Konfigurieren Sie das lokale Microsoft Active Directory mit Active Directory Federation Service und SAML SSO

Die Konfiguration von Single Sign-On (SSO) über Active Directory Federation Services (AD FS) für Ihr ClickUp-Konto ermöglicht es Benutzern, sich mit Ihrem selbst gehosteten Microsoft-Konto bei ClickUp anzumelden.

Wenn du Microsoft 365 oder Azure Active Directory verwendest, musst du stattdessen unsere Microsoft Single Sign-On Option nutzen.

Was du wissen musst

Konfigurieren Sie das lokale Microsoft Active Directory mit Active Directory Federation Service und SAML SSO

Es gibt fünf Schritte, um SAML SSO für Ihr ClickUp-Konto mit Microsoft Active Directory vor Ort zu konfigurieren.

  1. Sammeln Sie SAML SSO-Details in ClickUp
  2. Relying Party Trust für AD FS konfigurieren
  3. Fügen Sie Regeln zu AD FS hinzu
  4. Signaturzertifikat exportieren
  5. Schließe das Setup in ClickUp ab

Schritt 1: Sammeln Sie SAML SSO-Details in ClickUp

Der erste Schritt besteht darin, SAML SSO-Details in ClickUp zu sammeln.

  1. Klicken Sie auf das Avatar Ihres Workspaces und dann auf Einstellungen.
  2. Wähle Sicherheit & Berechtigungen.
  3. Aus dem Abschnitt Single sign-on (SSO) wählen Sie SAML.
    • Alle vorherigen SSO-Einstellungen in Ihrem Workspace werden überschrieben.
  4. Unter Konfiguration von SAML Single Sign-On finden Sie die folgenden Elemente, die Sie in den nächsten Schritten benötigen werden:
    • SP-Zertifikat
    • Single-Sign-On-URL
    • Audience URL (SP Entity ID)
  5. Kopieren Sie den gesamten SP-Zertifikat -Text und fügen Sie ihn in einen Texteditor ein, wie z.B. VS Code.
  6. Speichern Sie die Datei als clickup.cert.

    Das Sicherheitszertifikat wird nicht funktionieren, wenn der Text des SP-Zertifikats entfernt wird.

Schritt 2: Konfigurieren Sie das Vertrauen der verlassenden Partei für AD FS

Nachdem Sie Ihr Sicherheitszertifikat gespeichert haben, erstellen Sie eine Vertrauensstellung im Windows Server Manager. Dies ermöglicht ClickUp die Verbindung zu Ihrem Active Directory-Deployment

  1. In Windows Server Manager klicken Sie auf Tools und wählen dann AD FS Management aus.
  2. In der Aktionsspalte rechts klicken Sie auf Vertrauenspartei-Vertrauen hinzufügen. Dies öffnet einen Assistenten, der Sie durch den Einrichtungsprozess führt.
  3. Auf der Willkommens -Seite wählen Sie Claims aware und klicken auf Start.
  4. Im Schritt Datenquelle auswählen wählen Sie Manuelle Eingabe der Daten über die vertrauende Partei und klicken Sie auf Weiter.
  5. Fügen Sie einen Anzeigenamen hinzu und klicken Sie dann auf Weiter. Wir empfehlen, dies ClickUp zu nennen.
  6. Klicken Sie im Schritt Zertifikat konfigurieren auf die Schaltfläche Durchsuchen.
  7. Wählen Sie die clickup.cert -Datei, die im vorherigen Schritt erstellt wurde, und klicken Sie auf Weiter.
  8. Im Schritt URL konfigurieren, wählen Sie Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren.
  9. Fügen Sie die URL für Single Sign-On aus dem vorherigen Schritt in das Feld SAML 2.0-Dienst-URL der vertrauenden Partei  ein und klicken Sie auf Weiter.
  10. Im Schritt Konfiguration der Identifikatoren, fügen Sie Ihre Audience URL (SP Entity ID) aus dem vorherigen Schritt in das Feld Vertrauenspartei-Identifikator ein.
  11. Klicken Sie auf Hinzufügen und dann auf Weiter.
  12. Wählen Sie im Schritt Zugriffskontrollrichtlinie auswählen die Option Jedem erlauben und klicken Sie dann auf Weiter. Dies bestimmt, wer sein ClickUp-Konto über SSO authentifizieren kann.
  13. Auf dem Schritt Bereit zum Hinzufügen von Vertrauen klicken Sie auf Weiter und Schließen Sie den Assistenten.

Schritt 3: Regeln zum AD FS hinzufügen

Als Nächstes müssen Sie im Windows Server Manager zwei Regeln zu AD FS hinzufügen. Dies stellt sicher, dass die Integration Lightweight Directory Access Protocol (LDAP)-Attribute als Ansprüche sendet.

  1. Klicken Sie im Windows Server Manager auf Tools.
  2. Wählen Sie AD FS Management.
  3. Im Konsolenbaum unter AD FS, klicken Sie auf Vertrauensstellungen für vertrauende Seiten.
  4. Rechtsklicken Sie auf den Anzeigenamen, der im vorherigen Schritt erstellt wurde, und wählen Sie Richtlinie zur Anspruchserteilung bearbeiten.

