Lernen Sie, wie Sie Meisterplan mit Active Directory Federation Services (ADFS) verbinden, um SSO über SAML 2.0 zu aktivieren.
- Relying Party Trust in ADFS hinzufügen
- Identity-Provider-Daten in Meisterplan eintragen
- Benutzer in Meisterplan hinzufügen
- Über ADFS bei Meisterplan anmelden
Relying Party Trust in ADFS hinzufügen
Als Erstes fügen Sie in ADFS ein neues Relying Party Trust für Meisterplan hinzu. Dafür nutzen Sie die in Meisterplan herunterladbare XML-Datei mit den Service-Provider-Daten.
Schritt 1: Öffnen Sie in Meisterplan die SAML-Konfigurationunter Verwalten > Benutzer > Konfigurieren. Falls noch keine Daten zu sehen sind, klicken Sie auf SAML aktivieren.
Schritt 2: Klicken Sie auf SP-Konfiguration herunterladen >Metadaten-Datei (.xml) herunterladen und speichern Sie die XML-Datei:
Schritt 3: Fügen Sie in ADFS einen neuen Relying Party Trust hinzu, wie bei Microsoft beschrieben. Beim Schritt Select Data Source wählen Sie die Option Import data about the relying party from a file, klicken auf Browse... und wählen Sie dann den Speicherort der in Schritt 2 heruntergeladenen XML-Datei:
Klicken Sie dann auf Next.
Schritt 4: Schließen Sie die Einrichtung des Relying Party Trusts wie bei Microsoft beschrieben ab. Setzen Sie im letzten Schritt den Haken bei Configure claims issuance policy for this application, bevor Sie auf Close klicken:
Dadurch öffnet sich ein Fenster mit der Claims Issuance Policy für den neu hinzugefügten Relying Party Trust.
Schritt 5: Fügen Sie eine neue "Transform Claim"-Regel hinzu, indem Sie auf Add Rule klicken:
Schritt 6: Wählen Sie unter Claim rule template abhängig von Ihrem ADFS-Setup eine Vorlage für die neue Regel. Hier sehen Sie beispielhaft, welche Vorlage bei Authentifizierung über Active Directory ("AD based authentication") gewählt wird:
Schritt 7: Konfigurieren Sie die Regel abhängig von Ihrem ADFS-Setup. Hier sehen Sie beispielhaft die Authentifizierung über Active Directory ("AD based authentication"):
In dem Beispiel werden LDAP-Attribute auf SAML-Felder gemappt. Wählen Sie links unter LDAP Attribute das Attribut, das dem Meisterplan Benutzernamen (z.B. "simon.balder@ihrefirma.de" oder "simon") entspricht, und rechts unter Outgoing Claim Type das SAML-Feld NameID.
Bestätigen Sie dann mit Finish und OK.
Schritt 8: Öffnen Sie die Eigenschaften des Relying Party Trusts per Rechtsklick und wählen Sie dann Properties:
Schritt 9: Wählen Sie das Register Endpoints und klicken Sie auf Add SAML:
Schritt 10: Geben Sie unter Trusted URL eine URL nach dem Schema <ihredomain>/adfs/ls/?wa=wsignout1.0 ein:
Die Angabe einer Response URL ist optional - auf diese werden Benutzer nach dem Abmelden weitergeleitet.
Bestätigen Sie zum Schluss mit OK.
Identity-Provider-Daten in Meisterplan eintragen
Jetzt tragen Sie die von ADFS bereitgestellten Identity-Provider-Daten in Meisterplan ein.
Schritt 1: Öffnen Sie in ADFS unter Certificates > Token-signing das neue Zertifikat, wechseln Sie zum Reiter Details und klicken Sie dann auf Copy to File:
Schritt 2: Folgen Sie den Schritten des Export-Wizards und wählen Sie beim Schritt Export File Format die Option Base-64 encoded X.509 (.CER). Speichern Sie die Datei ab.
Schritt 3: Öffnen Sie die Datei mit einem beliebigen Texteditor (z.B. Notepad), kopieren Sie den Inhalt und fügen Sie ihn in der SAML-Konfiguration von Meisterplan im Feld Identity Provider X.509 Certificate ein. Tragen Sie außerdem die Identity Provider Entity ID, die SSO-URL und die SLO-URL nach folgendem Schema in die entsprechenden Felder in Meisterplan ein:
- Identity Provider Entity ID: <ihredomain>/adfs/services/trust
- SSO URL: <ihredomain>/adfs/ls
- SLO URL: <ihredomain>/adfs/ls/?wa=wsignout1.0
Klicken Sie zu Abschluss auf Konfiguration speichern.
Benutzer in Meisterplan hinzufügen
Für alle Benutzer, die sich über ADFS bei Meisterplan anmelden sollen, müssen Sie auch entsprechende Benutzerkonten in Meisterplan erstellen. Es ist nicht möglich, Benutzer per Autoprovisionierung zu verwalten.
In Meisterplan fügen Sie Benutzer unter Verwalten > Benutzer hinzu und legen die Zugriffsrechte unter Verwalten > Benutzergruppen fest. Weitere Details zur Zugriffsverwaltung finden Sie in den Artikeln Benutzer verwalten und Benutzergruppen verwalten.
Über ADFS bei Meisterplan anmelden
Um sich als Benutzer über ADFS bei Meisterplan anzumelden, geben Sie eine URL nach dem Schema https://eu.meisterplan.com/<ihrsystem> ein. Diese leitet auf die Anmeldeseite von ADFS um.
Administratoren können sich weiterhin über eine URL nach dem Schema https://eu.meisterplan.com auch ohne Single Sign-On bei Meisterplan anmelden.
Weitere Details zur Anmeldung über SSO finden Sie im Artikel Anmeldung.