Zwei-Faktor Authentifizierung
für Microsoft Office 365 Logins (ADFS)

ZENTRALE BENUTZERVERWALTUNG ÜBER IHR ACTIVE DIRECTORY GESCHÜTZT DURCH DEN INHOUSE ZWEI-FAKTOR AUTHENTIFIZIERUNGSSERVER


Erfahren Sie, warum unsere Zwei-Faktor Authentifizierung die Beste ist und Sie die Sicherheit Ihres Unternehmens upgraden sollten. Für Entwickler haben wirhier Informationen zusammengetragen.

Erfahren Sie mehr über Inhouse-Installationen und Ihre individuelle Firmen-App mit Ihrem Corporate Design.

Downloaden Sie das Plugin kostenlos in der Cloud für bequemen und sicheren Schutz.

Active Directory Federation Services werden genutzt, wenn in Unternehmen lokal betriebene Benutzerverwaltungen (zum Beispiel Active Directory oder LDAP) für die Authentifizierung für Cloud- und Webservices (wie zum Beispiel Office 365) genutzt werden.

Doch der Komfort für Unternehmen und Teams kommt mit zusätzlichen Sicherheitsrisiken. Nur ein unzureichend geschützter Nutzeraccount reicht aus, um an zahlreiche sensible Unternehmensdaten zu gelangen.

Wie kann man also den Zugang zu Cloud angeboten sicher schützen und gleichzeitig die Authentifizierung einfach und Compliance hoch halten?

Nutzen Sie Ihr lokales Active Directory für die Authentifizierung an Cloud Services und sichern Sie den Zugriff mit Ihrem Inhouse SecSign ID Zwei-Faktor Authentifizierungsservers ab.

Es wird eine Umleitung über das Active Directory geführt, geschützt durch den Inhouse SecSign ID Server. Die Authentifizierung findet auf dem lokalen SecSign ID Server statt.
Durch diese Vorgehensweise können weiterhin alle Nutzer lokal und zentral im Active Directory verwaltet und kontrolliert werden.Es werden niemals sensible Daten an den Cloud-Dienst übertragen.
Sie möchten den Login mit unserem ADFS gegen unsere Testumgebung einmal ausprobieren?

Kontaktieren Sie uns


SECSIGN ID IDENTITY FEDERATION



Erfahren Sie mehr über das SecSign ID Identity Federation System für Cloud Lösungen:
Sicherer Schutz für alle Logins und komfortable Verwaltung für ALLE Nutzer und ALLE Dienste

Sichere Logins waren noch nie so einfach

Mit der SecSign ID für Office 365 Logins. Schützen Sie den Zugriff auf Ihren Computer mit unkomplizierter Touch-Authentifizierung und intuitiven und individuellen Regeln zur Authentifizierung Compliance kann einfach erzwungen werden und Attacken auf Ihre Unternehmenslogins sind unmöglich.
Das folgende Video gibt Ihnen einen Einblick über den Ablauf der Authentifizierung. Die komplexen Schritte können in wenigen einfachen Schritten integriert werden.


Testen Sie die Zwei-Faktor Authentifizierung für den Office 365 Login. Mit Ihrer SecSign ID können Sie in unserer Testumgebung die Funktionalitäten testen.

Kontaktieren Sie uns


Inhaltsverzeichnis


    Das SecSign ID Plugin bietet eine echte Zwei-Faktor-Benutzerauthentifizierung (2FA) und fügt eine zusätzliche Sicherheitsschicht hinzu, indem es das mobile Gerät des Nutzers als zusätzlichen physischen Token mit in die Authentifizierung einbindet.

    1. Installation

    Das Standard-Vorgehen für die Integration mit Microsoft Office 365 werden im Folgenden beschrieben.

    1Starten Sie den Server Manager auf dem Windows Server, Fügen Sie Rollen und Eigenschaften hinzu. Bitte wählen Sie die folgenden Optionen zusätzlich zu den standardmäßig ausgewählten Optionen aus:

    1. Server roles:
      • Active Directory Domain Services
      • Active Directory Federation Services
      • Web Server (IIS)
    2. Features:
      • .NET Framework 4.5 (4.6 on Windows Server 2016) Features
        • ASP.NET 4.5
    3. Role services for Web Server (IIS)
      • Application Development
        • ASP.NET 4.5 (4.6 on Windows Server 2016)

    2Promoten Sie den Server zu einem Domain Controller, falls Sie das nicht schon getan haben.

