product icon

Configurer Enterprise Sign-In à l'aide d'AD FS 3.0

    Votre organisation peut aisément gérer des milliers d’utilisateurs et leur accès aux produits tout en leur offrant aussi l’authentification unique. L'authentification unique permet à vos utilisateurs d'accéder à leur GoTo les produits utilisant le même fournisseur d'identité que pour leurs autres applications et environnements d'entreprise. Ces fonctionnalités sont appelées « Enterprise Sign-In ».

    Vous pouvez configurer Active Directory Federation Services (AD FS) pour prendre en charge l'authentification unique à GoTo produits.

    Remarque : Assurez-vous d’en lire plus sur Enterprise Sign-In et terminez les étapes de configuration initiales avant de poursuivre cette configuration.

    À propos de AD FS 3.0

    AD FS 3.0 est une version améliorée de AD FS 2.0. Il s’agit d’un composant téléchargeable pour Windows Server 2012 R2. Un des avantages principaux de la version 3.0 réside dans le fait que les services Internet (IIS) de Microsoft sont inclus dans le déploiement plutôt que dans une installation séparée. Les améliorations modifient quelque peu l’installation et la configuration par rapport à la version précédente.

    Cet article couvre la façon d'installer et de configurer AD FS, et de définir AD FS dans une relation d'approbation SAML avec Enterprise Sign-In. Dans cette relation d'approbation, aD FS est le fournisseur d'identité et GoTo est le fournisseur de services. À la fin, GoTo pourra utiliser AD FS pour authentifier les utilisateurs dans des produits comme GoTo Training utiliser les assertions SAML fournies par AD FS. Les utilisateurs pourront initier des authentifications du côté du fournisseur de services ou du fournisseur d’identité.

    Configuration requise

    Les conditions préalables à AD FS 3.0 sont les suivantes:

    • Un certificat de confiance publiquement pour authentifier AD FS auprès de ses clients. Le nom du service AD FS sera basé sur le nom du sujet du certificat afin qu'il est important que le nom du sujet du certificat soit attribué en conséquence.
    • Le serveur AD FS doit être membre d'un domaine Active Directory et un compte d'administrateur de domaine sera nécessaire pour la configuration AD FS.
    • Une entrée DNS sera nécessaire pour résoudre le nom d'hôte AD FS par son client

    Une liste complète et détaillée des exigences peut être vérifiée dans Présentation de Microsoft AD FS 3.0.

    Installation

    1. Commencez l'installation d'AD FS 3.0 en passant par Outils d'administration > Gestionnaire de serveur > Ajouter des rôles et des fonctionnalités.
    2. Sur la page Sélectionner le type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité, puis cliquez sur Suivant.
    3. Sur la page Sélectionner le serveur de destination, sélectionnez le serveur sur lequel vous souhaitez installer le service ADFS, puis cliquez sur Suivant.
    4. Sur la page Sélectionner des rôles de serveurs, sélectionnez Services de fédération Active Directory (ADFS), puis cliquez sur Suivant.
    5. Dans Sélectionner des fonctionnalités, conservez les valeurs par défaut si vous ne souhaitez pas installer d’autres fonctionnalités et cliquez sur Suivant.
    6. Consultez les informations de la page Services de domaine Active Directory, puis cliquez sur Suivant.
    7. Lancez l’installation sur la page Confirmer les sélections d’installation.

    Configuration

    1. Dans vos Notifications, une notification vous informera qu’il vous reste une tâche de configuration post-déploiement… à effectuer. Ouvrez-la et cliquez sur le lien pour démarrer l’assistant de configuration.
    2. Dans Bienvenue page, sélectionnez Créer le premier serveur de fédération dans une nouvelle ferme de serveurs de fédération (sauf s'il y a une ferme existante que vous ajoutez également ce serveur AD FS).
    3. Sur Se connecter à AD FS , sélectionnez le compte d'administrateur de domaine pour effectuer cette configuration.
    4. Dans Spécifier les propriétés de service, spécifiez le certificat SSL créé à partir des conditions préalables. Indiquez le nom et le nom complet du service de fédération.
    5. Dans Spécifier un compte de Service, sélectionnez le compte que AD FS utilisera.
    6. Dans Spécifier une base de données de configuration, sélectionnez la base de données à utiliser.
    7. Vérifiez les informations dans Vérifications des conditions préalables et cliquez sur Configurer.

    Établir une relation d’approbation

    Chaque partie (AD FS et GoTo) devra être configuré pour approuver l'autre partie. Par conséquent, la configuration de la relation d’approbation est un processus en deux étapes.

