OpenID Connect (OIDC) für ADFS
Integration mit OpenID Connect (OIDC) für ADFS
Klicken Sie im AD FS-Management auf "Anwendungsgruppen" und dann auf "Anwendungsgruppe hinzufügen…"
Geben Sie einen Namen ein, wählen Sie "Serveranwendung, die auf eine Web-API zugreift" und klicken Sie dann auf Weiter
Geben Sie die Umleitungs-URI aus SUSE® Security Einstellungen > OpenID Connect-Einstellungsseite ein und klicken Sie dann auf Weiter
Aktivieren Sie das Kontrollkästchen "Gemeinsames Geheimnis generieren" und klicken Sie dann auf Weiter
Geben Sie die im vorherigen Schritt erstellte Kennung ein und klicken Sie dann auf Weiter
Aktivieren Sie die Scopes allatclaims, email, openid und Profil und klicken Sie dann auf Weiter
Doppelklicken Sie auf eine Anwendungsgruppe, die Sie zuvor erstellt haben
Doppelklicken Sie auf Web-API und klicken Sie dann auf die Registerkarte Ausgabe-Transformationsregeln
Klicken Sie auf Regel hinzufügen… und wählen Sie "LDAP-Attribute als Ansprüche senden" und klicken Sie dann auf Weiter
Geben Sie einen Namen für die Anspruchsregel ein, wählen Sie Active Directory als Attributspeicher und geben Sie die Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen wie unten an
-
Token-Gruppen — Unqualifizierte Namen → Gruppen
-
Benutzerprinzipalname → bevorzugter_Benutzername
-
E-Mail-Adresse → email
SUSE® Security setup
-
Identitätsanbieter-Aussteller: "https://<adfs-fqdn>/adfs"
-
Client-ID: Es ist ein "Client-Identifikator", der im Dialog "Serveranwendung" im "Assistenten zum Hinzufügen von Anwendungsgruppen" angezeigt wird.
-
Client-Geheimnis: Es ist ein Geheimnis, das im Dialog "Anwendungsanmeldeinformationen konfigurieren" im "Assistenten zum Hinzufügen von Anwendungsgruppen" angezeigt wird.
-
Gruppenanspruch: Gruppen