Erste Regel hinzufügen

  1. Im Dialogfeld Regeln zur Ausstellungsberechtigung bearbeiten klicken Sie unter dem Tab Transformationsregeln für Berechtigungen auf Regel hinzufügen.
  2. Auf der Seite Regelvorlage auswählen wählen Sie unter Regelvorlage für Ansprüche die Option Senden von LDAP-Attributen als Ansprüche aus der Liste aus und klicken dann auf Weiter.
  3. Auf der Seite Regel konfigurieren geben Sie die folgenden Informationen ein und klicken Sie auf Fertigstellen, um den Vorgang abzuschließen und zum Dialogfeld Richtlinie zur Anspruchserteilung bearbeiten zurückzukehren:
    • 1: Regelname beanspruchen:  ClickUp LDAP
    • 2: Attributspeicher: Active Directory
    • 3: Im LDAP-Attribut: E-Mail Adresse
    • 4: E-Mail-Adresse als ausgehender Anspruchstyp: E-Mail-Adresse

Fügen Sie die zweite Regel hinzu

  1. Klicken Sie auf Regel hinzufügen, um eine zweite Transformationsregel hinzuzufügen. 
  2. Wähle auf der Seite Regelvorlage auswählen unter Regelvorlage für Ansprüche die Option Eingehenden Anspruch umwandeln aus der Liste aus und klicke dann auf Weiter, um fortzufahren. 
  3. Stelle auf der Seite Claim Rule konfigurieren die folgenden Informationen ein und klicke auf Fertigstellen, um den Vorgang abzuschließen.
    • 1: Name der Claim-Regel: E.Mail Adresse als NameID umwandeln
    • 2: Eingehender Anspruchstyp: E-Mail-Adresse.
    • 3: Ausgehender Anspruchstyp: NameID
    • 4: Format der ausgehenden Namens-ID: E-Mail
    • 5: Wählen Sie Alle Anspruchswerte durchlassen.
  4. Im Dialogfeld Edit Claim Issuance Policy klickenSieauf Anwenden ,um beide Regeln anzuwenden.

Schritt 4: Signaturzertifikat exportieren

Jetzt müssen Sie Ihr Signaturzertifikat aus dem Windows Server Manager exportieren. Dies wird oft als X509-Zertifikat bezeichnet. Dies wird verwendet, um Ihre Organisation über Ihren Identitätsanbieter zu verifizieren.

  1. Klicke im Windows Server Manager auf Extras und wähle dann AD FS Management aus.
  2. Erweitere den Ordner Service und wähle dann Zertifikate aus.
  3. Klicken Sie mit der rechten Maustaste auf das Token-Signaturzertifikat und wählen Sie Zertifikat anzeigen

  4. Klicke im Dialogfeld Zertifikat auf die Registerkarte Details.
  5. Klicken Sie auf In Datei kopieren
  6.  Im Zertifikatsexport-Assistenten klicken Sie auf Weiter.
  7. Wähle Base-64 kodiertes X.509 (CER) und klicke auf Weiter.
  8. Benenne deine Zertifikatsdatei adfsdomain.cer und klicke auf Weiter.
  9. Klicken Sie auf Beenden, um das Zertifikat zu exportieren.

    Vergewissere dich, dass sich das Zertifikat auf der Registerkarte Signatur und nicht auf der Registerkarte Verschlüsselung befindet.

AD FS wird das Zertifikat in Ihren konfigurierten Download-Ordner exportieren.

Schritt 5: Schließen Sie den Einrichtungsprozess in ClickUp ab

Jetzt, da Sie alles in AD FS eingerichtet haben, müssen Sie Ihre AD FS-Daten in ClickUp hinzufügen. Für weitere Informationen siehe Benutzerdefinierte SAML Single Sign-On.

  1. Klicken Sie auf das Avatar Ihres Workspaces und dann auf Einstellungen.
  2. Wähle Sicherheit & Berechtigungen.
  3. Wählen Sie im Abschnitt Single Sign-On (SSO) die Option SAML.
  4. Füge die folgenden Informationen aus AD FS zu ClickUp hinzu:
    1. IdP-Entitäts-ID: Damit weiß ClickUp, welchen Identitätsanbieter Sie verwenden.
    2. IdP SSO-Ziel-URL: ClickUp verwendet diesen Link, um eine Verbindung zum Identitätsanbieter herzustellen, wenn jemand aus Ihrer Organisation versucht, sich über SAML SSO anzumelden. Für AD FS sollte es ungefähr so aussehen: https://sso.ihredomain.tld/adfs/ls/
    3. IDP Signing Certificate: Das ist das Zertifikat, das du in Schritt 4 heruntergeladen hast.
      1. Öffnen Sie den Texteditor Ihrer Wahl.
      2. Öffne die Datei adfsdomain.cer, die du in Schritt 4 heruntergeladen hast, mit einem Text Editor.
      3. Kopieren Sie den gesamten Textwert in unseren IDP Public Certificate-Bereich.
    1.  

Tipps zur Fehlerbehebung

Der Fehler Die SAML-Antwort ist noch nicht gültig kann durch ein Problem bei der Synchronisierung der ADFS-Serveruhr mit dem SAML-Zeitstempel verursacht werden.

Um dieses Problem zu lösen, kannst du entweder:

  • Aktualisiere die Uhr des ADFS-Servers auf die Zeitzone deines ClickUp-Workspace
  • Führen Sie den folgenden PowerShell-Befehl aus, der diese Überprüfung ignoriert:Set-AdfsRelyingPartyTrust -TargetName Clickup -NotBeforeSkew 5

War dieser Beitrag hilfreich?