Configurer Enterprise Sign-In à l'aide d'AD FS 3.0

Votre organisation peut aisément gérer des milliers d’utilisateurs et leur accès aux produits tout en leur offrant aussi l’authentification unique. L'authentification unique permet à vos utilisateurs d'accéder à leur GoTo produits utilisant le même fournisseur d'identité que pour leurs autres applications et environnements d'entreprise. Ces fonctionnalités sont appelées « Enterprise Sign-In ».

Vous pouvez configurer vos Services Active Directory Federation Services (AD FS) pour prendre en charge l'authentification unique à GoTo produits.

Remarque : Assurez-vous d'en lire plus sur Enterprise Sign-In et effectuez les étapes de configuration initiales avant de poursuivre cette configuration.

À propos de AD FS 3.0

AD FS 3.0 est une version améliorée de AD FS 2.0. Il s'agit d'un téléchargeable composant pour Windows Server 2012 R2. Un des avantages principaux de la version 3.0 réside dans le fait que les services Internet (IIS) de Microsoft sont inclus dans le déploiement plutôt que dans une installation séparée. Les améliorations modifient quelque peu l’installation et la configuration par rapport à la version précédente.

Cet article couvre la façon d'installer et de configurer AD FS, et de définir AD FS dans une relation d'approbation SAML avec Enterprise Sign-In. Dans cette relation d'approbation, AD FS est le fournisseur d'identité et GoTo est le fournisseur de services. À la fin, GoTo pourra utiliser AD FS pour authentifier les utilisateurs dans des produits comme GoTo Meeting utiliser les assertions SAML fournies par AD FS. Les utilisateurs pourront initier des authentifications du côté du fournisseur de services ou du fournisseur d’identité.

Configuration requise

Les conditions préalables à ADFS 3.0 sont les suivantes:

Un certificat de confiance publiquement pour authentifier AD FS auprès de ses clients. Le nom du service AD FS sera basé sur le nom du sujet du certificat afin qu'il est important que le nom du sujet du certificat soit attribué en conséquence.
Le serveur AD FS doit être membre d'un domaine Active Directory et un compte d'administrateur de domaine sera nécessaire pour la configuration AD FS.
Une entrée DNS sera nécessaire pour résoudre le nom d'hôte AD FS par son client

Une liste complète et détaillée des exigences peut être repensée dans Présentation de Microsoft AD FS 3.0.

Installation

Démarrez l'installation d'ADFS 3.0 en accédant à Outils d'administration > Server Manager (Gestionnaire de serveur) > Ajouter des rôles et des fonctionnalités.
Sous Sélectionnez le type d'installation page, sélectionnez installation basée sur des rôles ou fonctionnalitéspuis sélectionnez Suivant.
Sur Sélectionner le serveur de destination , choisissez le serveur sur lequel installer le service ADFS, puis sélectionnez Suivant.
Sur Sélectionner la page des rôles de serveur, choisissez Services de fédération Active Directorypuis sélectionnez Suivant.
Sur Sélectionner les fonctionnalités, sauf si certaines fonctionnalités supplémentaires doivent être installées, laissez les valeurs par défaut et sélectionnez Suivant.
Consultez les informations sur la Services Active Directory Domain , puis sélectionnez Suivant.
Lancez l'installation sur le Confirmer les sélections d'installation page.

Configuration

Dans votre Notifications, une notification vous informera que vous avez un Configuration post-déploiement … tâche restant. Ouvrez-la et sélectionnez le lien pour lancer l'assistant de configuration.
Dans Bienvenue page, sélectionnez Créer le premier serveur de fédération dans une nouvelle ferme de serveurs de fédération (sauf s'il y a une ferme existante que vous ajoutez également ce serveur AD FS).
Sur Se connecter à AD FS , sélectionnez le compte d'administrateur de domaine pour effectuer cette configuration.
En Spécifier les propriétés du Service, spécifiez le certificat SSL créé à partir des conditions préalables. Définissez la Nom du Service de fédération et Nom d'affichage du Service de fédération.
En Spécifier un compte de Service, choisissez le compte que AD FS utilisera.
Dans Spécifier la base de données de Configuration choisir la base de données à utiliser.
Consultez les informations dans Contrôles préalables et sélectionnez Configurer.

Établir une relation d’approbation

Chaque partie (AD FS et GoTo) devront être configurés pour approuver l'autre partie. Par conséquent, la configuration de la relation d’approbation est un processus en deux étapes.

