ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

Relaterede dokumenter
Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Single sign-on til statens systemer. April 2019 version 5

SSO - FAQ - Kendte problemer med opsætninger

OPSÆTNING AF KOMMUNAL IDENTITY PROVIDER TIL AULA

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

SOSIGW. - Administrationskonsol for SOSIGW Indeks

Contents. John Have Jensen Mercantec 2011

BEC. NetScaler Unmanaged VPN. Installation. Bruger Vejledning. Version

FairSSL Fair priser fair support

STIL BETINGELSER! Med Conditional Access

Nets - Medarbejder Signatur

Bruger Manual PC Valtronics IP Kamera - Windows system

Sådan installerer du Authenticator app en og logger sikkert ind i Aula

Installation af Bilinfo på Windows

Kald af PingService via SOAPUI

Sådan installerer du Authenticator app en og logger sikkert ind i Aula

BESTILLING AF NEMID. For at bestille ny NemID vælger du Vælg Bestil NemID medarbejdersignatur.

Introduktion til brugeradministratorer i SEB v3

EasyIQ ConnectAnywhere Release note

Opsætning af MobilePBX med Kalenderdatabase

FairSSL Fair priser fair support

Gør det selv. Vejledning. Skift adgangskode til Norddjurs PC og Citrix fra Citrix IT-AFDELINGEN

Quick Guide for Mobil Reception (Omhandler mobil reception også kaldet isymphony)

Nykredit Portefølje Administration A/S

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

Opdatering af ISOWARE til version 6.1.0

Brugervejledning. Optagelse.dk. Brugeroprettelse Første login for medarbejdere

SIMS Active Directory Service 2.5 Quick Guide

Contents. ESXi installation og basisk konfiguration

I denne øvelse vil du få vist hvordan opsætningen af netværket foregår. Målet er at du selv kan konfigurere en IP adresse på din lokal maskine.

FairSSL Fair priser fair support

Kvik-guide: Sådan opretter du en bruger

Guide til login på DA Barsel

Styrelsen for Arbejdsmarked og Rekruttering STAR-VITAS. AD & ADFS opsætning til VITAS. Version 1.7. Dato 19. februar Reference [Reference]

Vejledning til Teknisk opsætning

Indhold. Vejledning til ShareFile. Sådan uploader du en fil til My Files & Folders. Sådan uploader du en fil til Shared Folders

Introduktion til brugeradministratorer i SEB v2

Web Admin 5.5. Brugsvejledning for User admin. Copyright 2003 Gullestrup.net

Brugeroprettelse Første login. Brugervejledning - Optagelse.dk

Web Admin 5.5. Brugsvejledning for Domain admin. Copyright 2003 Gullestrup.net

MSI pakke til distribution af AutoPilot komponenter.

Fjernadgang til BEC s systemer via Portal2

Tylstrup Skole. Indhold

Citrix Receiver guide til Mac, Iphone, Ipad Version

Nexus IP Quickguide. Til alle Nexus VW og FW modeller

Introduktion OBS: Forberedelse

Sundhedsdatastyrelsens Elektroniske Indberetningssystem (SEI)

Administration af brugere vha. sammenhængende log-in

Region Syddanmark Guide til oprettelse og udsendelse af nyhedsbreve i Peytz Mail

Denne guide er til at opsætte din Huawei P9 og få den opdateret softwaremæssigt, samt opsætte UCL mail. Huawei P9... 1

Understøttelse af LSS til NemID i organisationen

Brugervejledning. - til generering af nøgler til SFTP-løsningen vedrørende datakommunikation

IT vejledning for Studerende

Vejledning i brug af fjernarbejdsplads pa Danmarks Statistik Mac brugere

Fjernadgang til BEC s systemer via Portal2

Case: Zapier-integration mellem simplero og webcrm hos Videokursus

Bruger Manual PC Valtronics Udendørs Kamera - Windows system

UPLOAD. Af Database og Website til Skolens Server

Administration...2 Organisation...2 Brugere...5 Grupper...11

Norddjurs hjemmefra. Vejledning. Få adgang til Citrix hjemmefra på en privat PC IT-AFDELINGEN

Sektornet VPN Installationsvejledning Windows Vista/7

Den guide er lavet til ansatte på sociologi, hvis du ikke er ansat på sociologi er det ikke sikkert denne guide virker for dig.

