# AD FS

Verkada Command kann in Active Directory Federation Services (AD FS) integriert werden, damit sich Ihre Benutzer mit ihren vorhandenen AD-Anmeldeinformationen anmelden können.

Security Assertion Markup Language (SAML) ist die Sprache, mit der AD FS mit Command kommunizieren kann, um Ihren Benutzern sicher Zugriff auf Ihre Organisation zu gewähren.

| Funktion            | Unterstützt |
| ------------------- | :---------: |
| OIDC SSO            |      —      |
| SAML SSO            |      Ja     |
| SCIM-Bereitstellung |      —      |
| ECE-Unterstützung   |      —      |

{% hint style="warning" %}
SAML fügt Ihrer Organisation keine Benutzer hinzu und lädt auch keine Benutzer ein. Es ermöglicht lediglich zuvor bereitgestellten Benutzern, sich mit ihren AD-Anmeldeinformationen anzumelden, statt mit einem von Verkada verwalteten Benutzernamen und Passwort.

Wenn Sie daran interessiert sind, Domänenbenutzer und -gruppen mit Command zu synchronisieren, erfahren Sie mehr über [SCIM](https://help.verkada.com/command/de/sicherheit/identity-providers/microsoft-entra-id).
{% endhint %}

### Bevor Sie beginnen

Um die SAML-Integration zu beginnen, müssen Sie [die Client-ID Ihrer Organisation generieren](https://help.verkada.com/command/de/sicherheit/identity-providers/..#generate-client-id) (wobei die Client-ID groß-/kleinschreibungssensitiv ist).

***

## Konfiguration

### Vertrauende Partei hinzufügen

{% stepper %}
{% step %}
**Öffnen Sie die AD FS-Verwaltung.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-0ba31d4561b727f567eecac559076c73a04000fc%2F9847060f3019ffdb99c19b45d87f905a7c675f06.png?alt=media" alt="" width="439"></div>
{% endstep %}

{% step %}
**Wählen Sie Aktion > Vertrauensstellung für vertrauende Partei hinzufügen.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-1690f72cd54029a6713bc5ff19a294d648ded3a8%2F15ade22680b9cd3ef7a0df42cae1ed5ae64aa318.png?alt=media" alt="" width="245"></div>
{% endstep %}

{% step %}
**Aktivieren Sie Claims aware und klicken Sie auf Start.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-6a5450232bc5fa702b81c9d47f57d11134cdde5b%2F2b5264bc0f8ddd135053489200509f757631d743.png?alt=media" alt="" width="360"></div>
{% endstep %}

{% step %}
**Wählen Sie Daten über die vertrauende Partei manuell eingeben und klicken Sie auf Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-372e1d26a92ce66952955cc2038f264543f86ac6%2F8ecbc21cae4352c263ffd72d2b53ad2753e2d78a.png?alt=media" alt="" width="360"></div>
{% endstep %}

{% step %}
**Geben Sie einen Anzeigenamen ein (kann beliebig sein) und klicken Sie auf Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-555105089a3c9af67798b56f3a58f4c16b44c427%2F3b979ee73b01fdfb6dba389ca73e6e1e9a36652a.png?alt=media" alt="" width="360"></div>
{% endstep %}

{% step %}
**Geben Sie optional ein Tokenverschlüsselungszertifikat an (klicken Sie zum Angeben auf Durchsuchen) und klicken Sie dann auf Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-e930274670a3164e42d3c4e4917e263ffd5f1db6%2Fa5d0f1159b5731014ff8f3eb51a512ed0fb21972.png?alt=media" alt="" width="360"></div>
{% endstep %}

{% step %}
**Aktivieren Sie die Unterstützung für das SAML-2.0-WebSSO-Protokoll, und geben Sie im Feld SAML-2.0-SSO-Dienst-URL der vertrauenden Partei (ersetzen Sie&#x20;*****client-ID*****&#x20;durch die zuvor generierte Client-ID):**

* Für US-Organisationen: <https://vauth.command.verkada.com/saml/sso/%3Cclient-ID%3E>
* Für EU-Organisationen: [https://saml.prod2.verkada.com/saml/sso/](https://saml.prod2.verkada.com/saml/sso/%3Cclient-ID%3E)
* Für AUS: <https://saml.prod-ap-syd.verkada.com/saml/sso/%3Cclient-ID%3E>

{% hint style="warning" %}
Um zu bestätigen, in welcher Region Sie sich befinden, [sehen Sie bitte nach, wo Ihre Organisation für Verkada erstellt wurde](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command).
{% endhint %}
{% endstep %}

{% step %}
**Klicken Sie auf Weiter.**
{% endstep %}

{% step %}
**Geben Sie im Feld Bezeichner der Vertrauensstellung für die vertrauende Partei dieselbe URL aus Schritt 7 ein, und klicken Sie auf Hinzufügen > Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-8ee5881f75f07f414cce6443de94b7e81874d4a6%2F6276414bab29de6a1b3da66b681ce805f76425eb.png?alt=media" alt="" width="360"></div>
{% endstep %}

{% step %}
**Konfigurieren Sie eine geeignete Zugriffssteuerungsrichtlinie für diese Anwendung und klicken Sie auf Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-07036fa8d3ee0e64197f90c2c7129a7243b56602%2Fea35a8df15a4884a4721012b8203d68fd516854e.png?alt=media" alt="" width="359"></div>
{% endstep %}

{% step %}
**Überprüfen Sie die Einstellungen der vertrauenden Partei und klicken Sie auf Weiter > Schließen.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-1c7234fc2e21368b5475a5958908e50a0fa42274%2F295c5414f4b0b7286c6fe825071802d63c08c255.png?alt=media" alt="" width="359"></div>
{% endstep %}
{% endstepper %}

