ADFS – CheatSheet

RPT Metadata.xml manuell Updaten

Wenn man keine URL hat, wo das Dokument vom ADFS Server automatisch up-to-date gehalten wird, kann man den Trust auch manuell mit einer neuen Metadata.xml datei versorgen und updaten:

Update-AdfsRelyingPartyTrust -MetadataFile C:\Der-Pfad\Zum\XML-File.xml -TargetName "Name des Trusts"

RPT Umbenennen

Get-AdfsRelyingPartyTrust -Name "SAP Cloud - Test" | Set-AdfsRelyingPartyTrust -Name "SAP Cloud - DEV"

Claim Issuance Policy (Transform-Rules) Exportieren & Importieren

Zuerst, exportiert man von einem RPT die Rules in ein (Temp-)File und anschließend im zweiten Step importiert man dieses File mit den Rules bei einem anderen RPT.

(Get-AdfsRelyingPartyTrust -Name "Source Relying Part Trust Name").IssuanceTransformRules | Out-File "C:\Temp\transformRules.txt"
Set-AdfsRelyingPartyTrust -TargetName "Destination Relying Party Trust" -IssuanceTransformRulesFile "C:\Temp\transformRules.txt"

Anlegen eines RPT

• -MetadataFile = Pfad zum Metadata.xml file welches der Relying Party hoffentlich bereit gestellt hat
• -IssuanceTransformRulesFile = Wenn ein neuer RPT auf basis eines anderen erstellt wird, kann man direkt die Transformation Rules die man zuvor exportiert hat, in diesem Zug gleich mit importieren
• -AccessControlPolicyName = Wenn es eine bestimmte Access Control Policy gibt welche für den neuen RPT gilt, kann diese hier angegeben werden

Add-AdfsRelyingPartyTrust -Name "SAP Cloud - INT" `
-MetadataFile "C:\temp\sap-cloud-int-metadata.xml" `
-IssuanceTransformRulesFile "C:\temp\SAP-TransformRules.txt" `
-AccessControlPolicyName "Permit for SAPCloud with 2fA from external"

Important Links

• IdP Initiated Loginpage
  • https://adfs.is-jo.org/adfs/ls/idpinitiatedsignon.htm
• Metadata-URL
  • https://adfs.is-jo.org/FederationMetadata/2007-06/FederationMetadata.xml
• ADFS-Passwort-Change Portal
  • https://adfs.is-jo.org/adfs/portal/updatepassword
• WS-Metadata-Exchange
  • https://adfs.is-jo.org/adfs/services/trust/mex