    Étape 1 : Configurer AD FS pour approuver GoTo Training SAML

    1. Allez à Outils d'administration > Gestion AD FS.
    2. Dans Gestion AD FS, utilisez Action menu déroulant et sélectionnez Ajouter une approbation de partie de confiance. Cela va lancer l’assistant Ajouter une approbation de partie de confiance.
    3. Sur la page Sélectionner une source de données de l’assistant, sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance.
    4. Dans la zone de texte sous l’option sélectionnée, collez l’URL de métadonnées : https://authentication.logmeininc.com/saml/sp.
    5. Cliquez sur Suivant.
    6. Ignorez la page Configurer l’authentification multifacteur maintenant ?
    7. Sur l’écran Choisir les règles d’autorisation d’émission, sélectionnez Autoriser l’accès de tous les utilisateurs à cette partie de confiance (sauf si vous préférez une autre option).
    8. Suivez le reste des invites pour terminer cette partie de la relation d’approbation.

    Ajouter 2 règles de revendication

    1. Cliquez sur la nouvelle entrée de point de terminaison et cliquez sur Modifier les règles de revendication dans la zone de navigation de droite.
    2. Sélectionnez l’onglet Règles de transformation d’émission, puis cliquez sur Ajouter une règle.
    3. Sélectionnez Envoyer les attributs LDAP en tant que revendications dans le menu déroulant, puis cliquez sur Suivant.
    4. Utilisez les paramètres suivants pour la règle :
      • Nom de la règle de revendication – AD Email
      • Magasin d’attributs – Active Directory
      • Attribut LDAP – E-mail-Addresses
      • Type de revendication sortante – E-mail-Address
    5. Cliquez sur Terminer.
    6. Cliquez de nouveau sur Ajouter une règle.
    7. Sélectionnez Transformer une revendication entrante dans le menu déroulant, puis cliquez sur Suivant.
    8. Utilisez les paramètres suivants : 
      • Nom de la règle de revendication – Name ID
      • Type de revendication entrante – E-Mail Address
      • Type de revendication sortante – Name ID
      • Format d’ID de nom sortant – Email
    9. Sélectionnez Passer toutes les valeurs de revendication.
    10. Cliquez sur Terminer.
    11. Cliquez avec le bouton droit de la souris sur la nouvelle approbation de partie de confiance dans le dossier Approbations de partie de confiance et sélectionnez Propriétés.
    12. Sous Avancé, sélectionnez SHA-1 et cliquez sur OK.
    13. Pour empêcher AD FS d'envoyer par défaut des assertions chiffrées, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante:

      Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

    Étape 2 Configurer GoTo approuver AD FS

    1. Accédez au centre d’organisation à l’adresse https://organization.logmeininc.com et utilisez le formulaire Web de fournisseur d’identité.
    2. AD FS publie ses métadonnées sur une URL standard par défaut: (https: /// < nom d'hôte >/federationmetadata/ 2007-06/federationmetadata.xml).
      • Si cette URL est publiquement disponible sur Internet : Cliquez sur l’onglet Fournisseur d’identité du centre d’organisation, sélectionnez l’option Configuration automatique, puis collez l’URL dans la zone de texte et cliquez sur Enregistrer lorsque vous avez terminé.
      • Si l'URL de métadonnées n'est pas disponible publiquement, collectez l'URL d'authentification unique et un certificat (pour validation de signature) depuis AD FS et envoyez-les à l'aide de l'option de configuration manuelle dans la Fournisseur d'identité onglet du centre d'organisation.
    3. Pour collecter les éléments nécessaires, procédez comme suit :
      1. Pour collecter l'URL du service d'authentification unique, ouvrez la fenêtre Gestion AD FS et sélectionnez Points de terminaison dossier pour afficher une liste des points terminaux AD FS. Recherchez le point de terminaison SAML 2.0/WS-Federation type et copiez l’URL depuis ses propriétés. Si vous avez accès à l’URL des métadonnées standard, vous pouvez également afficher le contenu de l’URL dans un navigateur Web et rechercher l’URL d’authentification unique dans le contenu XML.
      2. Pour collecter le certificat de validation de signature, ouvrez la Console de gestion AD FS et sélectionnez Certificats dossier pour afficher les certificats. Recherchez le certificat de signature de jetons, cliquez dessus avec le bouton droit de la souris et sélectionnez Afficher le certificat. Sélectionnez l’onglet Détails, puis l’option Copier dans un fichier. À l’aide de l’Assistant Exportation de certificat, sélectionnez le certificat X.509 encodé en base 64 (*.cer). Attribuez un nom au fichier pour terminer l’exportation du certificat dans un fichier.
    4. Saisissez l’URL du service d’authentification unique et le texte du certificat dans les champs correspondants du centre d’organisation et cliquez sur Enregistrer.

    Tester la configuration

    1. Pour tester l’authentification initiée par le fournisseur d’identité, accédez à l’URL personnalisée du fournisseur d’identité (exemple : https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). L’identificateur de la partie de confiance doit s’afficher dans une zone de liste déroulante sous « Sign in to one to the following sites » (Se connecter à l’un des sites suivants).
    2. Pour tester la connexion à l’initiative de la partie de confiance, voir les instructions Comment se connecter avec l’authentification unique ?