HELP FILE

Configurar Enterprise Sign-In con ADFS 3.0

Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos y, al mismo tiempo, ofrecer Single Sign-On (SSO). SSO garantiza que los usuarios puedan acceder a sus productos de LogMeIn con el mismo proveedor de identidades que el del resto de las aplicaciones y los entornos de la empresa. Estas prestaciones se denominan Enterprise Sign-In.

Puede configurar los servicios de federación de Active Directory (ADFS) para ofrecer asistencia de inicio de sesión único para LogMeIn productos.

Nota: Asegúrese de obtener más información sobre Enterprise Sign-In y completar los pasos de configuración inicial antes de continuar con esta configuración.

Acerca de ADFS 3.0

ADFS 3.0 es una versión mejorada de ADFS 2.0. Es un componente descargable de Windows Server 2012 R2. Una gran ventaja de la versión 3.0 es que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente. Las mejoras han cambiado en parte la instalación y la configuración, en comparación con la versión anterior.

Este artículo describe cómo instalar y configurar ADFS, y establecer ADFS en una relación de confianza de SAML con Enterprise Sign-In. En esta relación de confianza, ADFS es el proveedor de identidades y LogMeIn es el proveedor de servicios. Al finalizar, LogMeIn podrá utilizar ADFS para autenticar usuarios en productos como GoToMeeting usando aserciones SAML presentadas por ADFS. Los usuarios podrán iniciar autenticaciones desde el lado del proveedor de servicios o desde el lado del proveedor de identidades.

Requisitos

Entre los requisitos previos de ADFS 3.0 están los siguientes:

  • Un certificado de confianza pública para la autenticación de ADFS a sus clientes. El nombre de servicio de ADFS se tomará del nombre de sujeto del certificado, por lo que es importante que el nombre de sujeto del certificado se asigne de la forma correspondiente.
  • El servidor ADFS debe ser miembro de un dominio de Active Directory y se necesitará una cuenta de administrador de dominio para la configuración de ADFS.
  • Se necesitará una entrada DNS para que el cliente resuelva el nombre de host de ADFS

Se puede consultar una lista completa y detallada de los requisitos en Microsoft ADFS 3.0 overview.

Instalación

  1. Inicie la instalación de ADFS 3.0. Para ella, vaya a Herramientas administrativas > Administrador del servidor > Agregar roles y características.
  2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles y haga clic en Siguiente.
  3. En la página Seleccionar servidor de destino, seleccione el servidor donde instalar el servicio ADFS y haga clic en Siguiente.
  4. En la página Seleccionar roles de servidor, seleccione Servicios de federación de Active Directory y haga clic en Siguiente.
  5. En Seleccionar características, a menos que haya otras características adicionales que quiera instalar, acepte los valores predeterminados y haga clic en Siguiente.
  6. Revise la información en los Servicios de dominio de Active Directory y haga clic en Siguiente.
  7. Inicie la instalación en la página Confirmar selecciones de instalación.

Configuración

  1. En las Notificaciones, tendrá una notificación de alerta para avisarle de que tiene una tarea de Configuración posterior a la implementación pendiente. Abra el archivo y haga clic en el enlace para iniciar el asistente de configuración.
  2. En la página de Bienvenida, seleccione Crear el primer servidor de federación de una granja de servidores de federación (a menos que ya haya una granja de servidores existente a la que esté agregando este servidor ADFS).
  3. En la página Conectarse a ADFS, seleccione la cuenta de administrador de dominio para llevar a cabo la configuración.
  4. En Especificar propiedades del servicio, especifique el certificado SSL creado en los requisitos previos. Defina el Nombre del servicio de federación y el Nombre visible del servicio de federación.
  5. En Especificar cuenta de servicio, seleccione la cuenta que usará ADFS.
  6. En Especificar base de datos de configuración, seleccione la base de datos que quiere usar.
  7. Revise la información de comprobación de requisitos previos y haga clic en Configurar.

Establecimiento de la relación de confianza

Cada una de las partes (ADFS y LogMeIn) debe estar configurada para confiar en la otra parte. Por lo tanto, la configuración de la relación de confianza es un proceso de dos pasos.

