HELP FILE
Configurar Enterprise Sign-In con ADFS 3.0
Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos y, al mismo tiempo, ofrecer Single Sign-On (SSO). SSO garantiza que sus usuarios puedan acceder a sus GoTo productos con el mismo proveedor de identidades que para sus otras aplicaciones y entornos empresariales. Estas prestaciones se denominan Enterprise Sign-In.
Puede configurar los servicios de federación de Active Directory (ADFS) para admitir la autenticación single sign-on para GoTo productos.
Acerca de ADFS 3.0
ADFS 3.0 es una versión mejorada de ADFS 2.0. Es un componente descargable de Windows Server 2012 R2. Una gran ventaja de la versión 3.0 es que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente. Las mejoras han cambiado en parte la instalación y la configuración, en comparación con la versión anterior.
Este artículo describe cómo instalar y configurar ADFS, y establecer ADFS en una relación de confianza de SAML con Enterprise Sign-In. En esta relación de confianza, aDFS es el proveedor de identidades y GoTo es el proveedor de servicios. Al finalizar, GoTo podrá usar ADFS para autenticar usuarios en productos como GoToWebinar con las aserciones SAML presentadas por ADFS. Los usuarios podrán iniciar autenticaciones desde el lado del proveedor de servicios o desde el lado del proveedor de identidades.
Requisitos
Entre los requisitos previos de ADFS 3.0 están los siguientes:
- Un certificado de confianza pública para la autenticación de ADFS a sus clientes. El nombre de servicio de ADFS se tomará del nombre de sujeto del certificado, por lo que es importante que el nombre de sujeto del certificado se asigne de la forma correspondiente.
- El servidor ADFS debe ser miembro de un dominio de Active Directory y se necesitará una cuenta de administrador de dominio para la configuración de ADFS.
- Se necesitará una entrada DNS para que el cliente resuelva el nombre de host de ADFS
Se puede consultar una lista completa y detallada de los requisitos en Microsoft ADFS 3.0 overview.
Instalación
- Inicie la instalación de ADFS 3.0. Para ella, vaya a Herramientas administrativas > Administrador del servidor > Agregar roles y características.
- En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles y haga clic en Siguiente.
- En la página Seleccionar servidor de destino, seleccione el servidor donde instalar el servicio ADFS y haga clic en Siguiente.
- En la página Seleccionar roles de servidor, seleccione Servicios de federación de Active Directory y haga clic en Siguiente.
- En Seleccionar características, a menos que haya otras características adicionales que quiera instalar, acepte los valores predeterminados y haga clic en Siguiente.
- Revise la información en los Servicios de dominio de Active Directory y haga clic en Siguiente.
- Inicie la instalación en la página Confirmar selecciones de instalación.
Configuración
- En las Notificaciones, tendrá una notificación de alerta para avisarle de que tiene una tarea de Configuración posterior a la implementación pendiente. Abra el archivo y haga clic en el enlace para iniciar el asistente de configuración.
- En la página de Bienvenida, seleccione Crear el primer servidor de federación de una granja de servidores de federación (a menos que ya haya una granja de servidores existente a la que esté agregando este servidor ADFS).
- En la página Conectarse a ADFS, seleccione la cuenta de administrador de dominio para llevar a cabo la configuración.
- En Especificar propiedades del servicio, especifique el certificado SSL creado en los requisitos previos. Defina el Nombre del servicio de federación y el Nombre visible del servicio de federación.
- En Especificar cuenta de servicio, seleccione la cuenta que usará ADFS.
- En Especificar base de datos de configuración, seleccione la base de datos que quiere usar.
- Revise la información de comprobación de requisitos previos y haga clic en Configurar.
Establecimiento de la relación de confianza
Cada parte (ADFS y GoTo) deberá configurar para confiar en el otro participante. Por lo tanto, la configuración de la relación de confianza es un proceso de dos pasos.
Paso n.º 1: Configurar ADFS para confiar GoToWebinar SAML
- Vaya a Herramientas administrativas > ADFS Management.
- En ADFS Management, abra el menú desplegable Action (Acción) y seleccione Add Relying Party Trust (Agregar veracidad del usuario de confianza). Esta acción iniciará el asistente Add Relying Party Trust (Agregar veracidad del usuario de confianza).
- En la página del asistente Seleccionar origen de datos, seleccione Importar los datos sobre el usuario de confianza publicado en línea o en una red local.
- En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos: https://authentication.logmeininc.com/saml/sp.
- Haga clic en Siguiente.
- Omita la página Configure Multi-factor Authentication Now? (¿Desea configurar la autenticación multifactor ahora?).
- En la pantalla Elegir reglas de autorización de emisión, elija Permitir que todos los usuarios tengan acceso a este usuario de confianza a menos que prefiera otra opción.
- Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.
Agregar 2 reglas de notificación
Paso n.º 2 Configurar GoTo to confiar en ADFS
- Vaya al Centro de organización en https://organization.logmeininc.com y use el formulario web de proveedor de identidades.
- ADFS publica sus metadatos en una dirección URL estándar de forma predeterminada: (https://< nombre de host >/federationmetadata/2007-06/federationmetadata.xml).
- Si esta URL es pública y puede acceder a ella en Internet: Haga clic en la pestaña Proveedor de identidades en el Centro de organización, seleccione la opción Configuración automática, pegue la URL en el campo de texto y haga clic en Guardar cuando haya terminado.
- Si la URL de metadatos no está disponible públicamente, obtenga la URL de Single Sign-On y un certificado (para la validación de firmas) de ADFS y envíelos usando la opción Configuración manual en la ficha Proveedor de identidades del Centro de organización.
- Para obtener los elementos necesarios, haga lo siguiente:
- Para obtener la dirección URL del servicio de Single Sign-On, abra la ventana ADFS Management y seleccione la carpeta Puntos finales para mostrar una lista de los puntos finales de ADFS. Busque el punto final tipo SAML 2.0/WS-Federation y copie la URL de sus propiedades. De forma alternativa, si tiene acceso a la dirección URL de metadatos estándar, muestre el contenido de la dirección URL en un explorador web y busque la dirección URL de Single Sign-On en el contenido XML.
- Para obtener el certificado para la validación de firmas, abra ADFS Management y seleccione la carpeta Certificados para mostrar los certificados. Busque el Certificado de firma de tokens, haga clic en él con el botón secundario y seleccione Ver certificado. Seleccione la pestaña Detalles y, a continuación, la opción Copiar a archivo. En el asistente para exportar certificados, seleccione X.509 codificado base 64 (.CER). Asigne un nombre al archivo para completar la exportación del certificado a un archivo.
- Escriba la URL del servicio de Single Sign-On y el texto del certificado en los campos correspondientes del Centro de organización y haga clic en Guardar.
Prueba de la configuración
- Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a su URL de proveedor de identidades personalizada (ejemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
- Para probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo se inicia sesión con Single Sign-On?