Einrichten der Enterprise-Anmeldung mit AD FS 2.0

Ihr Unternehmen kann problemlos Tausende von Benutzern und deren Produktzugriff verwalten und gleichzeitig Single Sign-On (SSO) bereitstellen. SSO stellt sicher, dass Ihre Benutzer mit demselben Identitätsanbieter auf die Produkte von GoTo zugreifen können wie auf ihre anderen Enterprise-Anwendungen und -Umgebungen. Diese Funktionen werden als Enterprise-Anmeldung bezeichnet.

Dieses Dokument behandelt die Konfiguration Ihrer Active Directory Federation Services (AD FS) zur Unterstützung der Single-Sign-On-Authentifizierung für GoTo Produkte.

AD FS 2.0 ist eine herunterladbare Komponente für Windows Server 2008 und 2008 R2. Es ist einfach bereitzustellen, aber es gibt mehrere Konfigurationsschritte, die bestimmte Zeichenfolgen, Zertifikate, URLs usw. erfordern. AD FS 3.0 wird auch für die Enterprise-Anmeldung unterstützt. AD FS 3.0 bietet mehrere Verbesserungen, von denen die größte darin besteht, dass der Internet Information Services (IIS) Server von Microsoft in der Bereitstellung enthalten ist und nicht separat installiert werden muss.

Anmerkung: Sie können mit Schritt 5 (siehe unten) fortfahren, wenn Sie AD FS 2.0 bereits bereitgestellt haben.

Schritt 1: Einrichten einer Organisation für AD FS 2.0

Richten Sie eine "Organisation" ein, indem Sie mindestens eine gültige E-Mail-Domäne bei GoTo registrieren, um Ihre Inhaberschaft an dieser Domäne zu verifizieren. Domänen in der Organisation sind unternehmenseigene E-Mail-Domänen, die der Administrator entweder über den Webdienst oder über DNS-Server verifizieren kann.

Wichtig: Der Benutzer, der die Domänenverifizierung abschließt, wird automatisch zum Administrator der Organisation, aber es ist nicht erforderlich, dass dieser Benutzer eine Adminrolle für das Produkt GoTo hat.

Die folgenden Schritte werden im Organization Center GoTo durchgeführt.

Einrichten einer Organisation

Sign in to the GoTo Organization Center at https://organization.logmeininc.com.
The first screen will ask that you verify that you own the domain for the account with which you are logged in currently. You are provided two methods for setting up domain validation, each of which uses a unique verification code to complete the verification. Copy the verification value to your clipboard.

Anmerkung: The verification screen will display until the domain is verified. If it takes you longer than 10 days to verify the domain, the system will automatically generate new verification codes for your domain the next time you visit the Organization Center.
Paste the verification code into the DNS record or a text file for upload to one of the locations, depending on which of the verification methods you choose:
- Method 1: Add a DNS record to your domain zone file. To use the DNS method, you place a DNS record at the level of the email domain within your DNS zone. Typically, users are verifying a “root” or “second level” domain such as “main.com”. In this case, the record would resemble:
  
  @ IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  OR
  
  main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  If you require a third-level domain (or subdomain) such as “mail.example.com” the record must be placed at that subdomain, such as:
  
  mail.main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  For more detailed documentation, see Add a TXT DNS record.
- Method 2: Upload a web server file to the specified website.Upload a plain-text file to your web server root containing a verification string. There should not be any whitespace or other characters in the text file besides those given.
  - Location: http://< yourdomain >/logmein-verification-code.txt
  - Contents: logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e
Once you have added the DNS record or text file, return to the domain status screen and click Verify.
Ergebnis: Sie haben Ihre erste Domäne erfolgreich verifiziert und damit eine Organisation mit Ihrem Konto als Organisationsadmin erstellt. Die überprüfte Domain wird bei der nächsten Anmeldung im Organization Center aufgelistet.

Deaktivieren Sie Begrüßungs-E-Mails für Benutzer (optional).

Sign in to the klassische Admin-Portal at https://admin.logmeininc.com.
Wählen Sie im linken Navigationsbereich Administratoreinstellungen aus.
Suchen Sie den Bereich Organisation und wählen Sie Bearbeiten.
Wählen Sie Deaktiviert für Benutzer-Synchronisation > Speichern Sie.
Ergebnis: Sie haben die Begrüßungs-E-Mails für Benutzer deaktiviert und müssen Ihre Benutzer über Änderungen an ihrem Konto und/oder den zugewiesenen Produkten informieren.

Ergebnisse: Sie haben erfolgreich eine Organisation eingerichtet und die gewünschten Einstellungen für Willkommens-E-Mails konfiguriert.

Schritt #2: Zertifikat der Föderationsdienste

Jede AD FS-Bereitstellung wird durch einen DNS-Namen identifiziert (z. B. "adfs.mydomain.com"). Bevor Sie beginnen, benötigen Sie ein Zertifikat, das auf diesen Antragstellernamen ausgestellt ist. Hierbei handelt es sich um einen extern sichtbaren Namen; wählen Sie daher einen geeigneten Namen, der Ihr Unternehmen Partnern gegenüber repräsentiert. Außerdem darf dieser Name nicht als Serverhostname verwendet werden, da dadurch Probleme mit der Registrierung von Dienstprinzipalnamen (SPN) entstehen.

Es gibt viele Methoden zum Generieren von Zertifikaten. Am einfachsten ist die Verwendung der IIS-7-Verwaltungskonsole; vorausgesetzt, Ihre Domäne verfügt über eine Zertifizierungsstelle:

Öffnen Sie das Webserver(IIS)-Verwaltungs-Snap-In.
Wählen Sie in der Navigationsstruktur den Serverknoten und dann die Option Serverzertifikate aus.
Wählen Sie Domänenzertifikat erstellen aus.
Geben Sie unter "Allgemeiner Name" Ihren Verbunddienstnamen ein (z. B. adfs.mydomain.com).
Wählen Sie Ihre Active-Directory-Zertifizierungsstelle aus.
Geben Sie einen beliebigen Anzeigenamen für das Zertifikat ein.

Anmerkung: Wenn Sie das Zertifikat nicht über die IIS-Konsole erstellt haben, stellen Sie sicher, dass das Zertifikat an den IIS-Dienst auf den Servern gebunden ist, auf denen Sie AD FS installieren werden, bevor Sie fortfahren.

Schritt #3: Erstellen Sie ein Domain-Benutzerkonto

Für AD FS-Server müssen Sie ein Domänenbenutzerkonto erstellen, um die Dienste ausführen zu können (es sind keine speziellen Gruppen erforderlich).

Schritt Nr. 4: Installieren Sie Ihren ersten AD FS-Server

Laden Sie AD FS 2.0 herunter und führen Sie das Installationsprogramm aus. Stellen Sie sicher, dass Sie das Installationsprogramm als Domänenadministrator ausführen, damit SPN und andere Container in AD erstellt werden.
Wählen Sie unter „Serverrolle“ die Rolle Verbundserver aus.
Aktivieren Sie die Option AD FS 2.0 Management-Snap-In starten, wenn dieser Assistent am Ende des Setup-Assistenten geschlossen wird.
Wählen Sie im Snap-In AD FS-Verwaltung die Option Neuen Federation-Dienst erstellen.
Wählen Sie Neue Verbundserverfarm aus.
Wählen Sie das Zertifikat aus, das Sie im vorherigen Schritt erstellt haben.
Wählen Sie den Domänenbenutzer aus, den Sie in den vorherigen Schritten erstellt haben.

Schritt #5: Konfigurieren Sie Ihren vertrauenden Partner

In diesem Schritt teilen Sie AD FS die Art der SAML-Token mit, die das System akzeptiert.

Richten Sie wie folgt ein Vertrauensverhältnis ein:

Wählen Sie in der AD FS 2.0 MMC in der Navigationsstruktur Vertrauensbeziehungen>Vertrauensstellungen der vertrauenden Seite.
Wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen und wählen Sie Start.
Wählen Sie unter „Datenquelle auswählen“ die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren.
In the text box below the selected option, paste the metadata URL: http://identity.goto.com/saml/sp.
Wählen Sie OK, um zu bestätigen, dass einige Metadaten, die AD FS 2.0 nicht versteht, übersprungen werden.
Geben Sie auf der Seite Anzeigename angeben den Namen LogMeInTrust ein und wählen Sie Weiter.
Klicken Sie unter Ausstellungsautorisierungsregeln wählen auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben (es sei denn, es wird eine andere Option gewünscht).
Gehen Sie die restlichen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.

Hinzufügen von zwei Anspruchsregeln

Wählen Sie den neuen Endpunkteintrag aus, und wählen Sie dann im Navigationsmenü die Option Anspruchsregeln bearbeiten.
Wählen Sie die Registerkarte Ausstellungstransformationsregeln aus und klicken Sie auf Regel hinzufügen.
Verwenden Sie das Dropdown-Menü, um LDAP-Attribute als Ansprüche senden ausWeiter.
Verwenden Sie die folgenden Einstellungen für die Regel:
- Anspruchsregelname: AD Email
- Attributspeicher: Active Directory
- LDAP-Attribut: E-mail Addresses
- Ausgehender Anspruchstyp: E-mail Address
Fertig stellen auswählen.
Wählen Sie erneut Regel hinzufügen.
Wählen Sie aus dem Dropdown-Menü die Option Eingehenden Fall umwandeln und wählen Sie dann Weiter.
Verwenden Sie die folgenden Einstellungen für die Regel:
- Anspruchsregelname: Namens-ID
- Typ des eingehenden Anspruchs: E-Mail-Adresse
- Typ des ausgehenden Anspruchs: Namens-ID
- ID Format des ausgehenden Namens: E-Mail
Wählen Sie Alle Anspruchswerte zulassen aus.
Fertig stellen auswählen.

Abschließen der Konfiguration

Um zu verhindern, dass AD FS standardmäßig verschlüsselte Assertions sendet, öffnen Sie eine Windows Power Shell-Eingabeaufforderung und führen Sie den folgenden Befehl aus:

Set-AdfsRelyingPartyTrust -TargetName "<relyingPartyTrustDisplayName>" -EncryptClaims $False

Schritt #6: Vertrauen konfigurieren

Als letzten Schritt müssen Sie gewährleisten, dass die von Ihrem neuen AD FS-Dienst generierten SAML-Token akzeptiert werden.

Verwenden Sie den Abschnitt „Identitätsanbieter“ im Organization Center, um die Details anzugeben.
Wählen Sie für AD FS 2.0 die Konfiguration "Automatisch" und geben Sie die folgende URL ein, wobei Sie "Server" durch den von außen zugänglichen Hostnamen Ihres AD FS-Servers ersetzen: https://server/FederationMetadata/2007-06/FederationMetadata.xml

Schritt Nr. 7: Testen einer einzelnen Serverkonfiguration

Es sollte nun möglich sein, die Konfiguration zu testen. Sie müssen einen DNS-Eintrag für die AD FS-Dienstidentität erstellen und dabei auf den AD FS-Server verweisen, den Sie soeben konfiguriert haben, oder auf ein Lastenausgleichsmodul, falls vorhanden.

Um die vom Identitätsanbieter initiierte Anmeldung zu testen, gehen Sie zu Ihrer benutzerdefinierten IdP-URL (Beispiel: https://adfs.<meinedomain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter "Auf einer der folgenden Websites anmelden" angezeigt.
Zum Testen der von der vertrauenden Seite initiierten Anmeldung, sehen Sie sich die Anweisungen für Wie melde ich mich mit Single Sign-On an?

Article last updated: 17 January, 2024