Introduksjon

Mikromarc 3 støtter autentisering av Active Directory brukere ved hjelp av AD FS (Active Directory Federation Server) ved hjelp av OAuth 2.

Denne artikelen beskriver hvordan en AD FS (Active Directory Federation Server) server og Mikromarc database skal konfigureres for å kunne bruke Active Directory som innloggingstjener.

Dokumentet beskriver IKKE hvordan AD FS installeres, dette er ganske rett fram installasjon via Windows.

Systemkrav

• Active Directory Domene
• Windows Server 2012R2 eller nyere
• AD FS 3.0 eller nyere
  • En del av Windows Server 2012R2

Mikromarc 3 konfigurasjon av AD FS

Konfigurasjon på AD FS server er todelt, en for selve AD FS og en for å tillate OAuth 2 anrop.

AD FS

Tekst i "" er navn på elementer som vises på skjerm. Tekst som er Italic er tekst som skal legges inn.

1. Åpne "AD FS Management"

2. Gå til "Trust Relationships"->"Relying Party Trusts"

3. Velg "Add Relyin Party Trust..." under "Actions" -> "AD FS"

4. I "Select Data Source" velg "Enter data about the relying party manually" 5. I "Specify Display Name" angi ett beskrivende navn (f.eks. Mikromarc 3)

1. Legg inn evt. "Notes" om ønskelig

6. Gå videre til "Configure Identifiers" og legg til urn:mikromarc.no:mikromarc3client i "Relying party trust identifier" og klikk "Add"

7. Gå videre til "Finish" og marker "Open the Edit Claim Rules Dialog for this relying party trust when the wizard closes"

8. I "Edit Claim Rules for <xxx>" klikk "Add Rule..."

9. Under "Choose Rule Type" velg "Send LDAP Attributes as Claims" i "Claim rule template"

10. I "Configure Claim Rule"

1. Gi ett beskrivende navn i "Claim rule name"
2. Velg "Active Directory" i "Attribute Store"
3. I "Mapping of LDAP attributes to outgoing claim types" legg til en claim

• "LDAP Attribute" velg ett attributt som identifiserer brukere unikt. Eksempler på hva som kan bli brukt:
  • SAM-Account-Name er brukernavnet på en person, dette er IKKE unikt over ulike domener
  • User-Principal-Name er fullstendig navn + domene (i formatet: <brukernavn>@<domene>), dette er unikt over ulike domener
• "Outgoung Claim Type" velg UPN

Nå er AD FS server konfigurert for å kunne autentisere en innloggingstjener

OAuth 2

Konfigurasjon av OAuth 2 gjøres via PowerShell via en PowerShell kommando: Add-ADFSClient -Name "OAuth for Mikromarc 3" -ClientId "da5b4b3d-ddb5-4a29-9f62-60b675e85a82" -RedirectUri "http://mikromarc.no/mikromarc3/oauth_callback"

Refresh Token

Per i dag bruker ikke Mikromarc 3 refresh tokens, men det kan være at dette kommer til å bli aktuelt senere så for å forberede dette kan følgende PowerShell kommando kjøres: Set-AdfsRelyingPartyTrust -TargetName "<Det navn som ble gitt tidligere i punkt 5>" -IssueOAuthRefreshTokensTo AllDevices

Aktiver Forms authentication for intranet løsninger

OBS: Bør bare gjøres om Windows Authentication IKKE fungerer, ellers la standard innstillinger være som de er.

I visse tilfeller fungerer det ikke å kjøre Windows Authentication som autentiseringsregel på ADFS serveren, så derfor må man tvinge frem Forms Authentication.

1. Åpne "AD FS Management"
2. Gå til "Authentication Policies"
3. Velg "Edit Global Primary Authentication..." under "Actions" -> "Authentication Policies"
4. Under Intranet, aktiver Forms Authentication og ta bort Windows Authentication

Mikromarc 3 konfigurasjon

All Single SignOn konfigurasjon ligger i Mikromarc i property systemet under UNIT.

All konfigurasjon kan ligge under enhet 0, men alt foruten "Active" flagget kan også legges per enhet om man ønsker å ha ulike inloggings steder for ulike enheter i databasen.

Konfigurasjonen ligger under UNIT\<ENHETID>\SSO

Følgende er gyldige konfigurasjonsparametere: • Active o OBS: BARE gyldig under enhet 0 o Sett til True eller 1 om databasen støtter SSO • ServerUrl o Må settes o Kan settes per enhet, men går også på enhet 0 o URL til AD FS server o Eksempel: https://<somedomain>/adfs • IgnoreCertificateErrors o Valgfri o Kan settes per enhet o Sett til True eller 1 om sertifikat feil skal ignoreress o OBS!!! DET BLIR SETT PÅ SOM ETT STORT SIKKERHETSPROBLEM Å KJØRE AD FS MED SELF-SIGNED ELLER UTEN GYDLIG SSL SERTIFIKAT!! • ADFSSigningCertificate o Valgfri o Kan settes per enhet  OBS: Om ServerUrl er på enhetsnivå må denne også (om nødvendig) settes per enhet o Skal settes til en BASE64 Encoded streng av sertifikatet, dette kan finnes ved å følge disse steg: 1. Via en webleser gå til https://<server dns>/FederationMetadata/2007-06/FederationMetadata.xml 2. I XML dokumentet finn "RoleDescriptor" med type "fed:SecurityTokenServiceType" og underelmentet "KeyDescriptior" med "use" satt til "Signing" 3. Under dette elementet kopier inneholdet av "X509Certificate" elementet og legg inn i "ADFSSigningCertificate" • ADFSSigningCertificateIssuer o Valgfri o Kan settes per enhet  OBS: Om ADFSSigningCertificate er satt MÅ denne også settes o Skal settes til en streng som identifierer Issuer, detta kan finnes ved å følge disse steg: 1. Via en webleser gå til https://<server dns>/FederationMetadata/2007-06/FederationMetadata.xml 2. I XML dokumentet på første elementet ("EntityDescriptor") finn "EntityID" og legg verdien av dette i "ADFSSigningCertificateIssuer"

VIKTIG: OM ikke "ADFSSigningCertificate" settes, så vil Mikromarc prøve å lese sertifikatet fra server. Det er anbefalt å IKKE sette "ADFSSigningCertificate"/"ADFSSigningCertificateIssuer" og la Mikromarc ta seg av hentingen av dette, men i visse miljøer der AD FS server ikke er tilgjengelig for Mikromarc server, så må "ADFSSigningCertificate"/"ADFSSigningCertificateIssuer" settes