soljah
Goto Top

Probleme bei SSO mittels ADFS

Hallo zusammen,

Wie der Titel schon sagt, habe ich ein paar Probleme (vielleicht fehlt mir auch nur ein wenig Verständniss) mit ADFS (Active Directory Federation Services) und ich hoffe das mir hier jemand helfen, oder den richtigen Denkanstoß geben kann.

Konkret geht es darum sich bei dem Tool/Website "Solarwinds Web Help Desk" über ADFS / Saml zu authentifizieren.
Ich habe eine wirklich sehr kurze Anleitung auf http://knowledgebase.solarwinds.com/kb/questions/4204/How+To+Configure+ ... gefunden.
Weiters habe ich jetzt schon mehrere Tage div Tutorials zu ADFS SSO gelesen, geschaut und mitgemacht.

Eigentlich funktioniert das SSO und ich authentifiziere mich am Help Desk mit den Anmeldeinformationen von Windows. Das ganze funktioniert aber nur über diesen Link: https://adfs.firma.local/adfs/ls/IdpInitiatedSignOn.aspx -> dort wähle ich dann "Helpdesk" aus - und ich werde auf die WebhelpDesk Seite weitergeleitet und auch angemeldet.

Meinem Verständnis nach, müsste / sollte es doch auch funktionieren, wenn ich direkt die Webhelpdesk Seite aufrufe. Im WebhelpDesk - habe ich ADFS konfiguriert und wenn ich den Link https://helpdesk.firma.local aufrufe werde ich auch zum ADFS Server weitergeleitet. Es kommt auch das Anmeldefenster (von "Windows") , nur wenn ich hier meine Daten eingebe, bzw den IE so einstelle dass sie automatisch weitergegeben werden, werde ich nicht wieder zurück auf die Webhelpdesk Seite geleitet, sondern bekomme den im Bild ersichtlichen Fehler.
5eda31fae6e5602933933f32b0b93f0d

Hat hier eventuell jemand eine Idee warum das so ist, bzw wieso mein ADFS nicht wieder zurück auf die Helpdeskseite verweist ?
Falls ihr für eine Antwort noch Zusatzinformationen benötigt lasst es mich wissen.

Ich bin für jeden Tipp dankbar


edit: Der Fehler kommt auch wenn ich z.B. https://adfs.firma.local/adfs/ls/irgendeineadressedieesnichtgibt eingebe. - also wird zwar auf irgendetwas weitergeleitet (denke ich) aber ich habe keine Ahnung auf was - aus der URL ist nichts herauszufinden und alle Einstellungen im ADFS haben die richtige Helpdeskadresse eingetragen.

Content-Key: 213505

Url: https://administrator.de/contentid/213505

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: Dani
Dani 06.08.2013 um 18:05:47 Uhr
Goto Top
Moin,
kannst du bitte kurz aufzeichnen wie deine Infrastruktur aussieht? Sprich stehen WHD, ADFS im LAN nebeneinander oder gibt es noch einen ADFS-Proxy, etc...?! Laufen ADFS und WHD auf einem Server, sprich IIS oder seperate Server (Stichwort: Tomcat). Einfach die Rahmendaten damit wir uns das nicht ausdenken müssen.

Zitat von Solarwinds:
Active Directory Federation Services (AD FS) implements SAML 2.0, which is supported in Web Help Desk 10.2.0.22 and later. 

Was mich in deinem Link wundert, sind die Aussagen:
Identifier:https://www.mydomain.com/helpdesk/WebObjects/Helpdesk.woa
Signature: use the same certificate as above
D.h. würde heißen, beides läuft auf einem Server. Ansonsten kann ich doch nicht das selbe Zertifikat nutzen.


Grüße,
Dani
Mitglied: soljah
soljah 06.08.2013 um 20:12:59 Uhr
Goto Top
Hallo,

Sry, das hatte ich vergessen zu erwähnen.

Der WHD läuft auf einem Linux Server, das Programm hat einen integrierten Webserver (es ist kein Apache installiert)
ADFS läuft auf einem W2k8r2 und der DC ist ebenfalls ein eigener W2k8r2 Server.

Jetzt wo du das mit dem Zertifikat erwähnst, kling es schon komisch face-smile, muss das Morgen nochmal checken. Habe einfach das Cert vom ADFS exportiert und per Webinterface auf den WHD hochgeladen (so steht es ja in der Anleitung face-smile )

Alles zusammen ist eine Virtuelle Testumgebung um das ganze mal auszuprobieren, bevor ich/wir auf die Produktivserver gehen.
Alles ist im selben LAN und es gibt auch keinen Proxy

Wie gesagt, theoretisch bzw auch praktisch funktioniert das SSO ja, nur eben nicht wenn ich die WHD Seite aufrufe, wenn ich mich direkt an den ADFS wende und dort dann den Link auf den WHD auswähle funktioniert alles wunderbar.
Mitglied: soljah
soljah 07.08.2013 um 14:17:00 Uhr
Goto Top
So, falls es jemand interessiert, ich bin endlich auf die Lösung gekommen.

Eigentlich ein recht dummer Fehler, aber den muss man dann auch erst mal finden face-smile

Also: Das Problem lag nicht am ADFS sondern am WHD -> in den Settings bei WHD steht Server DNS Name - und ich hab das beim Einrichten natürlich nur "überflogen" und den DNS Server Namen eingetragen. Wenn jetzt ADFS versucht hat auf WHD zurückzuleiten, wurde auf den DNS Server weitergeleitet, da in der Metadaten.xml die vom WHD mitgeschickt wurde eine falsche URL : also z.B. https://dns1.firma.loca /..... usw eingetragen war. - Deshalb kam dann der im ersten Post ersichtliche Fehler.

Danke dennoch.


Vl hilfts nochmal jemanden wenn es hier steht face-smile