Paso n.º 1: Configurar ADFS para confiar en GoToWebinar SAML

  1. Vaya a Herramientas administrativas > ADFS Management.
  2. En ADFS Management, abra el menú desplegable Action (Acción) y seleccione Add Relying Party Trust (Agregar veracidad del usuario de confianza). Esta acción iniciará el asistente Add Relying Party Trust (Agregar veracidad del usuario de confianza).
  3. En la página del asistente Seleccionar origen de datos, seleccione Importar los datos sobre el usuario de confianza publicado en línea o en una red local.
  4. En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos:           https://authentication.logmeininc.com/saml/sp.
  5. Haga clic en Siguiente.
  6. Omita la página Configure Multi-factor Authentication Now? (¿Desea configurar la autenticación multifactor ahora?).
  7. En la pantalla Elegir reglas de autorización de emisión, elija Permitir que todos los usuarios tengan acceso a este usuario de confianza a menos que prefiera otra opción.
  8. Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.

Agregar 2 reglas de notificación

  1. Haga clic en la nueva entrada de punto final y, en el menú de navegación de la derecha, haga clic en Editar reglas de notificación.
  2. Seleccione la ficha Issuance Transform Rules (Reglas de transformación de emisión) y haga clic en Add Rule (Agregar regla).
  3. Utilice el menú desplegable para seleccionar Enviar atributos LDAP como notificaciones y, a continuación, haga clic en Siguiente.
  4. Use la siguiente configuración para la regla:
    • Nombre de la regla de notificaciones: Correo electrónico de AD
    • Almacén de atributos: Active Directory
    • Atributo LDAP: Direcciones de correo electrónico
    • Tipo de notificación saliente: Dirección de correo electrónico
  5. Haga clic en Finalizar.
  6. Haga clic de nuevo en Add Rule (Agregar regla).
  7. Utilice el menú desplegable para seleccionar Transformar una notificación entrante y haga clic en Siguiente.
  8. Use la siguiente configuración: 
    • Nombre de la regla de notificaciones: ID de nombre
    • Tipo de notificación entrante: Dirección de correo electrónico
    • Tipo de notificación saliente: ID de nombre
    • Formato de ID de nombre saliente: Correo electrónico
  9. Seleccione Pasar a través todos los valores de notificaciones.
  10. Haga clic en Finalizar.
  11. Haga clic con el botón secundario en la nueva relación de confianza en la carpeta Veracidades de usuarios de confianza y seleccione Propiedades.
  12. En Avanzado, seleccione SHA-1 y haga clic en Aceptar.
  13. Para evitar que ADFS envíe aserciones cifradas de manera predeterminada, abra un símbolo del sistema de Windows PowerShell y ejecute el siguiente comando:

    set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

Paso n.º 2:Configurar LogMeIn para que confíe en ADFS

  1. Vaya al Centro de organización en https://organization.logmeininc.com y use el formulario web de proveedor de identidades.
  2. ADFS publica sus metadatos en una dirección URL estándar de forma predeterminada: (https://< nombre de host >/federationmetadata/2007-06/federationmetadata.xml).
    • Si esta URL es pública y puede acceder a ella en Internet: Haga clic en la pestaña Proveedor de identidades en el Centro de organización, seleccione la opción Configuración automática, pegue la URL en el campo de texto y haga clic en Guardar cuando haya terminado.
    • Si la URL de metadatos no está disponible públicamente, obtenga la URL de Single Sign-On y un certificado (para la validación de firmas) de ADFS y envíelos usando la opción Configuración manual en la ficha Proveedor de identidades del Centro de organización.
  3. Para obtener los elementos necesarios, haga lo siguiente:
    1. Para obtener la dirección URL del servicio de Single Sign-On, abra la ventana ADFS Management y seleccione la carpeta Puntos finales para mostrar una lista de los puntos finales de ADFS. Busque el punto final tipo SAML 2.0/WS-Federation y copie la URL de sus propiedades. De forma alternativa, si tiene acceso a la dirección URL de metadatos estándar, muestre el contenido de la dirección URL en un explorador web y busque la dirección URL de Single Sign-On en el contenido XML.
    2. Para obtener el certificado para la validación de firmas, abra ADFS Management y seleccione la carpeta Certificados para mostrar los certificados. Busque el Certificado de firma de tokens, haga clic en él con el botón secundario y seleccione Ver certificado. Seleccione la pestaña Detalles y, a continuación, la opción Copiar a archivo. En el asistente para exportar certificados, seleccione X.509 codificado base 64 (.CER). Asigne un nombre al archivo para completar la exportación del certificado a un archivo.
  4. Escriba la URL del servicio de Single Sign-On y el texto del certificado en los campos correspondientes del Centro de organización y haga clic en Guardar.

Prueba de la configuración

  1. Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a su URL de proveedor de identidades personalizada (ejemplo: https://adfs. < mis dominio.com > /adfs/ls / < Inicio de sesión iniciado por IdP > = https://adfs.midomain.com/adfs/ls/IdpIniciatedSigneSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
  2. Para probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo puedo iniciar sesión con Single Sign-On?