Configurar Enterprise Sign-In con AD FS 3.0
Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos y, al mismo tiempo, ofrecer Single Sign-On (SSO). SSO garantiza que los usuarios puedan acceder a sus GoTo productos con el mismo proveedor de identidades que para sus demás aplicaciones y entornos empresariales. Estas prestaciones se denominan Enterprise Sign-In.
Puede configurar Active Directory Federation Services (AD FS) para ofrecer asistencia de inicio de sesión único a GoTo productos.
Acerca de AD FS 3.0
AD FS 3.0 es una versión mejorada de AD FS 2.0. Es un descargable componente para Windows Server 2012 R2. Una gran ventaja de la versión 3.0 es que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente. Las mejoras han cambiado en parte la instalación y la configuración, en comparación con la versión anterior.
En este artículo nos referimos a instalar y configurar AD FS, y establecer AD FS en una relación de confianza SAML con Enterprise Sign-In. En esta relación de confianza, AD FS es el proveedor de identidades y GoTo es el proveedor de servicios. Al finalizar, GoTo podrá usar AD FS para autenticar a usuarios en productos como GoTo Training con las aserciones SAML presentadas por AD FS. Los usuarios podrán iniciar autenticaciones desde el lado del proveedor de servicios o desde el lado del proveedor de identidades.
Requisitos
Entre los requisitos previos de AD FS 3.0 se incluyen:
- Un certificado de confianza público para autenticar AD FS A sus clientes. El nombre del servicio de AD FS se presupone del nombre del certificado, por lo que es importante que el nombre del certificado se asigne en consecuencia.
- El servidor de AD FS deberá ser un miembro de un dominio de Active Directory y será necesario una cuenta de administrador de dominio para la configuración de AD FS.
- Se necesita una entrada DNS para resolver el nombre de host de AD FS por su cliente
Se puede revisar una lista completa y detallada de los requisitos en el Descripción general de Microsoft AD FS 3.0.
Instalación
- Inicie la instalación de AD FS 3.0 desde ir a Herramientas administrativas > Gestor de servidores > Añadir roles y funciones.
- En la Seleccionar tipo de instalación página, seleccione Instalación basada en roles o funcionesy, a continuación, seleccione Siguiente.
- En la Seleccionar servidor de destino página, elija el servidor al que quiere instalar el servicio ADFS y, a continuación, seleccione Siguiente.
- En la Seleccionar la página de roles del servidor, elija Servicios de federación de Active Directoryy, a continuación, seleccione Siguiente.
- Al Seleccionar funciones, a menos que haya otras funciones adicionales que desee instalar, deje los valores predeterminados y seleccione Siguiente.
- Revise la información de la Servicios de dominios de Active Directory página y, a continuación, seleccione Siguiente.
- Inicie la instalación en la página Confirmar selecciones de instalación.
Configuración
- En las Notificaciones, tendrá una notificación de alerta para avisarle de que tiene una tarea de Configuración posterior a la implementación pendiente. Abra y seleccione el vínculo para iniciar el asistente de configuración.
- En el Le damos la bienvenida página, seleccione Crear el primer servidor de federación en una nueva granja de servidores de federación (a menos que haya una granja existente que añada este servidor de AD FS también).
- En la Conectarse a AD FS página, seleccione la cuenta de administrador del dominio para realizar esta configuración.
- En Especificar propiedades del servicio, especifique el certificado SSL creado en los requisitos previos. Defina el Nombre del servicio de federación y el Nombre para mostrar del servicio de federación.
- En Especificar cuenta de servicio, elija la cuenta que utilizará AD FS.
- En el Especificar base de datos de configuración elegir la base de datos que desea usar.
- Revise la información Controles previos y seleccione Configurar.
Establecimiento de la relación de confianza
Cada parte (AD FS y GoTo) tendrá que configurar para confiar en el otro participante. Por lo tanto, la configuración de la relación de confianza es un proceso de dos pasos.
Paso n.º 1: Configurar AD FS para confiar GoTo Training SAML
- Vaya a Herramientas administrativas > Gestión de AD FS.
- En Gestión de AD FS, utilice el Acción menú desplegable y seleccione Añadir confianza de usuario de confianza. Esta acción iniciará el asistente Añadir veracidad del usuario de confianza.
- En la página del asistente Select Data Source (Seleccionar origen de datos), seleccione Import data about the relying party published online or on a local area network (Importar datos sobre el usuario de confianza publicados en línea o en una red de área local).
- En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos: http://identity.goto.com/saml/sp.
- Seleccione Siguiente.
- Omita la página Configure Multi-factor Authentication Now? (¿Desea configurar la autenticación multifactor ahora?).
- En la pantalla Choose Issuance Authorization Rules (Elegir reglas de autorización de emisión), elija Permit all users to access this relying party (Permitir a todos los usuarios acceder a este usuario de confianza) a menos que prefiera otra opción.
- Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.
Añadir 2 reglas de notificación
Paso n.º 2 Configurar GoTo confiar en AD FS
- Vaya al Centro de organización en https://organization.logmeininc.com y usarla Formulario web del proveedor de identidades.
- AD FS publica sus metadatos en una URL estándar por defecto ( https:// < hostname > / federationmetadata/ 2007-06/federationmetadata.xml).
- Si esta URL está disponible públicamente por Internet: seleccione el Proveedor de identidades la pestaña del Centro de organización, elija la Configuración automática la opción y pegue la URL en el campo de texto y seleccione Guardar cuando haya terminado.
- Si la URL de metadatos no está disponible públicamente y, a continuación, recopilar la URL de single sign-on y un certificado (para la validación de firma) de AD FS y enviarlos mediante la opción de configuración Manual en el Proveedor de identidades en el Centro de organización.
- Para obtener los elementos necesarios, haga lo siguiente:
- Para recopilar la URL del servicio de inicio de sesión único, abra la ventana de administración de AD FS y seleccione la Puntos de conexión carpeta para mostrar una lista de los puntos finales de AD FS. Busque el punto final tipo SAML 2.0/WS-Federation y copie la URL de sus propiedades. De forma alternativa, si tiene acceso a la dirección URL de metadatos estándar, muestre el contenido de la dirección URL en un explorador web y busque la dirección URL de Single Sign-On en el contenido XML.
- Para recopilar el certificado de la validación de firma, abra la Consola de administración de AD FS y seleccione la Certificados carpeta para mostrar los certificados. Busque la Certificado de firma de tokeny, a continuación, haga clic con el botón derecho en él y elija elija Ver certificado. Elija la Detalles y, a continuación, Copiar en archivo. Use el asistente de exportación de certificados, seleccione la Base-64 codificado X.509 (.Cer ). Asigne un nombre al archivo para completar la exportación del certificado a un archivo.
- Introduzca la URL del servicio de inicio de sesión único y el texto del certificado en sus campos correspondientes en el Centro de organización y seleccione Guardar.
Prueba de la configuración
- Para probar el inicio de sesión iniciado por el proveedor de identidades, diríjase a su URL personalizada de IdP (ejemplo: https://adfs. < my domain.com > /adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
- Cómo probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo puedo iniciar sesión con single sign-on?