    3Installieren Sie das aktuelle Oracle Java Run Time Environment (zu finden hier: https://java.com/)

    4Fügen Sie die SecSign ID Nutzerattribute zum Active Directory hinzu
    5Importieren Sie das HTTPS Zertifikat auf den Windows Server.

    • Kopieren Sie Ihren privaten Key und das HTTP Zertifikat zusammengefasst in einer p12 Date (pfx) auf den Server und wählen Sie es mit einem Doppelklick aus.
    • Wählen Sie “Local Machine” als Speicherort aus.
    • Bestätigen Sie die vorgeschlagenen Optionen und bestätigen Sie die Installation des Zertifikats.

    6Installieren Sie die importierten Zertifikate für HTTPS beim Web Server (IIS).

    • Wählen Sie das Windows Startmenü aus und klicken Sie auf “Windows Administrative Tools”
    • Wählen Sie den Internet Information Services (IIS) Manager mit einem Doppelklick aus.
    • Wählen Sie die Webseite in der Liste auf der linken Seite mit einem Rechtsklick aus.
    • Wählen Sie Select Edit Bindings aus.
    • Fügen Sie “https” hinzu und wählen Sie das TLS (SSL) Zertifikat.

    7 Melden Sie sich für eine kostenlose Testversion oder eine kostenpflichtige Mitgliedschaft für Microsoft Office 365 an.

    • Navigieren Sie zum Office 365 Admin Panel unter: https://portal.office.com/adminportal/home#/homepage
    • Fügen Sie eine Domain hinzu
    • Eine Software Installation (wie bei Microsoft Word) oder eine Email-Adressen Umstellung sind für eine SecSign ID Federation nicht notwendig.
    • Wählen Sie “I’ll manage my own DNS records.” aus
    • Keine der von Microsoft vorgeschlagenen DNS Einträge sind für die SecSign ID Federation notwendig. Wählen Sie “Exit and continue later” aus.

    8 Installieren Sie “Microsoft Azure Active Directory Connect” unter: http://www.microsoft.com/en-us/download/details.aspx?id=47594

    • Nutzen Sie individuelle Einstellungen
    • Wählen Sie unter “Install required components” keine Auswahl aus.
    • Unter “User sign-in” wählen Sie: “Federation with AD FS”.
    • In “Connect to Azure AD” fügen Sie Ihre Zugangsdaten von der Office 365 Anmeldung aus
    • In “Connect your directories” wählen Sie Ihren Forest aus und geben Ihre Windows Administratoren Zugangsdaten ein.
    • In “Azure AD sign-in configuration” wählen Sie “userPrincipalName” aus.
    • In “Domain and OU filtering” wählen Sie “Sync all domains and OUs”.
    • In “Uniquely identifying your users” klicken Sie “Users are represented only once across all directories” an und wählen objectGUID als Quellanker.
    • In “Filter users and devices” wählen Sie “Synchronize all users and devices” aus.
    • Wählen Sie keine zusätzlichen Optionen aus.
    • Laden Sie Ihren privaten Schlüssel und das Zertifikat aus der p12 Datei (pfx) und wählen Sie einen Namen aus. Der Name muss der der Host Name im öffentlichen DNS sein, der zu diesem Server zeigt.
    • Wählen Sie Ihren Windows Server unter “AD FS Servers” aus.
    • Überspringen Sie die Installation eines Web Application Proxy Servers.
    • Geben Sie im nächsten Dialog Ihre Domain Administratoren Logindaten ein.
    • Geben Sie die gleichen Zugangsdaten noch einmal im “AD FS service account” ein.
    • Wählen Sie Ihre Azure AD Domain aus.
    • Starten Sie den Synchronisationsprozess, wählen Sie nicht staging aus und klicken Sie aus “Install”.
    • Erstellen Sie die entsprechenden DNS Einträge oder verlassen Sie den Installationsassistenten und holen Sie dies später nach.

