Configurer Enterprise Sign-In avec AD FS 2.0

La version officielle de ce contenu est en anglais. Une partie du contenu de la documentation GoTo a été traduit automatiquement pour en faciliter l’accès. GoTo n’a aucun contrôle sur le contenu traduit automatiquement, qui peut contenir des erreurs, des inexactitudes ou des termes inappropriés. Aucune garantie n’est émise, expresse ou implicite, quant à l’exactitude, la fiabilité, l’adéquation ou la justesse de toute traduction de l’original anglais vers toute autre langue, et GoTo ne peut pas être tenu responsable de tout dommage ou problème lié l’utilisation que vous faites de ce contenu traduit automatiquement ou de la confiance que vous pourriez accorder à ce contenu.

Configurer Enterprise Sign-In avec AD FS 2.0

Votre organisation peut aisément gérer des milliers d’utilisateurs et leur accès aux produits tout en leur offrant aussi l’authentification unique. L'authentification unique permet à vos utilisateurs d'accéder à leur GoTo les produits utilisant le même fournisseur d'identité que pour leurs autres applications et environnements d'entreprise. Ces fonctionnalités sont appelées « Enterprise Sign-In ».

Ce document couvre la configuration de vos Services Active Directory Federation Services (AD FS) pour prendre en charge l'authentification unique à GoTo produits.

AD FS 2.0 est un téléchargeable composant pour Windows Server 2008 et 2008 R2. Il est facile à déployer, mais plusieurs étapes de configuration nécessitent des chaînes, certificats, URL, etc. spécifiques. AD FS 3.0 est également pris en charge pour Enterprise Sign-In. AD FS 3.0 a plusieurs améliorations, plus la plus grande est que Microsoft Internet Information Services (IIS) est inclus dans le déploiement plutôt qu'une installation séparée.

Remarque: Vous pouvez passer à Étape 5 (indiqué ci-dessous) si vous avez déjà déployé AD FS 2.0.

Étape 1 : Configurer une organisation pour ADFS 2.0

Définissez une «organisation» en enregistrant au moins un domaine de messagerie valide avec GoTo pour vérifier votre propriété de ce domaine. Les domaines dans votre organisation sont des domaines de messagerie que vos administrateurs peuvent vérifier par votre service Web ou serveur DNS.

Important: L'utilisateur qui effectue la vérification de domaine devient automatiquement l'administrateur de l'organisation, mais il n'est pas nécessaire d'avoir un GoTo rôle d'administrateur de produit.

Les étapes ci-dessous sont effectuées dans GoTo Centre d'organisation.

Configurez une organisation.

Connectez-vous à GoTo Centre d'organisation à https://organization.logmeininc.com.
La première page qui s’affiche vous invite à vérifier que vous possédez le domaine pour le compte avec lequel vous vous êtes connecté. Il existe deux méthodes s’offrent pour configurer la validation de domaine, les deux utilisent un code de vérification unique. Copiez le code de vérification dans le Presse-papiers.

Remarque: l’écran de vérification reste affiché jusqu’à ce que le domaine soit vérifié. Si vous mettez plus de 10 jours à vérifier le domaine, le système génère automatiquement de nouveaux codes de vérification pour votre domaine la prochaine fois que vous visitez le centre d’organisation.
Selon la méthode de vérification choisie, collez le code de vérification dans l’enregistrement DNS ou dans un fichier texte à impoter vers l’un des emplacements :
- Méthode 1 : Ajoutez un enregistrement DNS au fichier de votre zone de domaine. Pour utiliser la méthode DNS, vous devez placer un enregistrement DNS au niveau du domaine de messagerie dans votre zone DNS. En général, les utilisateurs vérifient un domaine racine ou de deuxième niveau, tel que « main.com ». Dans ce cas, l’enregistrement se présente comme suit :
  
