SSO mit ADFS konfigurieren

Das Admin Panel ist ein zentralisiertes Tool, das Airtable Admins dabei unterstützt, das Enterprise-Konto ihrer Organisation zu verwalten. Erfahren Sie, wie Sie SSO-Anmeldungen für Ihre Organisation einrichten.

Dieser Artikel richtet sich an Administrator*innen, die SSO für ihre Teams einrichten.

ADFS

SSO für ADFS einrichten

Navigieren Sie im linken Navigationsbereich zu ADFS, wählen Sie „Relying Party Trust“, klicken Sie dann auf „Add Relying Party Trust“ (Relying Party Trust hinzufügen) und anschließend auf „Start“.

Klicken Sie auf die Optionsschaltfläche „Enter data about the relying party manually“ (Daten über die vertrauenswürdige Partei manuell eingeben) und klicken Sie dann auf die Schaltfläche „Next“ (Weiter).

Geben Sie einen beliebigen Anzeigenamen (z. B. „Airtable“) und optionale Hinweise ein und klicken Sie dann erneut auf die Schaltfläche „Next“ (Weiter).

Legen Sie nun das AD-FS-Profil als Konfigurationsprofil fest.

Klicken Sie auf der Seite „Configure Certificate“ (Zertifikat konfigurieren) auf die Schaltfläche „Next“ (Weiter).

Aktivieren Sie auf der Seite „Configure URL“ (URL konfigurieren) das Kontrollkästchen „Enable support for the SAML 2.0 WebSSO protocol“ (SAML 2.0 WebSSO-Protokoll unterstützen) und fügen Sie diese URL ein: https://airtable.com/auth/ssoCallback

Fügen Sie auf der Seite „Configure Identifiers“ (Kennungen konfigurieren) https://airtable.com/sso/metadata0418.xml als Kennung für „Relying Party Trust identifiers“ hinzu.

Wählen Sie auf der Seite „Configure Multi-factor Authentication Now?“ (Multi-Faktor-Authentifizierung jetzt konfigurieren?) die Option „I do not want to configure multi-factor authentication settings for this relying party at this time.“ (Ich möchte zu diesem Zeitpunkt keine Einstellungen für die Multi-Faktor-Authentifizierung für diese vertrauenswürdige Partei konfigurieren.).

Wählen Sie auf der Seite „Choose Issuance Authorization Rules“ (Ausstellungsautorisierungsregeln auswählen) die Option „Permit all users to access this relying party“ (Allen Benutzer*innen den Zugriff auf diese vertrauenswürdige Partei erlauben).

Aktivieren Sie auf dem letzten Bildschirm das Kontrollkästchen „Open the Edit Claim Rules dialog for this relying party trust when the wizard closes“ (Beim Schließen des Assistenten das Dialogfeld „Anspruchsregeln bearbeiten“ für diesen Relying Party Trust öffnen). Daraufhin wird das Dialogfeld „ Edit Claim Rules“ (Anspruchsregeln bearbeiten) geöffnet, sobald Sie auf die Schaltfläche „Close “ (Schließen) klicken.

Wechseln Sie im Dialogfeld „Edit Claim Rules“ (Anspruchsregeln bearbeiten) zur Registerkarte „Issuance Transform Rules“ (Ausstellungstransformationsregeln) und klicken Sie dann auf die Schaltfläche „Add Rule“ (Regel hinzufügen). Daraufhin öffnet sich der Assistent, um eine Transformationsanspruchsregel hinzuzufügen.

Im Assistenten zum Hinzufügen einer Transformationsanspruchsregel werden Sie aufgefordert, einen Regeltyp auszuwählen. Wählen Sie in der Drop-down-Liste „Claim rule template“ (Vorlage für Anspruchsregel) die Option „Send LDAP Attributes as Claims“ (LDAP-Attribute als Ansprüche senden) aus.

Geben Sie Ihrer Anspruchsregel einen Namen (z. B. „LDAP E-Mail“) und ordnen Sie das LDAP-Attribut „E-Mail-Adressen“ in der linken Spalte dem Anspruchstyp „E-Mail-Adresse“ in der rechten Spalte zu.

Hier müssen Sie eine weitere Transformationsanspruchsregel hinzufügen. Wählen Sie diesmal die Option „Transform an Incoming Claim“ (Eingehenden Anspruch umwandeln) aus dem Drop-down-Menü „Claim rule template“ (Vorlage für Anspruchsregel) aus.

Geben Sie dieser Anspruchsregel einen Namen (z. B. „E-Mail-Transformation“), und legen Sie dann die folgenden Werte fest:

• Legen Sie als „Incoming claim type“ (Art des eingehenden Anspruchs) „E-Mail-Adresse“ fest.
• Legen Sie als „Outgoing claim type" (Art des ausgehenden Anspruchs) „Namens-ID“ fest.
• Legen Sie als „Outgoing name ID format“ (Format der ausgehenden Namens-ID) „E-Mail“ fest.
• Wählen Sie die Optionsschaltfläche „Pass through all claim values“ (Alle Anspruchswerte weiterleiten) aus.

