ADFS einrichten und nutzen?

[NorbertFe 2.027]

ja und wie lange läuft es? ;)

[Anubis2k 14]

Bis es Probleme mit dem KMS gibt.

[NorbertFe 2.027]

vor 40 Minuten schrieb Anubis2k:

Bis es Probleme mit dem KMS gibt.

Eben, also noch viel weniger Probleme. Wobei in einer Testumgebung eher selten ein KMS steht. ;)

[NilsK 2.930]

Moin,

 

zu der internen PKI: ja, kann man machen - wenn man weiß, wie es geht. Die Aussage, dass die Zertifikate "nicht mit allen Browsern laufen", macht mich skeptisch, ob das der Fall ist. Und: Wenn der Punkt dann kommt, an dem man doch einen Dienst "von außen" zugänglich machen will, dann wird es lustig, wenn man nachträglich das Zertifikat und die Infrastruktur anpassen muss. Daher empfehle ich dringend, zumindest diesen Teil gleich richtig zu machen. Wir reden hier von 150 Euro oder sowas.

 

Gruß, Nils

 

[NorbertFe 2.027]

Eher von 39€. Steht ja nur ein Name im Zert.

Falls man keine Maschinenauth braucht. ;)

bearbeitet 14. März 2023 von NorbertFe

[testperson 1.674]

Hi,

 

vielleicht ein anderer Blick auf das Thema: Ist ADFS wirklich the one and only way für ein SSOn am Webinterface der Telefonanlage?

Um welche Telefonanlage handelt es sich und wo bzw. auf welcher Webserverbasis läuft das Webinterface?

 

Gruß

Jan

[Anubis2k 14]

Es handelt sich um eine Unify Anlage die von der Telekom verwaltet wird, aber in unseren Gebäuden stehen und auch nur intern im LAN erreichbar ist.

 

Die Grundbausteine sind zwei ESXi im HA Verbund (je Gebäude einer) und darauf befinden sich die Bausteine, die von der Telekom für uns bereitgestellt werden.

 

Auf einem der Systeme ist das OpenScape Contact Center hinterlegt, wo sich unsere Kolleginnen und Kollegen anmelden. Darüber steuern sie dann ob sie aktiv sind um Gespräche entgegen zu nehmen, sehen den Status der anderen Leute ob diese in Gesprächen sind und haben einige andere Funktionen.

 

In einem der Dokumentationen die wir von der Telekom bekommen haben um SSO aktiv zu bringen, wird vorausgesetzt dein ein funktionierender ADFS vorhanden ist.

[NilsK 2.930]

Moin,

 

in der OpenScape-Doku, die ich auf die Schnelle gefunden habe, wird auch eine direkte Ankopplung an Active Directory beschrieben. Wenn ihr ohnehin nur intern zugreift, wäre das vermutlich weit einfacher und weniger fehlerträchtig als die Anbindung per ADFS/SAML.

 

Gruß, Nils

 

[Anubis2k 14]

Moin,

 

sorry für die späte Rückmeldung, ich war Mittwoch und Donnerstag bei uns in Hannover auf einer Messe unterwegs und da ist das Antworten hier auf das Topic leider etwas unter gegangen.  Aber vielen Dank für die Ansätze und Tipps!

 

Wenn die Aussage von einem meiner Kollegen (der länger im Unternehmen ist als ich) korrekt ist, sind diverse Bausteine der Systeme auf uns abgestimmt, daher gucke ich noch mal in die Doku die wir von der Telekom bekommen haben und frage sie mal ob sich das Portal auch direkt am AD (z.B. LDAP) anbinden lassen würde. Zumindest weiß ich, dass ja auch andere Systeme die bei uns eingesetzt werden, mit dem AD sprechen. Zumal das eine oder andere System auch web basiert ist, vielleicht kann unsere Lösung dieses ebenfalls und man hat uns dieses noch gar nicht mitgeteilt.

 

Eventuell ist das aber auch aufgrund von "Schatten IT" gar nicht so einfach realisierbar und darum die Brücke über ADFS.

 

Montag werde ich mal unsere Leute bei der Telekom ansprechen ob es da einen genaueren Grund gibt das so zu lösen, oder ob man nicht eventuell eine LDAP Anbindung einrichten könnte.