BEC Selfservice (Internt)

Manual for VALTRONICS IP kamera Android APP

UNO vejledning. Indhold

Opsætning af klient til Hosted CRM

Tryk på Indstillinger Kør ned og tryk på , kontakter, kalendere.

Vejledning: Brug GGs trådløse netværk Side 1 af 11

QUICK GUIDE TIL INDBERETNING AF WHEREABOUTS

Vejledning VPN Endpoint Connect og SSL

VDI Manual v. 5 Indhold

Aktivering af brugerkonto i uni.au.dk

Brugervejledning til anmelder

SIMS integration med Microsoft Active Directory, er implementeret, via en mellemdatabase.

FarmOnline Explorer App

Voic Brugervejledning. version 1

Single sign-on cases. SolutionsDay Morten Strunge Nielsen Globeteam Virumgårdsvej 17A 2830 Virum

Indhold. Download driver Find version af Windows Hent drivers til Windows Udpak driver... 6

Vejledning til online blanketten Prisindekset i producent og importleddet

2. Opstart af SLS-Klient Korrekt udsteder kommunikation

MyArchive.kb.dk Selvarkivering af s

Elektronisk regnskabstjekliste. Brugermanual Februar 2019

QUICK GUIDE. til E-handel

Citrix Receiver komplet guide til installation, brug og fejlfinding Version

Navision Stat 7.0. Webservice til Generisk integrationssnitflade (GIS) Overblik. Side 1 af 21. ØSY/CRA/CPS/ CRA Opr

TDC Erhverv Cloud Storage. Brugermanual. EMC² CIFS-ECS Ver August 2016

Transkript:

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

Indhold 1 Intro... 3 1.1 I drift på MODST SSO... 3 1.2 Anbefalinger om certifikater... 3 2 How-to guide... 4 2.1 Opsætning af relying party... 4 2.2 Opsætning af LDAP claim rules... 6 2.3 Opsætning af Custom rules... 9 3 Fejlfinding... 12 3.1 Fejl ved hentning af SSO meta data... 12 3.2 "Unable to validate SAML message... 12 4 Claim types hos MODST SSO... 14 2

1 Intro Denne vejledning er udført på en Windows 2019 Server med ADFS-rollen installeret. ADFS-serveren benytter ikke MFA og i de kommende eksempler skal alle brugere benytte SSO løsning. Indholdet i dette dokument er udarbejdet for at assistere institutionerne i den korrekte oprettelse af en Relying Party Trust med Moderniserings styrelsens SSO-løsning, Dette dokument beskriver, hvad en institution skal gøre for at blive tilkoblet Moderniseringsstyrelsens single sign-on-løsning (MODST SSO). Institutionen har i dette tilfælde rollen identitet udbyder overfor MODST SSO dvs. den skal levere validering af brugere. 1.1 I drift på MODST SSO Når institutionen er tilkoblet MODST SSO, skal brugerne ikke længere anvende de gamle links til fagsystemerne. I stedet skal brugeren anvende de links til fagsystemerne, som giver adgang via MODST SSO. Oversigt over disse links kan findes her: https://modst.dk/systemer/systemstandarder/single-sign-on/ Det bemærkes dog, at nogle fagsystemer også giver adgang med single sign-on via en knap på den normale loginside. 1.2 Anbefalinger om certifikater For at forhindre hyppige ændringer til federationsforbindelserne anbefaler vi at der bruges et certifikat udstedt lokalt fra jeres maskine til både signing og decryption med en længere levetid end den som ADFS opretter som standard. Vi anbefaler følge til jeres opsætning af certifikatet: SHA-256 Levetid: 3-5 år RSA: 4096bits 3

