Configurer Enterprise Sign-In avec AD FS 2.0
Votre organisation peut aisément gérer des milliers d’utilisateurs et leur accès aux produits tout en leur offrant aussi l’authentification unique. L'authentification unique permet à vos utilisateurs d'accéder à leur GoTo produits utilisant le même fournisseur d'identité que pour leurs autres applications et environnements d'entreprise. Ces fonctionnalités sont appelées « Enterprise Sign-In ».
Ce document couvre la configuration de vos Services Active Directory Federation Services (AD FS) pour prendre en charge l'authentification unique à GoTo produits.
AD FS 2.0 est un téléchargeable composant pour Windows Server 2008 et 2008 R2. Il est simple à déployer, mais il y a plusieurs étapes de configuration qui nécessitent des chaînes spécifiques, des certificats, des URL, etc. AD FS 3.0 est également pris en charge pour la Connexion d'entreprise. AD FS 3.0 a plusieurs améliorations, plus la plus grande est que Microsoft Internet Information Services (IIS) est inclus dans le déploiement plutôt qu'une installation séparée.
Étape 1 : Configurer une organisation pour ADFS 2.0
Configurez une « organisation » en enregistrant au moins un domaine de messagerie valide avec GoTo pour vérifier votre propriété de ce domaine. Les domaines dans votre organisation sont des domaines de messagerie que vos administrateurs peuvent vérifier par votre service Web ou serveur DNS.
Configurez une organisation.
Désactiver les e-mails de bienvenue pour les utilisateurs (facultatif).
Résultats : Vous avez bien configuré une organisation et configuré les paramètres souhaités pour les e-mails de bienvenue.
Étape 2 : Certificat de fédération
Chaque déploiement AD FS est identifié par un nom DNS (par exemple « adfs.mydomain.com »). Vous aurez besoin d’un certificat émis pour ce nom (Subject Name) avant de commencer. Cet identificateur étant un nom visible en externe, assurez-vous d’utiliser une appellation appropriée pour représenter votre société auprès de partenaires. De plus, n’utilisez pas ce nom en tant que nom d’hôte du serveur ; cela entraînerait des problèmes pour l’enregistrement des noms principaux de service (SPN).
Étape 3 : Créer un compte d'utilisateur de domaine
Les serveurs AD FS exigent que vous créez un compte d'utilisateur de domaine pour exécuter ses services (aucun groupe particulier n'est nécessaire).
Étape 4 : Installer votre premier serveur AD FS
- Téléchargez AD FS 2.0 et exécutez le programme d'installation. Vérifiez que vous exécutez le programme d’installation en tant qu’administrateur de domaine ; cela va créer des noms principaux de service et d’autres conteneurs dans Active Directory.
- Dans Server Rôle, sélectionnez Serveur de fédération.
- Consultez Démarrer le plug-in de gestion AD FS 2.0 lorsque cet assistant se ferme à la fin de l'assistant d'installation.
- Dans AD FS Management, sélectionnez Créer un nouveau service de fédération.
- Sélectionnez ferme de serveurs de fédération.
- Sélectionnez le certificat que vous avez créé à l’étape précédente.
- Sélectionnez l’utilisateur de domaine que vous avez créé dans les étapes précédentes.
Étape 5 : configurez votre partie de confiance
Dans cette étape, vous verrez AD FS le type de jetons SAML acceptés par le système.
- Dans AD FS 2.0 MMC, sélectionnez Relations d'approbation> Corbeille de confiance dans l'arborescence de navigation.
- Sélectionnez Ajouter l'approbation de partie de confiance et sélectionnez Démarrer.
- Sous Sélectionner la Source de données, sélectionnez Importer des données sur la partie de confiance publiée en ligne ou sur un réseau local.
- In the text box below the selected option, paste the metadata URL: http://identity.goto.com/saml/sp.
- Sélectionnez OK pour reconnaître que certaines métadonnées que AD FS 2.0 ne comprennent pas seront ignorées.
- Dans la page Spécifier un nom d'affichage, tapez LogMeInTrustet sélectionnez Suivant.
- Sur l'écran Choisir les règles d'autorisation d'émission, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance (sauf si vous souhaitez une autre option).
- Suivez le reste des invites pour terminer cette partie de la relation d’approbation.
Ajouter 2 règles de revendication
- Sélectionnez la nouvelle entrée du point de terminaison, puis sélectionnez Modifier les règles de revendication dans le menu de navigation.
- Sélectionnez le Règles de transformation d'émission onglet, puis sélectionnez Ajouter une règle.
- Utilisez le menu déroulant pour sélectionner Envoyer les attributs LDAP en tant que revendicationspuis sélectionnez Suivant.
- Utilisez les paramètres suivants pour la règle :
- Nom de la règle de revendication – E-mail AD
- Magasin d'attributs – Active Directory
- Attribut LDAP – Adresses E-mail-Adresses
- Type de revendication sortant – Adresse e-mail
- Sélectionnez Terminer.
- Sélectionnez Ajouter une règle à nouveau.
- Utilisez le menu déroulant pour sélectionner transformation d'une revendication entrantepuis sélectionnez Suivant.
- Utilisez les paramètres suivants pour la règle :
- Nom de la règle de revendication – ID de nom
- Type de revendication entrant – Adresse e-Mail
- Type de revendication sortant – ID de nom
- Format d'ID de nom sortant – E-mail
- Sélectionnez Transmettre toutes les valeurs de revendication.
- Sélectionnez Terminer.
Terminer la configuration
- Pour empêcher AD FS d'envoyer par défaut des assertions chiffrées, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante:
Étape 6 : Configurer l'approbation
La dernière étape de configuration consiste à accepter les jetons SAML générés par votre nouveau service ADFS.
- Utilisez la section « Fournisseur d'identité » du centre d'organisation pour ajouter les détails nécessaires.
- Pour AD FS 2.0, sélectionnez « Automatique » et entrez l'URL suivante :remplacement du « serveur » avec le nom d'hôte accessible en externe de votre serveur AD FS : https://server/FederationMetadata/2007-06/FederationMetadata.xml
Étape 7 : Tester la configuration du serveur unique
À ce stade, vous devez être en mesure de tester la configuration. Vous devez créer pour l’identité du service AD FS une entrée DNS qui pointe vers le serveur AD FS que vous avez configuré, ou vers un programme d’équilibrage de la charge réseau, si vous en utilisez un.
- Pour tester l'authentification initiée par le fournisseur d'identité, accédez à l'URL personnalisée du fournisseur d'identité (exemple : https://adfs. < my domain.com > /adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). L’identificateur de la partie de confiance doit s’afficher dans une zone de liste déroulante sous « Sign in to one to the following sites » (Se connecter à l’un des sites suivants).
- Pour tester la connexion à l'initiative de la partie de confiance, consultez les instructions pour Comment se connecter avec l'authentification unique ?