AD-login med SAML i Skyfish

Trin-for-trin opsætning

Som standard bruger AD-login i Skyfish en kontrolleret gruppeopsætning. Det betyder, at de tildelte ID sikkerhedsgrupper i Entra matches med Skyfish Groups og bruges til at definere, hvilke mapper og rettigheder brugerne får adgang til i Skyfish.

Hvis du kun har brug for, at AD-login giver adgang via én standardgruppe med et fast sæt mappeadgange, kan du i stedet bruge en Default AD Group. 

Trin 1: Forbind jeres Active Directory med Skyfish

  1. Gå til Azure Portal, og log ind.
  2. Gå til Entra ID.
  3. Klik på Add i topmenuen, og vælg App registration.
  4. Indtast et passende navn i feltet Name, for eksempel Skyfish Login.
  5. Lad indstillingen stå som Accounts in this organizational directory only
    (Default Directory only – Single tenant).
  6. Nederst i formularen skal du udfylde feltet Redirect URI med:
    https://auth.colourbox.com/saml2/idpresponse
    Lad dropdown-menuen til venstre stå på Web.
  7. Klik på Register for at gemme registreringen.
  8. Gå til Manifest i menuen, og åbn editoren.
  9. Find linjen: “knownClientApplications”: []  Tilføj følgende linje på næste række:
    “requestedAccessTokenVersion”: 2, Hvis linjen allerede findes, skal du i stedet ændre værdien fra Null til 2.
  10. Gem ændringerne 
  11. Gå tilbage til Overview i venstremenuen.
  12. Klik på Add an Application ID URI.
  13. Klik på Add ud for Application ID URI.
  14. Udfyld feltet Application ID URI med: urn:amazon:cognito:sp:eu-west-1_95snzYZYv
  15. Klik på Save.
  16. Klik på Token configuration i sidemenuen.
  17. Klik på Add groups claim. Der åbnes en undermenu.
  18. Sæt flueben ved Security groups (hvis du begrænser grupper eller bruger Enterprise App, skal du kun markere Groups assigned to the application).
  19. Klik på Save.
  20. Klik på Overview i sidemenuen.
  21. Klik på Endpoints. Der åbnes en undermenu.
  22. Kopiér URL’en med titlen Federation Metadata Document.
  23. Gå til Skyfishs indstillingsside for AD Integration.
  24. Indsæt den kopierede URL i feltet Federation Metadata Document URL.

Hvis du bruger Enterprise App

Hvis du bruger en Enterprise App, skal du sikre, at de relevante Skyfish-grupper er tildelt applikationen.

Sådan gør du:

  • Gå til Enterprise apps.
  • Vælg Skyfish-applikationen.
  • Vælg Users and groups.
  • Klik på Add group.
  • Vælg de Skyfish-relaterede grupper, du vil tildele Skyfish-applikationen.

 

Trin 1 er nu gennemført. Fortsæt til trin 2.

Trin 2: Match jeres Active Directory-grupper med Skyfish Groups

  1. Gå til Skyfishs indstillingsside for AD Integration.
  2. Gå til Groups i Skyfish.
  3. Klik på Add new AD Security Group.
  4. Gå til Entra ID Groups.
    Hvis linket ikke virker, kan du gå til Entra ID i Azure Portal og åbne Groups derfra.
  5. Vælg den gruppe i jeres Active Directory, som du vil matche med en Skyfish Group.
    Det vil typisk være en security group.
  6. Kopiér gruppens Object ID.
  7. Gå tilbage til Groups på Skyfishs indstillingsside.
  8. Indsæt Object ID’et i feltet AD Security Group ID.
  9. Vælg den Skyfish User Role, som brugerne i gruppen skal have.
  10. Vælg de ekstra Skyfish-funktioner, som brugerne skal have adgang til.
  11. Hvis brugerne har Colourbox-adgang, kan brugerrollen også sættes her.
    Dette er valgfrit.
  12. Tildel gruppen til én eller flere Skyfish Groups.
    Du kan enten oprette nye grupper eller bruge eksisterende grupper.
  13. Klik på Save access rights for at færdiggøre koblingen mellem Active Directory-gruppen og Skyfish Group.
  14. Gentag trin 2 for hver Active Directory-gruppe, du ønsker at integrere med Skyfish.

Fejlfinding

Fejl: Invalid SAML response received: The value of the attribute custom:cbx_groups must have a length less than or equal to 2048 characters

 

Begæns de grupper, som sendes til Skyfish. 

 

Løsningen er at begrænse de grupper, der sendes til Skyfish, så kun de grupper, der er relevante for Skyfish-integrationen, eksponeres.

Det bør bringe groups-feltet under grænsen på 2048 tegn.

Alternativ: Opsæt en Default AD Security Group

Hvis det ikke er muligt at begrænse antallet af grupper, der sendes til Skyfish, kan jeres brugere i stedet få en Default AD Security Group, når de logger ind via AD.

 

Det ændrer AD-login en smule.

 

Som standard fungerer AD-login i strict mode. Det betyder, at brugeren først fratages sine rettigheder og derefter får adgang baseret på de AD Security Groups, der er opsat i trin 2.

 

Når der bruges en Default AD Security Group, bliver denne adfærd mere fleksibel. Brugeren fratages ikke først sine eksisterende rettigheder, men får de rettigheder, som Default AD Security Group giver adgang til.

 

Sådan opsætter du en Default AD Security Group:

  1. Gennemfør trin 2, så én eller flere AD Security Groups er matchet med Skyfish.
  2. Find den AD Security Group, du vil bruge som standardgruppe.
  3. Send en e-mail til info@colourbox.com med den ønskede AD Security Group, og bed om at få den sat som Default AD Security Group i jeres integration.

Fejl: Got groups [] but no groups map to access in Skyfish

 

Denne fejl kan forekomme i to former.

 

Hvis der ikke vises grupper i klammerne

Hvis klammerne er tomme, har Skyfish ikke modtaget nogen security groups fra jeres AD.

Når Skyfish ikke modtager AD Security Groups, kan systemet ikke give brugeren adgang, og loginforsøget bliver derfor afvist.

Gennemgå trin 1 igen for at sikre, at AD er sat korrekt op.

 

Hvis der vises grupper i klammerne

Hvis der vises grupper i klammerne, betyder det, at Skyfish modtager AD Security Groups, men at de ikke matcher nogen adgangsrettigheder i Skyfish.

Gennemgå trin 2 igen for at sikre, at jeres AD Security Groups er korrekt matchet med adgang i Skyfish.

 

Eksempel:

Got groups [7EA05961-86F4-45CD-8134-E3FFB9B4C22B]