Breadcrumbs

Single Sign-On einrichten (ADFS)

Wichtig: wenn Sie sich über declaree.de anmelden, dann müssen jegliche Einstellungen ebenfalls über declaree.de statt declaree.com durchgeführt werden.

Schritt 1: Einrichten von Declaree

  1. Melden Sie sich bei Ihrem Declaree-Konto an und gehen Sie zu Konfiguration > Single Sign-on.

  2. Geben Sie einen Subdomänennamen ein. Dies ist normalerweise der Name Ihres Unternehmens. Klicken Sie dann auf "Speichern".

att_1_for_1606256236.jpeg

  1. Gehen Sie zum SAML-Tab und geben Sie die folgende URL unter "Föderations-Metadaten-URL" ein. Stellen Sie sicher, dass Sie "adfs.firmenname.de" durch Ihre eigene ADFS-Domäne ersetzen. Klicken Sie dann auf das Aktualisierungssymbol. Die Aussteller-ID, die SSO-Login-URL und das Zertifikat werden automatisch mit den benötigten Informationen ausgefüllt.

https://adfs.firmenname.de/federationmetadata/2007-06/federationmetadata.xml

  1. Aktivieren Sie SAML 2.0.

  2. Klicken Sie auf "Speichern".

  3. Laden Sie die Föderationsmetadaten (SP) herunter. Sie benötigen diese Datei für den nächsten Schritt.

att_12_for_1606256236.png

Schritt 2: Hinzufügen eines “Relying Party Trusts”


  1. Melden Sie sich am ADFS-Server an.

  2. Starten Sie die Konsole "AD FS-Verwaltung".

att_17_for_1606256236.png

3. Auf der linken Seite wählen Sie “Relying Party Trusts”

att_13_for_1606256236.png

4. Per Rechtsklick wählen Sie dann “Add Relying Party Trust…”

att_16_for_1606256236.png

  1. Oder wählen Sie den Ordner "Relying Party Trust" im AD FS-Management aus und fügen Sie über die Aktionen-Seitenleiste rechts einen neuen Relying Party Trust hinzu.

att_4_for_1606256236.png

  1. Auf dem Bildschirm "Datenquelle auswählen":
    Daten über den Vertrauensstellungs-Partner aus einer Datei importieren.
    Klicken Sie auf "Durchsuchen" und wählen Sie die Declaree-Föderationsmetadaten-Datei aus, die Sie im Schritt 1 gespeichert haben. ("Declaree-Metadata.xml")


att_5_for_1606256236.png

  1. Auf dem nächsten Bildschirm geben Sie einen Anzeigenamen ein, den Sie in Zukunft wiedererkennen werden.

att_14_for_1606256236.png

  1. Auf dem folgenden Schirm sollten Sie alle Ausgangseinstellungen so belassen wie sie sind.

att_6_for_1606256236.png

  1. Auf dem nächsten Bildschirm wählen Sie: Allen Benutzern den Zugriff auf diesen Vertrauensstellungs-Partner gestatten.

att_7_for_1606256236.png

10. Auf den folgenden Seiten werden Ihnen noch einmal alle Einstellungen gezeigt. Klicken Sie: Next

att_15_for_1606256236.png

  1. Verwenden Sie auf dem letzten Bildschirm die Schaltfläche "Schließen", um den Assistenten zu verlassen, und öffnen Sie den Regel-Editor.

att_8_for_1606256236.png

Schritt 3: Erstellen von Anspruchsregeln

Falls Sie den Dialog für Anspruchsregeln nicht aus den vorherigen Schritten geöffnet haben, führen Sie diese Schritte aus, um die Anspruchsregeln zu bearbeiten:

  1. Melden Sie sich am ADFS-Server an.

  2. Starten Sie die "AD FS Management"-Konsole.

  3. Öffnen Sie den Ordner "AD FS" > "Vertrauensbeziehungen" > "Vertrauensstellungen für Partner".