  @ IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  OU
  
  main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  Si vous avez besoin d’un domaine de troisième niveau (ou sous-domaine), tel que « mail.monentreprise.com », l’enregistrement doit être placé sur ce sous-domaine, par exemple :
  
  mail.main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  Pour de plus amples informations, consultez l’article Ajouter un enregistrement TXT DNS.
- Méthode 2 : Envoyez un fichier de serveur Web sur le site Web spécifié.Importez un fichier texte contenant une chaîne de vérification vers la racine de votre serveur Web. Le fichier texte ne doit pas contenir d’espace ou de caractères autres que ceux fournis.
  - Emplacement : http://< votre domaine>/code-vérification-logmein.txt
  - Contenu : logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e
Une fois ajouté l’enregistrement DNS ou le fichier texte, revenez à l’écran d’état du domaine et cliquer sur Vérifier.
Résultat : Vous avez bien vérifié votre premier domaine, et créé par conséquent une organisation avec votre compte en tant qu'administrateur de l'organisation. Le domaine vérifié apparaît lors de votre prochaine connexion au centre d'organisation.

Désactiver les e-mails de bienvenue pour les utilisateurs (facultatif).

Connectez-vous à GoTo Admin Centre (classique ) à https://admin.logmeininc.com.
Sélectionnez Paramètres administrateur dans la zone de navigation de gauche.
Localisez le panneau Organisation et sélectionnez Modifier.
Sélectionnez Désactivé pour la synchronisation des utilisateurs > Enregistrer.
Résultat : Vous avez désactivé les e-mails de bienvenue pour les utilisateurs et devrez informer vos utilisateurs des modifications apportées à leur compte et/ou aux produits attribués à l'avenir.

Résultat: Vous avez bien configuré une organisation et configuré les paramètres souhaités pour les e-mails de bienvenue.

Étape 2 : Certificat du service de fédération

Chaque déploiement AD FS est identifié par un nom DNS (par exemple, «adfs.mydomain.com»). Vous aurez besoin d’un certificat émis pour ce nom (Subject Name) avant de commencer. Cet identificateur étant un nom visible en externe, assurez-vous d’utiliser une appellation appropriée pour représenter votre société auprès de partenaires. De plus, n’utilisez pas ce nom en tant que nom d’hôte du serveur ; cela entraînerait des problèmes pour l’enregistrement des noms principaux de service (SPN).

Il existe plusieurs méthodes pour générer des certificats. La solution la plus simple, si vous disposez d’une autorité de certification dans votre domaine, est d’utiliser la console de gestion IIS 7 :

Ouvrez le composant logiciel enfichable Serveur Web (IIS).
Sélectionnez le nœud du serveur dans l’arborescence de navigation, puis l’option Certificats de serveur.
Sélectionnez Créer un certificat de domaine.
Entrez le nom de votre service de fédération dans Nom commun (par ex., adfs.mondomaine.com).
Sélectionnez votre autorité de certification Active Directory.
Entrez un nom convivial pour le certificat (un identificateur quelconque fera l’affaire).

Remarque: Si vous n'utilisez pas la console IIS pour générer le certificat, assurez-vous que le certificat est lié au service IIS dans les serveurs où vous allez installer AD FS avant de continuer.

Étape 3 : Créer un compte d’utilisateur de domaine

Les serveurs AD FS nécessitent que vous créez un compte utilisateur de domaine pour exécuter ses services (aucun groupe spécifique n'est nécessaire).

Étape 4 : Installer votre premier serveur AD FS

Téléchargez AD FS 2.0 et exécutez le programme d'installation. Vérifiez que vous exécutez le programme d’installation en tant qu’administrateur de domaine ; cela va créer des noms principaux de service et d’autres conteneurs dans Active Directory.
Dans Rôle du serveur, sélectionnez Serveur de fédération.
Vérifier Démarrer le plug-in de gestion AD FS 2.0 lorsque cet assistant se ferme à la fin de l'assistant d'installation.
Dans AD FS Management, cliquez sur Créer un nouveau Service de fédération.
Sélectionnez Nouvelle batterie de serveurs de Fédération.
Sélectionnez le certificat que vous avez créé à l’étape précédente.
Sélectionnez l’utilisateur de domaine que vous avez créé dans les étapes précédentes.