2 How-to guide 2.1 Opsætning af relying party I ADFS-konsollen find Relying parties Højreklik og vælge I konfigurationswizard vælg Claim Aware og tryk start 4

Indtast xml-datakilden bemærk der er to miljøer hos MODST, test og prod: Test: https://testsso.modst.dk/runtime/saml2auth/metadata.idp Prod: https://sso.modst.dk/runtime/saml2auth/metadata.idp Tryk Næste og sig ok til advarslen Navngive forbindelsen, eksempelvis: Test: MODST Test SSO Prod: MODST Prod SSO 5

Sæt adgangskontrol Vælg den adgangspolitik, der passer til jeres eksisterende infrastruktur. Se Adgangs kontrol i ADFS længere nede i dokumentet for en kort forklaring af mulighederne. Tryk så næste til de resterende to punkter til wizarden afsluttes. Du vil nu have begge mulige SSO-løsninger oprettet som Relying Party, forsæt til opsætning af Claim regler. 2.2 Opsætning af LDAP claim rules Følgende guide skal udføres pr. relying party trust. I guiden her lægges LDAP regler direkte på Relying Party trust. Bemærk, at disse regler kun aktiverer når brugerne logger på via Active Directory. Anvender i andre upstream IdP er på AD FS til autentificering, så kræver det at disse LDAP regler populeres på den oprindelige IdP. Højre klik på den nye oprettet relying party trust og vælg edit claim issuance policy Det åbnet vindue bør ikke indholde nogle eksiterende regler, vælg add rule Vælg Send LDAP Attributes as Claims og tryk næste 6

Give reglen et navn LDAP, vælg Active directory som datastore og udfyld felterne LDAP Attribute og Outgoing Clam Type. Det er vigtigt at udskifte Outgoing Claim Type med værdierne i tabellen og ikke vælge standardværdierne, som den kan tilbyde via drop down menuen. I nedenstående anvendes mail-attributten på brugerne som brugerid i fagsystemerne (user id og Name claims). Hvis I bruger UPN navn til brugerid, så skal LDAP attributten for user id og Name claim være User-Principal-Name attributten. LDAP Regler: LDAP Attribute E-Mail-Addresses E-Mail-Addresses objectguid Mobile Surname Given-Name E-Mail-Addresses Outgoing Claim Type https://modst.dk/sso/claims/email https://modst.dk/sso/claims/userid https://modst.dk/sso/claims/uniqueid https://modst.dk/sso/claims/mobile https://modst.dk/sso/claims/surname https://modst.dk/sso/claims/givenname Name 7

Udsnit af LDAP-reglerne Tryk Finish 8

2.3 Opsætning af Custom rules I dette afsnit vil der blive vist et enkelt eksempel på hvordan der oprettes en custom rule på jeres ADFS Server for de attributter som ikke findes i jeres AD gennem LDAP-reglerne. Syntaksen i hvert regel er følgende: => issue(type = "Claimtype", value = "value"); Så for CVR vil det se således ud: => issue(type = "https://modst.dk/sso/claims/cvr", value = "12345678"); Det vil være nødvendigt at rette både CVR og assurancelevel værdierne til. Specifikation af værdier i assurancelevel Værdi Beskrivelse 2 Der er foretaget enkeltfaktor validering, f.eks. brugernavn/adgangskode eller kerberos spnego i forbindelse med en domain joined device 3 Der er foretaget to-faktor validering af brugeren f.eks. sms kode, nemid eller tilsvarende. Udfør guiden for hvert af følgende regler: CVR, assurancelevel og logonmethod. Bemærk, at logonmethod claim en skal populeres efter, hvordan brugerens oprindelige logon er foretaget. Så hvis brugeren er logget på med tofaktor, så skal logonmethod attributten afspejle dette. Det samme gælder assurancelevel claim en. Se mere om dette i MODSTs generelle tilslutningsvejledning, under afsnittet: Information om hvilke attributter, institutionen skal medsende fra sin lokale IdP. AD FS afslører sin logonmetode via følgende claim: http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod. Se mere her: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technicalreference/the-role-of-claims. Denne guide er baseret på en AD FS, der anvender forms-login og enkeltfaktor. Derfor 2 i assurancelvel, og username-password-protected-transport. Hvis jeres AD FS anvender kerberos og enkeltfaktor for alle brugere, så skal assurancelevel stå til 2 og logonmethod til kerberosspnego. Hvis AD FS anvendes både internt og eksternt fra, så skal AD FS authenticationmethod claim oversættes til den tilsvarende logonmethod og assurancelevel claim til at afspejle dette korrekt for hvert login. Claim Type => issue(type = "https://modst.dk/sso/claims/cvr", value = "12345678"); => issue(type = "https://modst.dk/sso/claims/assurancelevel", value = "2"); => issue(type = "https://modst.dk/sso/claims/logonmethod", value = " username-passwordprotected-transport"); Følgende guide skal udføres pr. relying party trust Højre klik på den nye oprettet relying party trust og vælg edit claim issuance policy 9

