Admin Tool auf Single Sign-on.
Klicken Sie auf GPOs markieren, wählen Sie das GPO aus, das für die Konfiguration einer OpenID Connect-Anwendung in Specops Authentication verfügbar sein soll, und klicken Sie auf OK.

Erstellen einer Single Sign-On-Anwendung

Melden Sie sich als Administrator bei Specops Authentication Web an.
Klicken Sie auf Single Sign-On.
Klicken Sie auf Neu hinzufügen.
Wählen Sie Anwendungsvorlage: Benutzerdefiniert.
Wählen Sie Anwendungsprotokoll: OpenID Connect.
Klicken Sie auf Weiter.
Geben Sie unter Allgemeine Einstellungen einen Anwendungsnamen und optional eine Beschreibung für die Anwendung ein.
Wenn die vertrauende Partei ein signiertes JWT vom UserInfo-Endpunkt erwartet, wählen Sie Benutzerinformationen signieren. Wenn diese Option nicht ausgewählt ist, gibt der UserInfo-Endpunkt JSON zurück.
Fügen Sie unter Umleitungs-URLs URLs hinzu, die bei der Authentifizierung und Abmeldung für Umleitungen zulässig sein sollen. Diese sollten von der vertrauenden Partei bereitgestellt werden. Es ist optional, sie jetzt hinzuzufügen, aber mindestens eine URL wird benötigt, damit die Authentifizierung funktioniert.
Fügen Sie unter Standard-Anspruchszuordnung optional die Claims hinzu, die während der Authentifizierung an die vertrauende Partei gesendet werden sollen.
- Anspruch: Wählen Sie einen Namen aus der Liste vordefinierter Namen oder Benutzerdefiniert..., um einen benutzerdefinierten Namen einzugeben.
- AD-Attribut oder benutzerdefinierter Wert: Wählen Sie einen Wert aus der Liste der Active Directory-Attribute oder Benutzerdefiniert..., um einen benutzerdefinierten Namen einzugeben. Wenn ein AD-Attribut ausgewählt ist, wird der Claim bei der Authentifizierung mit Daten des Benutzers gefüllt. Wenn Benutzerdefiniert ausgewählt ist, wird ein fester Wert verwendet.
  
  Warnung
  
  Der Claim "sub" muss einem AD-Attribut zugeordnet werden, das unveränderlich ist und den Benutzer eindeutig identifiziert. Ordnen Sie "sub" niemals z. B. dem Attribut "mail" zu, da dies einem böswilligen Benutzer ermöglichen könnte, Zugriff auf das Konto eines anderen Benutzers zu erhalten. Der Claim "sub" wird standardmäßig "objectGUID" zugeordnet.
Klicken Sie auf Weiter: Gruppenanspruchszuordnung.

Hinweis

Die Standard-Claims, die unter Standard-Anspruchszuordnung hinzugefügt werden, werden immer an die vertrauende Partei gesendet. Die Gruppen-Claims, die unter Gruppenansprüche-Zuordnung eingegeben werden, sind zusätzliche Claims, die für Benutzer, die Mitglieder der ausgewählten AD-Gruppen sind, dem OIDC-Token hinzugefügt werden.

Diese Konfiguration steuert nicht, welche Benutzer auf die Anwendung zugreifen können. Der Zugriff auf die Anwendung wird über die Richtlinienkonfiguration gesteuert. Das bedeutet, dass Benutzer in den ausgewählten Gruppen auch in einer Richtlinie enthalten sein müssen, um auf die Anwendung zugreifen zu können.
Fügen Sie unter Neue Gruppenansprüche hinzufügen optional Claims für Sicherheitsgruppen hinzu. Geben Sie den Namen einer Gruppe in Active Directory ein und klicken Sie auf Hinzufügen.
Geben Sie einen oder mehrere Claims und Claim-Werte für die Gruppe ein und klicken Sie auf Speichern.
Klicken Sie auf Weiter: Richtlinienkonfiguration.

Hinweis

Die Richtlinienkonfiguration bestimmt, für welche Benutzer die Anwendungsrichtlinie gilt und welche Authentifizierungsregeln für sie erzwungen werden. Nur Benutzer, die in einer Richtlinie enthalten sind, dürfen auf die Anwendung zugreifen. Benutzer, die in keiner Richtlinie enthalten sind, haben keinen Zugriff.
Wählen Sie einen Richtlinien-Modus aus der Liste.
Wenn Sie Gruppenrichtlinie oder Beides als Richtlinienmodus ausgewählt haben, wählen Sie ein oder mehrere GPOs aus der Liste Gruppenrichtlinienobjekte aus und klicken Sie auf Hinzufügen.
Klicken Sie neben dem hinzugefügten GPO auf Authentifizierungsregeln bearbeiten. Konfigurieren Sie die gewünschten Authentifizierungsregeln und klicken Sie auf Speichern.
Wenn Sie Cloud oder Beides als Richtlinienmodus ausgewählt haben, klicken Sie auf Konfigurieren und fügen Sie die Identitätsdienste hinzu, die Sie einbeziehen möchten.
Klicken Sie auf Ich bin fertig.
Auf der Seite Anmeldeinformationen der Anwendung werden die Anmeldeinformationen und URLs angezeigt, die möglicherweise benötigt werden, wenn Specops Authentication bei der vertrauenden Partei als Identitätsanbieter konfiguriert wird.
Kopieren Sie den Wert Aktueller Client-Secret-Schlüssel unter Client-ID und speichern Sie ihn für die spätere Verwendung. Dies ist der Client-Secret-Wert, der in die Konfiguration der vertrauenden Partei eingegeben werden muss.

Wichtig!

Der Wert Aktueller Client-Secret-Schlüssel wird nur einmal angezeigt. Nachdem Sie diese Seite verlassen haben, kann der Wert nicht erneut angezeigt oder kopiert werden.
Wenn Sie fertig sind, klicken Sie auf Schließen.

Informationen zum Rotieren und Widerrufen eines Client-Secret-Schlüssels finden Sie im nächsten Abschnitt.

Rotieren und Widerrufen eines Client-Secret-Schlüssels

Beim Rotieren wird ein neuer Aktueller Client-Secret-Schlüssel erstellt und der bisherige Client-Secret-Schlüssel bleibt vorübergehend verfügbar. Beim Widerrufen wird der alte Client-Secret-Schlüssel entfernt, sodass er nicht mehr verwendet werden kann. Verwenden Sie diese Optionen, um den aktuellen Client-Secret-Schlüssel zu ersetzen oder einen alten dauerhaft zu widerrufen.

Klicken Sie auf Anmeldedaten anzeigen neben der OIDC-Anwendung auf der Seite Konfigurierte Single Sign-On-Anwendungen.
Auf der Seite Anmeldeinformationen der Anwendung:
1. Klicken Sie auf Secret rotieren, um einen neuen Aktueller Client-Secret-Schlüssel zu erzeugen. Der vorherige aktuelle Client-Secret-Schlüssel wird zu einem alten Client-Secret-Schlüssel. Wenn bereits ein alter Secret-Schlüssel vorhanden ist, wird er ersetzt. Beide Secret-Schlüssel bleiben gültig, bis der alte Client-Secret-Schlüssel widerrufen oder durch eine weitere Rotation ersetzt wird.
2. Klicken Sie auf Altes Secret widerrufen, um den alten Client-Secret-Schlüssel dauerhaft zu entfernen. Nachdem er widerrufen wurde, kann der alte Secret-Schlüssel nicht mehr verwendet werden, und der neue Aktueller Client-Secret-Schlüssel bleibt aktiv.