 

Sobald ich dazu mehr Informationen habe, gebe ich ein Feedback! Aber der Gedanke ist gut und würde das ganze eventuell vereinfachen. Vielleicht ist das so ein "Wald vor lauter Bäumen" ding, dass man hier nur das eine betrachtet und der Rest außer Acht blieb.

 

Gruß, Dominik

[NilsK 2.930]

Moin,

 

Soso, Hannover, wer wohnt da denn freiwillig? 

 

Falls es bei ADFS bleibt, kenne ich dort jedenfalls jemanden, der sich damit auskennt.

 

Gruß, Nils

[Anubis2k 14]

Ja, davon hab ich gehört... ich wollte mich da aus Hannover auch noch bei jemandem melden, aber da man bei mir die Themen umgeworfen hat, wird es aktuell aufgeschoben.

 

Aber in Hannover wohnen Leute die keine langen Wege zur Arbeit haben wollen und auch direkt dort irgendwo wohnen. Für mich wäre das nichts, darum wohne ich außerhalb von Hannover... WEIT außerhalb von Hannover 

[Anubis2k 14]

Moin, einmal ein Feedback an euch bezüglich der Rückmeldung von der Telekom und dem Unify Portal.

 

Ich hatte gefragt ob man dieses auch via LDAP an unserer AD anbinden und hier hatte man mir gesagt, dass dieses nicht möglich sei aber es ist möglich eine Anbindung via ADFS zu realisieren.

 

Ist schade, denn wir haben diverse Komponenten via LDAP angebunden was auch super zuverlässig funktioniert, aber eventuell liegt das an individuellen Anpassungen unsres Systems. Ich habe das zum Schluss gegenüber der Telekom nicht weiter hinterfragt, da das ganze Konstrukt ein wenig "Schatten IT" bei uns ist. Hier sind zwei Hardware Systeme (redundant) mit ESXi und diversen VMs als Bausteinen für Telefonie, Contact Center etc.

 

Bezüglich des Tipps, dass man eher ein öffentliches Zertifikat und nicht eins via PKI ausgesellt nehmen sollte hätte ich mal eine kleine Frage.

 

Ich selbst hatte für S/MIME meine Zertifikate damals bei PSW-Group organisiert, weil die eine große Auswahl (auch SSL Zertifikate für Webseiten etc.) und auch mit längerer Laufzeit haben.

 

Wenn ich nun nächste Woche mit meinem Kollegen rede, ihm sage dass wir dieses über ein öffentliches Zertifikat realsieren würden, gibt es da eine preferenz bezüglich des Anbieters und Laufzeit, oder wäre PSW Group schon OK?

 

Ich frage nur, weil man ja zwecks Laufzeit von Zertifikaten hier und da ein wenig vorsichtiger ist, da ja Apple auch schon angefangen hat, Zertifikate mit langer Laufzeit als "nicht vertrauenswürdig" abzustempeln.

[NorbertFe 2.027]

vor 20 Minuten schrieb Anubis2k:

auch mit längerer Laufzeit haben.

Nein, alle Zertifikate laufen maximal 13 Monate. Du kannst 3 Jahre bestellen und bekommst dann 3x 1 Jahr. ;) Der Aufwand ist ähnlich/gleich hoch, aber der Preis geht etwas runter.

 

vor 21 Minuten schrieb Anubis2k:

da ja Apple auch schon angefangen hat, Zertifikate mit langer Laufzeit als "nicht vertrauenswürdig" abzustempeln.

Auch schon? Hallo? Wir haben 2023 (Sprich, das ist inzwischen über 2 Jahre her). Siehe oben. Der Trend geht sogar zu noch kürzeren Laufzeiten, aber ich denke das wird noch etwas dauern.

[NilsK 2.930]

Moin,

 

der Anbieter der TLS-Zertifikate steht beim Einrichten von ADFS auf der Liste der wichtigen Dinge jetzt nicht unbedingt auf einem vorderen Platz.

 

Gruß, Nils

 

[NorbertFe 2.027]

Das stimmt auffallend. ;)