Airtable unterstützt auch die folgenden Attribut-Maps:

• „urn:oid:2.5.4.4“ -> „Basic Information“ (Basisdaten); „Last Name“(Nachname)
• „urn:oid:2.5.4.42“ -> „Basic Information“ (Basisdaten); „First Name“(Vorname)

Klicken Sie auf die Schaltfläche OK, um die Anspruchsregel zu speichern, und erneut auf OK, um den Assistenten „Transform Claim Rule“ (Transformationsanspruchsregel) zu beenden.

Als Nächstes müssen Sie die Eigenschaften für Relying Trust von Airtable bearbeiten. Wählen Sie auf der Registerkarte „Advanced “ (Erweitert) „SHA-256“ als sicheren Hash-Algorithmus aus. Kopieren Sie dann das folgende X.509-Zertifikat und speichern Sie es unter dem Namen „airtable.crt“:

-----BEGIN CERTIFICATE----- MIIDUDCCAjgCCQDZhZQnLjon1zANBgkqhkiG9w0BAQsFADBqMQswCQYDVQQGEwJV UzELMAkGA1UECAwCQ0ExETAPBgNVBAoMCEFpcnRhYmxlMRUwEwYDVQQDDAxhaXJ0 YWJsZS5jb20xJDAiBgkqhkiG9w0BCQEWFXNlY3VyaXR5QGFpcnRhYmxlLmNvbTAe Fw0xODA0MjAyMzI1NTJaFw0zODAxMDEyMzI1NTJaMGoxCzAJBgNVBAYTAlVTMQsw CQYDVQQIDAJDQTERMA8GA1UECgwIQWlydGFibGUxFTATBgNVBAMMDGFpcnRhYmxl LmNvbTEkMCIGCSqGSIb3DQEJARYVc2VjdXJpdHlAYWlydGFibGUuY29tMIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3ORK7AMKzczh2JXWzKq4vI8jaHZ+ GcqNF6WHExEtPWrIN9Rpo/ogguZZ3BJs6dtUkPAt5M722BkJUggMFj9LREK8Vcl/ +3ffXJUhcIcatpXsq3iQE9Otbc5aFxSt6FKg410snTeI+VVYJ3cOgOQzO1ZEBjj8 DA1iB0w9ICd9DRj3LXa9S55B1q9TRPJwicbT9SwMJlF/VqSilS+QhDqhPiSrja7X WipQN3y0HwhqNlC3oPlBewjvyTLrmR6IGstxm01Wxj2JbHkGA9MgZKCMV5sQgA68 2DoIvbhDPOA/E5vjL5JwsyU/LjDhm0cfX6RiZ/OywGbs+KawLe29As+V9wIDAQAB MA0GCSqGSIb3DQEBCwUAA4IBAQC/ewo5+TeEGOnT6ko0X1C+Yduiu1IqXZc8Zw6w +9k06hg9IbO7u9VCevbKI/CwG4Il/6URGwqKKmU3kyUNsRmdsFMHWWrzeCPqa+94 FbRiaTjZcoV3I5++CjObWJgatIC9MLTxVKnQaGDSTk+dxwXOIANZ+iCh3SKQTRM+ r0YZUSIM+5hXWccsdnPtp+2GczzbUJ0rCWA/iQ0OwZrWpU0/XPnzjQguVrdIPDIh 3xPeT40txEg+mHAajGFfh6XhV86P8185fZ8R6G+gehqfByToNiCbb0BqipOaA+ej SDYXqYh7jx3D6X/gV9MnyGBVRy1t6COzk+OZDosPhkTFgclt -----END CERTIFICATE----- 

Klicken Sie auf der Registerkarte „Signature“ (Signatur) auf „Add“ (Hinzufügen) und laden Sie airtable.crt hoch. Klicken Sie auf OK, um den Vorgang abzuschließen. Als Nächstes müssen Sie Ihr Token-Signierungszertifikat exportieren. Klicken Sie in ADFS auf den Ordner „Certificates“ (Zertifikate) und dann auf das Token-Signierungszertifikat.

Klicken Sie auf die Registerkarte „Details“ und dann auf die Schaltfläche „Copy to File“ (In Datei kopieren).

Exportieren Sie anschließend alles als Base-64 kodierte X.509-Datei (.CER).

Übermitteln Sie anschließend Ihre Anmelde-URL und Ihr X.509-Zertifikat (Sie können die .CER-Datei in einem Texteditor öffnen und per Copy-Paste einfügen). Befolgen Sie dabei die in diesem Artikel beschriebenen Schritte.

Nachdem Sie diese Schritte durchgeführt haben, sollten Sie sich unter https://airtable.com/sso/login anmelden können.

Problembehandlung

Wenden Sie sich bitte an uns, wenn es Probleme gibt oder Sie zusätzliche Hilfe benötigen. Falls es relevante ADFS-Protokolle gibt (Control Panel [Systemsteuerung] -> Administrative Tools [Verwaltung] -> Event Viewer [Ereignisanzeige] -> Applications and Services Logs [Anwendungs- und Dienstprotokolle] -> AD FS -> Admin), fügen Sie diese bitte Ihrer E-Mail bei.