Det åbnede vindue bør ikke indeholde nogle eksisterende regler, vælg add rule Vælg Send Claims Using a Custom Rule og tryk næste Kopierer en regel fra tabellen og indtaste, eksemplet her er for CVR, tryk der efter ok Nu burde listen over regler se således ud: 1

2.4 Opsætning af Name ID claim Name ID er en særskilt claim, som skal tilføjes som den sidste claim regel på Relying Parties. Name ID oversættes fra https://modst.dk/sso/claims/userid claimen som en Transform rule. Denne transform rule skal således transformere userid claimen til en ny claim af typen Name ID (persistent identifier). Dette afslutter claims opsætningen på Relying Party. 1

3 Fejlfinding 3.1 Fejl ved hentning af SSO meta data. I vores 2016/209 Server labs er dette problem opstået fordi ADFS-servicen forsøger at kommunikere med en standard der er lavere end hvad MODST SSO tillader hvilket er TLS 1.2. Dette kan løses ved hærdne jeres server til at benytte den korrekt standard. 3.2 "Unable to validate SAML message Hvis I oplever denne fejl, så skal I validere Claim typen I jeres regler. Hvis ikke der bliver fremsendt de forventede typer mod MODST SSO, så vil I muligvis få beskeden Unable to Validate SAML message. Hyppigst er der en fejl i indtastningen af jeres Claim types. Se Claim Types hos MODST SSO længere nede. 1

1

4 Claim types hos MODST SSO Claim Eksemple værdi AD Attribute Beskrivelse https://modst.dk/sso/claims/email jodo@myemail.com E-Mail- Brugerens E-mail Addresses https://modst.dk/sso/claims/userid jodo@myemail.com User- Principal- Name Efter aftale med Moderniseringsstyrelsen kan UPN (User Principal Name) anvendes. https://modst.dk/sso/claims/uniqueid l1rmjg/lq0ck7dhvw3phvw== objectguid Brugerens Unikke ID fra AD i Base64 https://modst.dk/sso/claims/mobil 30123456 mobile Bruges til 2-trins validering http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name jodo@myemail.com E-Mail- Addresses Navnet der evt. præsenteres i applikationer. https://modst.dk/sso/claims/surname Doe Surname Brugerens efternavn https://modst.dk/sso/claims/givenname John Given-Name Brugerens fornavn https://modst.dk/sso/claims/cvr 12345678 -Findes ikke i AD Institutionens CVRnummer https://modst.dk/sso/claims/assurancelevel 2 eller 3 -Findes Ikke i AD Skal populeres efter om brugeren er logget på med kerberos eller enkeltfaktor forms login (2) eller tofaktor (3) https://modst.dk/sso/claims/logonmethod username-password-protectedtransport, Kerberos-spnego eller two-factor -Findes ikke i AD Skal populeres efter hvordan brugeren er logget på (kerberos, forms

login eller tofaktor) Name ID (persistent identifier) Indholdet af Findes ikke i Skal oversættes fra userid https://modst.dk/sso/claims/userid AD claim en til et Name ID oversat til Name ID (persistent (transform rule) identifier)

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback