Configurar Enterprise Sign-In con AD FS 2.0
Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos y, al mismo tiempo, ofrecer Single Sign-On (SSO). SSO garantiza que sus usuarios puedan acceder a sus GoTo productos con el mismo proveedor de identidades que para sus otras aplicaciones y entornos empresariales. Estas prestaciones se denominan Enterprise Sign-In.
Este documento describe la configuración de Active Directory Federation Services (AD FS) para ofrecer asistencia de inicio de sesión único a GoTo productos.
AD FS 2.0 es una descargable componente para Windows Server 2008 y 2008 R2. Es sencillo de implementar, pero hay varios pasos de configuración que necesitan cadenas, certificados, direcciones URL, etc. AD FS 3.0 también es compatible con Enterprise Sign-In. AD FS 3.0 tiene varias mejoras, la más grande es que el servidor de servicios de información de Internet (IIS) de Microsoft se incluye en la implementación en lugar de una instalación independiente.
Paso n.º 1: Configurar una organización para ADFS 2.0
Configure una “organización” para registrar al menos un dominio de correo electrónico válido con GoTo para verificar su propiedad de dicho dominio. Los dominios de la organización son dominios de correo electrónico de propiedad exclusiva que los administradores pueden comprobar mediante el servicio web o el servidor DNS.
Configurar una organización.
Desactive los correos de bienvenida para los usuarios (opcional).
Paso n.º 2: Certificado de los servicios de federación
Cada implementación de AD FS se identifica con un nombre DNS (por ejemplo, “adfs.mydomain.com”). Necesitará contar con un certificado emitido para este nombre de sujeto antes de empezar. Este identificador es un nombre visible externamente, por lo tanto, asegúrese de seleccionar algo adecuado para representar a su empresa ante sus asociados. No use ese nombre como nombre de host también, ya que esto causaría problemas con el registro de nombres principales de servicio (SPN).
Paso n.º 3: Crear una cuenta de usuario de dominio
Los servidores de AD FS requieren que cree una cuenta de usuario de dominio para ejecutar sus servicios (no es necesario establecer grupos específicos).
Paso n.º 4: Instale su primer servidor AD FS
- Descargue AD FS 2.0 y ejecute el instalador. Asegúrese de ejecutar el instalador como administrador de dominio. Esto creará los nombres SPN y otros contenedores de AD.
- En el rol del servidor, seleccione Servidor de federación.
- Cheque Inicie el complemento de administración de AD FS 2.0 cuando este asistente se cierre al final del asistente de configuración.
- En el complemento de administración de AD FS, seleccione Crear un nuevo servicio de federación.
- Seleccione New Federation Server farm (Nueva comunidad de servidores de federación).
- Seleccione el certificado que ha creado en el paso anterior.
- Seleccione el usuario de dominio que ha creado en los pasos anteriores.
Paso n.º 5: Configurar el usuario de la relación de confianza
En este paso, indica AD FS el tipo de tokens SAML que acepta el sistema.
- En AD FS 2.0 MMC, seleccione Relaciones de confianza> Relación de confianza para usuarios en el árbol de navegación.
- Seleccionar Añadir confianza de usuario de confianza y seleccione Inicio.
- En Seleccionar origen de datos, seleccione Importar los datos sobre el usuario de confianza publicado en línea o en una red local.
- En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos: https://authentication.logmeininc.com/saml/sp.
- Seleccionar Aceptar para saber que no se omitirán los metadatos de AD FS 2.0 que no comprenda.
- En la página Especificar nombre visible, escriba LogMeInTrusty seleccionar Siguiente.
- En la pantalla Elegir reglas de autorización de emisión, elija Permitir que todos los usuarios tengan acceso a este usuario de confianza a menos que prefiera otra opción.
- Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.
Añadir 2 reglas de notificación
- Seleccione la nueva entrada de punto final y, a continuación, seleccione Editar reglas de notificación en el menú de navegación.
- Seleccione la pestaña Reglas de transformación de emisión y haga clic en Añadir regla.
- Utilice el menú desplegable para seleccionar Enviar atributos LDAP como notificacionesy, a continuación, seleccione Siguiente.
- Use la siguiente configuración para la regla:
- Nombre de la regla de notificaciones: Correo electrónico de AD
- Almacén de atributos: Active Directory
- Atributo LDAP: Direcciones de correo electrónico
- Tipo de notificación saliente: Dirección de correo electrónico
- Seleccionar Finalizar.
- Seleccionar Añadir regla de nuevo.
- Utilice el menú desplegable para seleccionar Transformar una notificación entrantey, a continuación, seleccione Siguiente.
- Use la siguiente configuración para la regla:
- Nombre de la regla de notificaciones: ID de nombre
- Tipo de notificación entrante: Dirección de correo electrónico
- Tipo de notificación saliente: ID de nombre
- Formato de ID de nombre saliente: Correo electrónico
- Seleccione Pasar a través todos los valores de notificaciones.
- Seleccionar Finalizar.
Finalice la configuración
- Haga clic con el botón derecho en la nueva relación de confianza del usuario de confianza en la Aplicaciones para usuarios de confianza carpeta y elija Propiedades.
- En Avanzado, elija SHA-1y, a continuación, seleccione Aceptar.
- Para evitar que AD FS envíe aserciones cifradas de forma predeterminada, abra un botón de comandos de Windows Power Shell y ejecute el siguiente comando:
Paso n.º 6: Configurar la confianza
El último paso de configuración consiste en aceptar los tokens SAML generados por su nuevo servicio de ADFS.
- Use la sección "Identity Provider" (Identificar proveedor) en el Centro de organización para agregar los detalles necesarios.
- Para AD FS 2.0, seleccione “Automatic” Settings (Configuración automática) e introduzca la siguiente URL (sustituya “server” con el nombre de host accesible externamente del servidor de AD FS):https://server/FederationMetadata/2007-06/FederationMetadata.xml
Paso n.º 7: Comprobar la configuración en un solo servidor
En este punto, debe poder probar la configuración. Debe crear una entrada DNS para la identidad de servicio de ADFS, que haga referencia al servidor ADFS que acaba de configurar, o a un equilibrador de carga de red si está usando uno.
- Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a su URL de proveedor de identidades personalizada (ejemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
- Cómo probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo puedo iniciar sesión con single sign-on?