    9 Installieren Sie “Active Directory module for Windows Powershell”. (Bei einem Domain Controller ist dies bereits installiert.)

    • Starten Sie den Server Manager und öffnen Sie “Add Roles and Features Wizard”.
    • Klappen Sie im Einstellungsmenü folgende Optionen aus: Remote Server Administration Tools, Role Administration Tools und wählen Sie Active Directory module for Windows Powershell aus

    10 Installieren Sie “Azure Active Directory Connection” von: http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185 Downloaden und Installieren Sie AdministrationConfig-V1.1.166.0-GA.msi

    11 Installieren Sie den SecSign ID Federation SAML Generator.

    • Starten Sie SecSign-ID-Federation-SAML-Generator-Setup.exe.
    • Kopieren Sie die pfx oder p12 Datei, die Ihren SAML Response Signing Schlüssel enthält in den Ordner FederatedSecSignID
    • Starten Sie regedit.exe und öffnen Sie den registry Schlüssel:
      HKEY_LOCAL_MACHINE\SOFTWARE\SecSign\ADFS
    • Bearbeiten Sie den Wert von SamlResponseSigningKeyPassword und geben Sie Ihr Passwort vom SAML Response Signing Key
    • Bearbeiten Sie den Wert von SamlResponseSigningKeyFile mit dem Ziel und Dateinamen Ihrer SAML Response Signing Key
    • Bearbeiten Sie die Werte von SecSignIDServerHostName und SecSignIDServerPort passend zum SecSign ID Server.
    • Bearbeiten Sie die Werte von FallbackSecSignIDServerHostName und FallbackSecSignIDServerPort passend zum Fallback SecSign ID Server.
      Falls Sie keinen Fallback Server definieren, lassen Sie bitte ‘-‘ als Wert für FallbackSecSignIDServerHostName.
    • Bearbeiten Sie die Werte von ServiceNameForSecSignApp. Dieser Wert wird während des Logins in der SecSign App dargestellt.

    12 Konfigurieren Sie die Federation Einstellungen mit den folgenden Befehlen in einer Powershell:

    • Extrahieren Sie das SAML Signatur Zertifikat von der p12 Datei (pfx):
      Get-PfxCertificate -FilePath .p12 | Export-Certificate -FilePath secsign.cer
    • Base64 verschlüsseln Sie das Zertifikat mit folgendem Befehl in der Powershell:
      $SECSIGNSAMLSIGNCERT = [convert]::ToBase64String((get-content secsign.cer -encoding byte))
    • Geben Sie Ihre Zugangsdaten für die Microsoft Office 365 admin Webseite ein: connect-MsolService
    • Schließen Sie Federation kurz, um zu verifizieren, dass der folgende Befehl das SAML Signatur Zertifikat hochlädt:
      Set-MsolDomainAuthentication -DomainName -Authentication Managed
    • Geben Sie die Federation Einstellungen in Ihrer Domain in Microsoft Azure ein:

      $Domain = “
      $ActiveLogOnUri = “https:///adfs/services/trust/2005/usernamemixed”
      $FederationBrandName = “SecSign”
      $IssuerUri = “https:///FederatedSecSignID/SecSignIDLogin.aspx”
      $LogOffUri = “https:///adfs/ls/”
      $MetadataExchangeUri = “https:///adfs/services/trust/mex”
      $PassiveLogOnUri = “https:///FederatedSecSignID/SecSignIDLogin.aspx”

      Set-MsolDomainAuthentication –DomainName $Domain -IssuerUri $IssuerUri -LogOffUri $LogOffUri -PassiveLogOnUri $PassiveLogOnUri -ActiveLogOnUri $ActiveLogOnUri -FederationBrandName $FederationBrandName -MetadataExchangeUri $MetadataExchangeUri -SigningCertificate $SECSIGNSAMLSIGNCERT -Authentication Federated

    • Falls Sie Nutzer einer bereits von Azure und dem Office 365 Admin Panel entfernten Test-Domain entfernen müssen und Sie einen Fehler ausgegeben bekommen, nutzen Sie folgenden Befehl:

      Remove-MsolUser –UserPrincipalName

      Mehr Informationen dazu gibt es hier: https://support.microsoft.com/en-us/kb/2709902

    2. Unsere APIS

    Wir haben eine stetig wachsende Liste an APIs und Plugins um die SecSign ID Zwei-Faktor Authentifizierung einfach und schnell in jedes Projekt zu integrieren.
    Wir bieten nicht nur APIs in zahlreichen Programmiersprachen, sondern auch Plugins für CMS, Server und VPN Umgebungen, oAuth2 und zahlreiche mehr. Die Plugins nutzen unsere APIs und bieten zusätzliche Funktionen, zum Beispiel Nutzer Management, einfache und native Installation, Logging oder die Integration in Firewalls oder Active Directories.

