TiMaS-Auth Einrichtung mit ADFS

Die Offizielle Dokumentation von ADFS finden Sie hier

Voraussetzungen

• Zugriff auf Ihren AD-Controller
• Zugriff auf einen Admin-Account Ihrer TiMaS
• Der AD-Controller muss aus dem Internet erreichbar sein
• Jedem AD-Benutzer muss eine eindeutige E-Mail zugeordnet sein (Eigenschaften > Allgemein > E-Mail)
• Jedem Mitarbeiter, welcher sich über ADFS an der TiMaS anmelden können soll, muss im Personalstamm der TiMaS (zu finden unter Stammdaten > Personal) unter Allgemein > Kontaktdaten die E-Mail Adresse zugeordnet sein, welche ihm im AD zugeordnet ist

Hinzufügen einer Applikation bei ADFS

1. Öffnen Sie das Programm AD FS-Verwaltung auf Ihrem AD-Controller
2. Wählen Sie in der linken Menüleiste den Menüpunkt Anwendungsgruppen
3. Wählen Sie in der rechten Menüleiste den Menüpunkt Anwendungsgruppe hinzufügen...

4. Geben Sie der Applikation im Eingabefeld Name einen Namen, zum Beispiel TiMaS-Auth
5. Wählen Sie unter Vorlage den Eintrag Serveranwendung mit Zugriff auf eine Web-API
6. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

7. Speichern Sie sich den unter Client-ID angezeigten Wert
8. Fügen Sie der Liste Umleitungs-URI den Wert
   https://auth.timas.cloud/api/auth/timas/callback/adfs
   hinzu
9. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

10. Aktivieren Sie die Checkbox Gemeinsamen geheimen Schlüssel generieren
11. Speichern Sie sich den unter Geheimer Schlüssel angezeigten Wert
12. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

13. Fügen Sie der Liste Bezeichner die im Schritt 7 gespeicherte Client-ID hinzu
14. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

15. Wählen Sie die gewünschte Zugriffssteuerungsrichtlinie aus
16. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

17. Wählen Sie in der Liste die Zulässigen Bereiche allatclaims und email aus
18. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

19. Klicken Sie zwei weitere Male auf die unten rechts liegende Schaltfläche Weiter und anschließend auf Schließen
20. Wählen Sie in der Liste von Anwendungsgruppen die eben erstellte aus
21. Wählen Sie in der rechten Menüleiste im Bereich der erstellten Anwendungsgruppe den Menüpunkt Eigenschaften

22. Wählen Sie unter Anwendungen die erstellte Web-API aus
23. Klicken Sie auf die unten rechts angezeigte Schaltfläche Bearbeiten...

24. Wählen Sie in der oben angezeigten Tabgruppe den Tab Ausstellungstransformationsregeln
25. Klicken Sie auf die unten links angezeigte Schaltfläche Regel hinzufügen...

26. Wählen Sie unter Anspruchsregelvorlage den Wert LDAP-Attribute als Ansprüche senden
27. Klicken Sie auf die unten rechts liegende Schaltfläche Weiter

28. Geben Sie der Regel unter Anspruchsregelname einen Namen, beispielsweise E-Mail Claim
29. Wählen Sie unter Attributsspeicher den Wert Active Directory
30. Wählen Sie in der ersten Tabellenspalte (LDAP-Attribut [...]) den Wert E-Mail-Addresses
31. Wählen Sie in der zweiten Tabellenspalte (Ausgehender Anspruchstyp [...]) den Wert E-Mail Address
32. Klicken Sie auf die unten rechts angezeigte Schaltfläche Fertig stellen

33. Klicken Sie zweimal auf die unten rechts angezeigte Schaltfläche OK

Registrierung der Applikation in der TiMaS

1. Öffnen Sie Ihre TiMaS und melden Sie sich mit einem Administrator-Benutzerkonto an
2. Klicken Sie in der Menüleiste auf System
3. Klicken Sie innerhalb des aufgeklappten Menüpunktes auf TiMaS-Auth Konfiguration

4. Wählen Sie im geöffneten Fenster unter Provider die Option ADFS
5. Geben Sie unter Client ID die im Schritt 7 gespeicherte Client-ID ein
6. Geben Sie unter Client Secret den im Schritt 11 gespeicherten Geheimen Schlüssel ein
7. Geben Sie unter Issuer die Addresse ein, unter welcher Sie normalerweise Ihr ADFS erreichen (meist Adresse des AD-Controllers gefolgt von /adfs, also z.B. https://ad.example.com/adfs)
8. Klicken Sie auf die links unten angezeigte Schaltfläche Einstellungen Speichern