  4. Wählen Sie den Vertrauensstellungs-Partner aus, den Sie für Declaree erstellt haben.

  5. Klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Sie "Anspruchsregeln bearbeiten".

  6. Standardmäßig wird der Editor für Anspruchsregeln geöffnet, sobald Sie das Vertrauen erstellt haben. Um eine neue Regel zu erstellen, klicken Sie auf "Regel hinzufügen".

att_2_for_1606256236.png

  1. Wählen Sie die Regel "LDAP-Attribute als Ansprüche senden" aus.

att_9_for_1606256236.png

  1. Auf dem nächsten Bildschirm führen Sie folgende Schritte aus:
    Geben Sie einen Wert im Feld "Anspruchsregelname" ein, an den Sie sich erinnern können.
    - Attributspeicher = Active Directory
    - Fügen Sie Regeln mit folgender Zuordnung hinzu:

i. E-Mail-Addresses <–> E-Mail-Adresse

ii. Given-Name <-> Vorname

iii. Surname <-> Nachname

iv. Token-Groups – Unqualified Names <-> Gruppe (Diese Zuordnung ist optional, falls Sie Gruppen in Declaree eingeben möchten)

att_3_for_1606256236.png

  1. Klicken Sie auf "Fertig stellen" oder "OK", um die neue Regel zu speichern.

  2. Erstellen Sie eine weitere neue Regel, indem Sie auf "Regel hinzufügen" klicken. Wählen Sie dieses Mal: "Transformieren eines eingehenden Anspruchs" als Vorlage aus.

att_10_for_1606256236.png

  1. Auf dem nächsten Bildschirm:

Geben Sie einen Wert im Feld "Anspruchsregelname" ein, an den Sie sich erinnern können.

Wählen Sie "E-Mail-Adresse" als den eingehenden Anspruchstyp aus.

Für den ausgehenden Anspruchstyp wählen Sie "Name-ID" aus.

Für das ausgehende Name-ID-Format wählen Sie "E-Mail" aus.

Lassen Sie die Regel auf dem Standardwert "Alle Anspruchswerte durchreichen".

att_11_for_1606256236.png

  1. Klicken Sie abschließend auf "OK", um die Anspruchsregel zu erstellen, und dann erneut auf "OK", um das Erstellen der Regeln abzuschließen.

Schritt 4: Testen der Verbindung

  1. Gehen Sie zu companyname.declaree.de und stellen Sie sicher, dass Sie "companyname" durch Ihren im Schritt 1 gewählten Subdomänennamen ersetzen.

  2. Der Browser leitet Sie nun zur Anmeldeseite Ihres Unternehmens weiter.

  3. Melden Sie sich mit Ihrem Benutzerkonto an. Stellen Sie sicher, dass dieses Konto in Declaree aktiv ist.

  4. Nach erfolgreichem Login werden Sie zur Seite Ihrer Ausgaben in Declaree weitergeleitet.

Mögliche Probleme

Nützliche Informationen finden Sie im "Ereignisprotokoll" Ihres ADFS-Servers:
a. Starten Sie die "AD FS Management"-Konsole.
b. Wählen Sie "Tools" > "Ereignisanzeige".
c. Öffnen Sie das Menü "Anwendungs- und Dienstprotokolle" > "ADFS" > "Admin".

500 Internal Server Error auf /saml/sp/acs.

A: IssuerID stimmt nicht überein:
Die als Teil der SAML-Antwort gesendete Issuer-ID stimmt nicht mit der in Declaree festgelegten Issuer-ID überein. Stellen Sie sicher, dass http oder https korrekt eingestellt ist und die Namen übereinstimmen. Der Wert ist case-sensitive.

B: Signatur konnte nicht überprüft werden
Stellen Sie sicher, dass das hochgeladene Zertifikat ein Signaturzertifikat ist und nicht abgelaufen ist.