de Active Directory Benutzer (comments)
Um Benutzer an unser comments backend anzubinden, die über Microsoft Active Directory verwaltet werden, ist die Nutzung von Active Directory Federation Services (AD FS) und SAML v2.0 notwendig. Haben Sie bereits AD FS auf Ihrem Server eingerichtet, so folgen Sie bitte folgender Anleitung, um ihr AD an die comments anzubinden: Configure MS ADFS as a Brokered Identity Provider in KeyCloak
Die dafür notwendige Verwaltung von Keycloak erreichen sie unter: https://<SERVER_URL>/auth
Der unter “SETUP IDENTITY PROVIDER IN KEYCLOAK” zu findende Schritt 6 ist optional und bietet in unserem Fall die Möglichkeit, bestehende Attribute in SAML auf die drei in den comments definierten Rollen zu mappen. Im letzten Feld sollte in unserem Fall dann eben statt “manager” entweder “viewer”, “editor” oder “admin” stehen.
Wenn Sie ansonsten der Anleitung gefolgt sind, so gibt es beim Login in die comments nun eine weitere Option:
Wenn Sie nun die untere Option auswählen, so können Sie sich (falls Sie nicht bereits eingeloggt sind) mit einem Benutzer aus dem Active Directory einloggen. Beim ersten Login fragt ein Formular den Vornamen und Nachnamen des zu importierenden Nutzers ab. Um dies zu verhindern, sind weitere Mapper notwendig. Die dafür benötigte Konfiguration in der AD FS Konsole sieht wie folgt aus:
In Keycloak müssen dem SAML Identity Provider noch zwei weitere Mapper hinzugefügt werden:
Nach dieser Konfiguration ist nun nach Login eines Active Directory Nutzers keine weitere Dateneingabe nötig.
Automatischer Login ohne manuelle Auswahl des neuen Identity Providers
Nach dieser Konfiguration muss ein Nutzer beim Login manuell den neuen Identity Provider vom Active Directory auswählen. Um diesen Schritt zu überspringen folgen Sie bitte dem Schritt “default identity provider” in folgender Anleitung: Server Administration Guide