### Anspruchsausstellungsrichtlinie bearbeiten

{% stepper %}
{% step %}
**Klicken Sie mit der rechten Maustaste auf die neu erstellte Vertrauensstellung für die vertrauende Partei und wählen Sie Anspruchsausstellungsrichtlinie bearbeiten aus.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-310a892d07703279ca8db9cd3af32bcefd449f62%2F17d1533fbc807372d30444bb8764141e2fc8fb80.png?alt=media" alt="" width="183"></div>
{% endstep %}

{% step %}
**Klicken Sie auf Regel hinzufügen > OK.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-4f23c3b567fedfdc7613383032318f14d2daf9f0%2Fea8170963e2e35cb5bed5232a0f4b8e19b669355.png?alt=media" alt="" width="244"></div>
{% endstep %}
{% endstepper %}

### Transformationsregel für Ansprüche hinzufügen

{% stepper %}
{% step %}
**Stellen Sie sicher, dass LDAP-Attribute als Ansprüche senden ausgewählt ist, und klicken Sie auf Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-467fe9293074c0e29d80c6d38f91b89b211f9f63%2Ff05fd763e4b6ee63ddf20b59764e795c0b564057.png?alt=media" alt="" width="359"></div>
{% endstep %}

{% step %}
**Konfigurieren Sie diese Regелеinstellungen und klicken Sie (wenn Sie fertig sind) auf Fertig stellen:**

a. Geben Sie einen **Anspruchsregelnamen** ein (kann beliebig sein).\
b. Unter **Attributspeicher**stellen Sie sicher, dass **Active Directory** ausgewählt ist.\
c. Konfigurieren Sie diese LDAP-Attribute so, dass sie dem richtigen **Ausgehenden Anspruchstyp**:

* E-Mail-Addresses > E-Mail Address
* Given-Name > Given Name
* Surname > Surname

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-9ce6d5307b7ccac9cf61aa8c373e5352405e649f%2F25e9bd6b7b51b1948063ab2520920376e6776cf9.png?alt=media" alt="" width="361"></div>
{% endstep %}

{% step %}
**Wählen Sie unter Anspruchsregelvorlage Transform einen eingehenden Anspruch, um eine weitere Regel hinzuzufügen, und klicken Sie auf Weiter.**

<div align="left" data-with-frame="true"><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2Fgit-blob-d118d6570609d7fef7b5e4f485ac9e109d5a8a66%2F53f7c613f97e804e9e031ebf1a0f2d051a32102e.png?alt=media" alt="" width="359"></div>
{% endstep %}

{% step %}
**Konfigurieren Sie die Anspruchsregel:**

a. Geben Sie einen **Anspruchsregelnamen** ein (kann beliebig sein).\
b. Neben **Eingehender Anspruchstyp**wählen Sie **E-Mail Address**.\
c. Neben **Ausgehender Anspruchstyp**wählen Sie **Name ID**.\
d. Neben **Format der ausgehenden Name ID**wählen Sie **Transiente Kennung**.\
e. Stellen Sie sicher, dass **Alle Anspruchswerte durchleiten** ausgewählt ist.\
f. Klicken Sie auf **Fertig stellen**.

<div align="left"><figure><img src="https://991790237-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FNRq5qDDjsYNxwNzF1bcB%2Fuploads%2FYqU7r0aDqn1FNd65jFNx%2Fimage%20(7).png?alt=media&#x26;token=4242fa92-e60f-454d-bbf9-fb6eb73ea134" alt="" width="359"><figcaption></figcaption></figure></div>
{% endstep %}
{% endstepper %}

#### Rufen Sie **https\:///FederationMetadata/2007-06/FederationMetadata.xml** auf, um Ihre XML-Metadatendatei herunterzuladen.

{% hint style="danger" %}
**Verwenden Sie dabei nicht** Internet Explorer, um diesen Schritt abzuschließen; die Verwendung von Internet Explorer kann Probleme mit der XML-Datei verursachen.
{% endhint %}

### SAML-Einrichtung in Command abschließen

Befolgen Sie die Schritte in [SAML für Ihr Command-Konto aktivieren](https://help.verkada.com/command/de/sicherheit/identity-providers/..#upload-saml-xml-metadata) um die SAML-Einrichtung in Command abzuschließen.

### Integration testen

Sobald die Integration abgeschlossen ist, testen Sie sie.

{% stepper %}
{% step %}
**Öffnen Sie ein Inkognito-/privates Browserfenster und rufen Sie auf (wobei Sie clientID durch die oben generierte Client-ID ersetzen):**

* Für US: <https://vauth.command.verkada.com/saml/login/%3Cclient-ID%3E>
* Für EU: [https://saml.prod2.verkada.com/saml/login/](https://saml.prod2.verkada.com/saml/login/%3Cclient-ID%3E)
* Für AUS: [https://saml.prod-ap-syd.verkada.com/saml/sso/](https://saml.prod2.verkada.com/saml/login/%3Cclient-ID%3E)

{% hint style="warning" %}
Um zu bestätigen, in welcher Region Sie sich befinden, [sehen Sie bitte nach, wo Ihre Organisation für Verkada erstellt wurde](https://help.verkada.com/command/de/erste-schritte/get-started-with-verkada-command).
{% endhint %}
{% endstep %}

{% step %}
**Sie sollten zu Ihrer AD-FS-Anmeldeseite weitergeleitet werden. Versuchen Sie, sich mit Ihren Anmeldeinformationen anzumelden.**
{% endstep %}
{% endstepper %}

Wenn Sie zu Ihrer Command-Organisation weitergeleitet werden – herzlichen Glückwunsch – war die SAML-Integration erfolgreich!