Étape 5 : Configurer la partie de confiance

Dans cette étape, vous verrez AD FS le type de jetons SAML acceptés par le système.

Établissez la relation d’approbation comme suit :

Dans AD FS 2.0 MMC, sélectionnez Relations d'approbation> Routeurs de partie de confiance dans l'arborescence de navigation.
Sélectionnez Ajouter une approbation de partie de confiance et cliquez sur Démarrer.
Sous Sélectionner une source de données, sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance.
Dans la zone de texte sous l’option sélectionnée, collez l’URL de métadonnées : https://authentication.logmeininc.com/saml/sp.
Cliquez sur OK pour confirmer que les métadonnées que ADFS 2.0 ne parvient pas à interpréter seront ignorées.
Sur la page Spécifier le nom complet, saisissez LogMeInTrust, puis cliquez sur Suivant.
Sur l’écran Choisir les règles d’autorisation d’émission, sélectionnez Autoriser l’accès de tous les utilisateurs à cette partie de confiance (sauf si vous préférez une autre option).
Suivez le reste des invites pour terminer cette partie de la relation d’approbation.

Ajouter 2 règles de revendication

Cliquez sur la nouvelle entrée de point de terminaison et cliquez sur Modifier les règles de revendication dans la zone de navigation de droite.
Sélectionnez l’onglet Règles de transformation d’émission et cliquez sur Ajouter une règle.
Utilisez le menu déroulant pour sélectionner Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.
Utilisez les paramètres suivants pour la règle :
- Nom de la règle de revendication – AD Email
- Magasin d’attributs – Active Directory
- Attribut LDAP – E-mail-Addresses
- Type de revendication sortante – E-mail-Address
Cliquez sur Terminer.
Cliquez de nouveau sur Ajouter une règle.
Utilisez le menu déroulant pour sélectionner Transformer une revendication entrante, puis cliquez sur Suivant.
Utilisez les paramètres suivants pour la règle :
- Nom de la règle de revendication – Name ID
- Type de revendication entrante – E-Mail Address
- Type de revendication sortante – Name ID
- Format d’ID de nom sortant – Email
Sélectionnez Passer toutes les valeurs de revendication.
Cliquez sur Terminer.

Terminer la configuration

Cliquez à droite sur la nouvelle approbation de partie de confiance dans le dossier Approbations de partie de confiance et sélectionnez Propriétés.
Sous Avancé, sélectionnez SHA-1, puis cliquez sur OK.
Pour empêcher AD FS d'envoyer par défaut des assertions chiffrées, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante:

Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

Étape 6 : Configurer l’approbation

La dernière étape de configuration consiste à accepter les jetons SAML générés par votre nouveau service ADFS.

Utilisez la section « Fournisseur d’identité » du centre d’organisation pour ajouter les détails nécessaires.
Pour AD FS 2.0, sélectionnez «Automatique» et saisissez l'URL suivante – remplacement du «serveur» avec le nom d'hôte accessible en externe de votre serveur AD FS:https://server/FederationMetadata/2007-06/FederationMetadata.xml

Étape 7 : Tester la configuration du serveur

À ce stade, vous devez être en mesure de tester la configuration. Vous devez créer pour l’identité du service AD FS une entrée DNS qui pointe vers le serveur AD FS que vous avez configuré, ou vers un programme d’équilibrage de la charge réseau, si vous en utilisez un.

Pour tester l’authentification initiée par le fournisseur d’identité, accédez à l’URL personnalisée du fournisseur d’identité (exemple : https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). L’identificateur de la partie de confiance doit s’afficher dans une zone de liste déroulante sous « Sign in to one to the following sites » (Se connecter à l’un des sites suivants).
Pour tester la connexion à l’initiative de la partie de confiance, voir les instructions Comment se connecter avec l’authentification unique ?