    Das JIRA Plugin beispielsweise nutzt die JAVA-API. Die PHP-API und JS-API wird von WordPress, Joomla, Drupal, Typo3 und vielen anderen genutzt. Die ASP.net/C#-API wird für die Windows und Cisco VPN genutzt und die C-API findet Verwendung um Unix SSH Services zu schützen. Die Objective-C API wird für unsere AppleTV und iPhone und iPad Apps genutzt.

    available_apis

    3. Erfahren Sie mehr

    Sie können die SecSign ID Zwei-Faktor Authentifizierung und den Zwei-Faktor Login durch eine einfach Integration des Plugins in Ihre Website oder Ihre Testumgebung kennenlernen. Oder testen Sie den Login auf unserer Website, ohne sich vorher zu registrieren. Sie haben bereits eine SecSign ID oder hätten gerne eine? Loggen Sie sich jetzt ein und nutzen Sie das Portal oder registrieren Sie sich ganz unkompliziert.

    Erfahren Sie selbst, wie schnell und unkompliziert der Login Prozess mit der Challenge-Response Authentifizierung mit 2048-bit Schlüsselpaaren ist. Sie brauchen keine Passwörter, und es werden keine vertraulichen Logindaten übertragen. Einfache Integration und unkomplizierte Nutzung.

    Für mehr Informationen zum patentierten SafeKey Verfahren finden Sie hier.

    Falls Sie eine API für eine Programmiersprache vermissen kontaktieren Sie uns unverbindlich. Falls Sie Hilfe mit der Integration in ein existierendes System brauchen oder kein passendes Plugin für Ihr Content Management System finden, kontaktieren Sie unser Support Team und wir helfen Ihnen gerne weiter.

    Ihr eigener ID-Server

    Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, sich mit Ihren bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSign ID Ihrer Unternehmensmarke an!

    your_own_id

    Warum sollte ich SecSign nutzen?

    Inhouse oder Cloud Lösungen

    Unsere Lösungen lassen sich leicht anpassen: Wählen Sie zwischen der durch uns betriebenen SecSign Cloud oder betreiben Sie selber den SecSign Authentifizierungsserver Inhouse oder in einem Rechenzentrum Ihrer Wahl. Mehr zum Inhouse Zwei-Faktor Authentifizierungsserver

    Einfache Anpassung an Ihre Bedürfnisse

    Wir passen die App an ihre Unternehmens Look-and-Feel an. Zwei-Faktor Authentifizierung angepasst an Ihre Bedürfnisse, für Ihre Kunden.

    Anwendungsfertiges SDK

    Integrieren Sie die SecSign Zwei-Faktor Authentifizierung in existierende Apps mit unserem SDK. Es könnte nicht einfacher gehen.

    Unkompliziertes Nutzer-Management

    Nutzen sie den Zwei-Faktor Authentifizierungsserver zum Schutz Ihres Active Directory/LDAP. Ihr individuelles Identity and Access Management System, beispielsweise mit verpflichtenden Updates und zahlreichen Sicherheitseinstellungen.

    Schützen Sie ALLE Logins

    Integration in sämtliche Login-Umgebungen: Web, Local, VPN, Remote Desktop, Mobile Logins und viele mehr.

    Plugins für alle Anwendungsgebiete

    Komplexe Integrationen gehören der Vergangenheit an: SecSign bietet Ihnen Plugins für nahezu alle Umgebungen.

    Letzte Blog Einträge, Neuigkeiten & Funktionen

    Crowd SSO

    21.09.2017

    Read More
    Do NOT follow this link or you will be banned from the site!