Enterprise-Anmeldung mit AD FS 3.0 einrichten
Ihr Unternehmen kann problemlos Tausende von Benutzern und deren Produktzugriff verwalten und gleichzeitig Single Sign-On (SSO) bereitstellen. SSO stellt sicher, dass Ihre Benutzer mit demselben Identitätsanbieter auf die Produkte von GoTo zugreifen können wie auf ihre anderen Enterprise-Anwendungen und -Umgebungen. Diese Funktionen werden als Enterprise-Anmeldung bezeichnet.
Sie können Ihre Active Directory Federation Services (AD FS) so konfigurieren, dass sie die Single Sign-On-Authentifizierung für GoTo Produkte unterstützen.
Über AD FS 3.0
AD FS 3.0 ist eine verbesserte Version von AD FS 2.0. Es handelt sich um eine herunterladbare Komponente für Windows Server 2012 R2. Einer der größten Vorteile von ADFS 3.0 besteht darin, dass der Server für Microsofts Internetinformationsdienste (IIS) Teil der Bereitstellung ist und nicht separat installiert werden muss. Im Vergleich zur Vorgängerversion wurde in dieser Version die Installation geändert und die Konfiguration verbessert.
Dieser Artikel beschreibt, wie AD FS installiert und konfiguriert wird und wie AD FS in einer SAML-Vertrauensbeziehung mit Enterprise Sign-In eingerichtet wird. In dieser Vertrauensbeziehung ist AD FS der Identitätsanbieter und GoTo ist der Dienstanbieter. Nach der Fertigstellung wird GoTo in der Lage sein, AD FS zu verwenden, um Benutzer mit Hilfe der SAML-Assertions, die von AD FS bereitgestellt werden, bei Produkten wie GoTo Connect zu authentifizieren. Die Benutzer können die Authentifizierung über den Dienstanbieter oder den Identitätsanbieter initiieren.
Anforderungen
Zu den Voraussetzungen für AD FS 3.0 gehören:
- Ein öffentlich vertrauenswürdiges Zertifikat zur Authentifizierung von AD FS gegenüber seinen Clients. Der AD FS-Dienstname wird aus dem Betreffnamen des Zertifikats übernommen, daher ist es wichtig, dass der Betreffname des Zertifikats entsprechend zugewiesen wird.
- Der AD FS-Server muss Mitglied einer Active Directory-Domäne sein, und für die AD FS-Konfiguration wird ein Domänenadministratorkonto benötigt.
- Ein DNS-Eintrag wird benötigt, um den AD FS-Hostnamen durch seinen Client aufzulösen
Eine vollständige und detaillierte Liste der Anforderungen kann in der Übersicht über Microsoft AD FS 3.0 überprüft werden.
Installation
- Starten Sie die Installation von AD FS 3.0, indem Sie zu Verwaltung Tools > Server-Manager > Rollen und Funktionen hinzufügen gehen.
- Wählen Sie auf der Seite Installationstyp auswählen die rollenbasierte oder funktionsbasierte Installation und wählen Sie dann Weiter.
- Wählen Sie auf der Seite Zielserver auswählen den Server aus, auf dem der ADFS-Dienst installiert werden soll, und wählen Sie dann Weiter.
- Wählen Sie auf der Seite Serverrollen auswählen die Option Active Directory Federation Services und wählen Sie dann Weiter.
- Wenn Sie keine zusätzlichen Funktionen installieren möchten, belassen Sie die Standardwerte und wählen Sie Weiter.
- Überprüfen Sie die Informationen auf der Seite Active Directory-Domänendienste, und wählen Sie dann Weiter.
- Starten Sie die Installation auf der Seite Installationsauswahl bestätigen.
Konfiguration
- In Ihren Benachrichtigungen sollten Sie eine Benachrichtigung mit dem Hinweis erhalten haben, dass eine Aufgabe zur Konfiguration nach der Bereitstellung aussteht. Öffnen Sie es und wählen Sie den Link, um den Einrichtungsassistenten zu starten.
- Wählen Sie auf der Seite Willkommen die Option Erstelle den ersten Verbundserver in einer neuen Verbundserver-Farm (es sei denn, es gibt eine bestehende Farm, zu der Sie diesen AD FS-Server hinzufügen).
- Wählen Sie auf der Seite Connect to AD FS (Mit AD FS verbinden ) das Domänenadministratorkonto aus, um diese Konfiguration durchzuführen.
- Geben Sie unter Diensteigenschaften angeben das vorbereitete SSL-Zertifikat an (siehe Anforderungen oben). Legen Sie den Namen und den Anzeigenamen des Verbunddienstes fest.