Étape 1 : Configurer AD FS pour approuver GoTo Meeting SAML

Allez à Outils d'administration > Gestion AD FS.
En Gestion AD FS, utilisez Action menu déroulant et sélectionnez Ajouter l'approbation de partie de confiance. Cela va lancer l’assistant Ajouter une approbation de partie de confiance.
Sur Sélectionner la source de données page de l'assistant, sélectionnez Importer des données sur la partie de confiance publiée en ligne ou sur un réseau local.
Dans la zone de texte sous l'option sélectionnée, collez l'URL de métadonnées : https://authentication.logmeininc.com/saml/sp.
Sélectionnez Suivant.
Ignorer la Configurer l'authentification multifacteur maintenant ? page.
Sur Choisir les règles d'autorisation d'émission écran, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance (sauf si vous souhaitez une autre option).
Suivez le reste des invites pour terminer cette partie de la relation d’approbation.

Ajouter 2 règles de revendication

Sélectionnez la nouvelle entrée du point de terminaison, puis sélectionnez Modifier les règles de revendication dans le menu de navigation.
Choisissez le Règles de transformation d'émission onglet, puis sélectionnez Ajouter une règle.
Utilisez le menu déroulant et choisissez Envoyer les attributs LDAP en tant que revendicationspuis sélectionnez Suivant.
Utilisez les paramètres suivants pour la règle :
- Nom de la règle de revendication – E-mail AD
- Magasin d'attributs – Active Directory
- Attribut LDAP – Adresses E-mail-Adresses
- Type de revendication sortant – Adresse e-mail
Sélectionnez Terminer.
Sélectionnez Ajouter une règle à nouveau.
Utilisez le menu déroulant et choisissez transformation d'une revendication entrante menu, puis sélectionnez Suivant.
Utilisez les paramètres suivants :
- Nom de la règle de revendication – ID de nom
- Type de revendication entrant – Adresse e-Mail
- Type de revendication sortant – ID de nom
- Format d'ID de nom sortant – E-mail
Choisissez Transmettre toutes les valeurs de revendication.
Sélectionnez Terminer.
Pour empêcher AD FS d'envoyer par défaut des assertions chiffrées, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante:
Set-AdfsRelyingPartyTrust -TargetName "<relyingPartyTrustDisplayName>" -EncryptClaims $False

Étape 2 :Configurer GoTo approuver AD FS

Rendez-vous au centre d'organisation à https://organization.logmeininc.com et utilisez Webformulaire du fournisseur d'identité.
AD FS publie ses métadonnées vers une URL standard par défaut : (https:// < hostname > / federationmetadata/ 2007-06/federationmetadata.xml).
- Si cette URL est publiquement disponible sur l'Internet : sélectionnez Fournisseur d'identité dans le centre d'organisation, choisissez le Configuration automatique , puis collez l'URL dans le champ texte et sélectionnez Enregistrer quand vous avez terminé.
- Si l'URL de métadonnées n'est pas disponible publiquement, collectez l'URL d'authentification unique et un certificat (pour validation de signature) depuis AD FS et envoyez-les à l'aide de l'option de configuration manuelle dans la Fournisseur d'identité onglet du centre d'organisation.
Pour collecter les éléments nécessaires, procédez comme suit :
1. Pour collecter l'URL du service d'authentification unique, ouvrez la fenêtre Gestion AD FS et sélectionnez Points de terminaison dossier pour afficher une liste des points terminaux AD FS. Recherchez le point de terminaison SAML 2.0/WS-Federation type et copiez l'URL depuis ses propriétés. Si vous avez accès à l’URL des métadonnées standard, vous pouvez également afficher le contenu de l’URL dans un navigateur Web et rechercher l’URL d’authentification unique dans le contenu XML.
2. Pour collecter le certificat de validation de signature, ouvrez la Console de gestion AD FS et sélectionnez Certificats dossier pour afficher les certificats. Recherchez la Certificat de signature de jetonpuis faites un clic droit et choisissez Afficher le certificat. Choisissez le Détails , puis l'onglet, puis Copier dans le fichier l'option. Utiliser l'assistant d'exportation de certificat, sélectionnez Base X.509 encodé en base 64 (.Cer). Attribuez un nom au fichier pour terminer l’exportation du certificat dans un fichier.
Saisissez l'URL du service d'authentification unique et le texte du certificat dans les champs correspondants dans le centre d'organisation, puis sélectionnez Enregistrer.

Tester la configuration

Pour tester l'authentification initiée par le fournisseur d'identité, accédez à l'URL personnalisée du fournisseur d'identité (exemple : https://adfs. < my domain.com > /adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). L’identificateur de la partie de confiance doit s’afficher dans une zone de liste déroulante sous « Sign in to one to the following sites » (Se connecter à l’un des sites suivants).
Pour tester la connexion à l'initiative de la partie de confiance, consultez les instructions pour Comment se connecter avec l'authentification unique ?

Article last updated: 17 January, 2024