- Wählen Sie unter Dienstkonto angeben das Konto, das AD FS verwenden soll.
- Wählen Sie im Feld Konfigurationsdatenbank angeben die zu verwendende Datenbank aus.
- Überprüfen Sie die Informationen in Pre-requisite Checks und wählen Sie Konfigurieren.
Einrichten der Vertrauensstellung
Jede Partei (AD FS und GoTo) muss so konfiguriert werden, dass sie der anderen Partei vertraut. Deshalb wird die Vertrauensstellung in zwei Schritten konfiguriert.
Schritt 1: Konfigurieren Sie AD FS für das Vertrauen in GoTo Connect SAML
- Gehen Sie zu Verwaltung Tools > AD FS Management.
- Verwenden Sie in AD FS Management das Dropdown-Menü Aktion und wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Seite wird gestartet.
- Wählen Sie auf der Seite Datenquelle auswählen im Assistenten die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren.
- Fügen Sie in das Textfeld unter der ausgewählten Option die Metadaten-URL ein: http://identity.goto.com/saml/sp.
- Wählen Sie Weiter aus.
- Überspringen Sie die Seite Möchten Sie jetzt die mehrstufige Authentifizierung konfigurieren?.
- Klicken Sie unter Ausstellungsautorisierungsregeln wählen auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben (es sei denn, es wird eine andere Option gewünscht).
- Gehen Sie die restlichen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.
Hinzufügen von zwei Anspruchsregeln
Schritt 2: Konfigurieren Sie GoTo, um AD FS zu vertrauen.
- Navigieren Sie zum Organization Center unter https://organization.logmeininc.com und verwenden Sie das Webformular des Identitätsanbieters.
- AD FS veröffentlicht seine Metadaten standardmäßig unter einer Standard-URL: (https://<hostname >/federationmetadata/2007-06/federationmetadata.xml).
- Wenn diese URL im Internet öffentlich verfügbar ist: Wählen Sie die Registerkarte Identitätsanbieter im Organization Center, wählen Sie die Option " Automatische Konfiguration ", fügen Sie die URL in das Textfeld ein und wählen Sie abschließend " Speichern".
- Wenn die Metadaten-URL nicht öffentlich verfügbar ist, sammeln Sie die Single Sign-On-URL und ein Zertifikat (für die Signaturvalidierung) von AD FS und schicken Sie sie mit der Option Manuelle Konfiguration auf der Registerkarte " Identitätsanbieter " im Organization Center ab.
- Gehen Sie im Einzelnen wie folgt vor:
- Um die URL des Single Sign-On-Dienstes zu sammeln, öffnen Sie das AD FS-Verwaltungsfenster und wählen Sie den Ordner Endpunkte, um eine Liste der AD FS-Endpunkte anzuzeigen. Suchen Sie nach dem Endpunkt vom Typ SAML 2.0/WS-Federation und kopieren Sie die in den Eigenschaften angezeigte URL. Alternative: Wenn Sie Zugriff auf die Standard-Metadaten-URL haben, können Sie den Inhalt der URL in einem Browser anzeigen und im XML-Inhalt nach der Single-Sign-On-URL suchen.
- Um das Zertifikat für die Signaturvalidierung zu sammeln, öffnen Sie die AD FS-Verwaltungskonsole und wählen Sie den Ordner Zertifikate, um die Zertifikate anzuzeigen. Suchen Sie nach dem Token-signierenden Zertifikat, klicken Sie mit der rechten Maustaste darauf und wählen Sie Zertifikat anzeigen. Wählen Sie die Registerkarte Details und dann die Option In Datei kopieren. Wählen Sie im Assistenten für den Zertifikatexport die Base-64-kodierte X.509 (.Cer) aus. Geben Sie einen Namen für die Datei ein, um den Export des Zertifikats in eine Datei abzuschließen.
- Geben Sie die URL des Single Sign-On-Dienstes und den Zertifikatstext in die entsprechenden Felder des Organization Centers ein und wählen Sie Speichern.
Testen der Konfiguration
- Um die vom Identitätsanbieter initiierte Anmeldung zu testen, gehen Sie zu Ihrer benutzerdefinierten IdP-URL (Beispiel: https://adfs.<meinedomain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter "Auf einer der folgenden Websites anmelden" angezeigt.
- Zum Testen der von der vertrauenden Seite initiierten Anmeldung, sehen Sie sich die Anweisungen für Wie melde ich mich mit Single Sign-On an?