HELP FILE


Configurer Enterprise Sign-In avec d’ADFS 2.0

Votre organisation peut aisément gérer des milliers d’utilisateurs et leur accès aux produits tout en leur offrant aussi l’authentification unique. L’authentification unique SSO permet à vos utilisateurs d’accéder à leurs produits LogMeIn avec le même fournisseur d’identité que pour leurs autres applications et environnements d’entreprise. Ces fonctionnalités sont appelées « Enterprise Sign-In ».

Ce document décrit la configuration de vos services ADFS (Active Directory Federation Services) pour prendre en charge l’authentification unique pour les produits LogMeIn . Avant de procéder à la mise en œuvre, assurez-vous de en lire plus sur Enterprise Sign-In et effectuez les étapes de configuration initiales.

ADFS 2.0 est un téléchargeable composant pour Windows Server 2008 et 2008 R2. Il est facile à déployer, mais plusieurs étapes de configuration nécessitent des chaînes, certificats, URL, etc. spécifiques. ADFS 3.0 est également pris en charge pour Enterprise Sign-In. Plusieurs améliorations ont été apportées à AD FS 3.0, dont la plus importante réside dans le fait que les services Internet (IIS) de Microsoft sont inclus dans le déploiement plutôt que dans une installation séparée.

Remarque : vous pouvez passer directement à l’ étape 4 (présentée ci-dessous) si vous avez déjà déployé ADFS 2.0.

Étape 1 : Certificat du service de fédération

Chaque déploiement AD FS est identifié par un nom DNS (par exemple, adfs.mondomaine.com). Vous aurez besoin d’un certificat émis pour ce nom (Subject Name) avant de commencer. Cet identificateur étant un nom visible en externe, assurez-vous d’utiliser une appellation appropriée pour représenter votre société auprès de partenaires. De plus, n’utilisez pas ce nom en tant que nom d’hôte du serveur ; cela entraînerait des problèmes pour l’enregistrement des noms principaux de service (SPN).

Il existe plusieurs méthodes pour générer des certificats. La solution la plus simple, si vous disposez d’une autorité de certification dans votre domaine, est d’utiliser la console de gestion IIS 7 :
  1. Ouvrez le composant logiciel enfichable Serveur Web (IIS).
  2. Sélectionnez le nœud du serveur dans l’arborescence de navigation, puis l’option Certificats de serveur.
  3. Sélectionner… Créer un certificat de domaine.
  4. Entrez le nom de votre Service de fédération dans Nom commun (par exemple, adfs.mondomaine.com).
  5. Sélectionnez votre autorité de certification Active Directory.
  6. Entrez un nom convivial pour le certificat (un identificateur quelconque fera l’affaire).

    Remarque : si vous n’utilisez pas la console IIS pour générer le certificat, vérifiez que le certificat est lié au service IIS dans les serveurs sur lesquels vous allez installer ADFS avant de continuer.

Étape 2 : Créer un compte d’utilisateur de domaine

Les serveurs ADFS exigent la création d’un compte utilisateur de domaine pour exécution de leurs services (aucun groupe particulier n’est nécessaire).

Étape 3 : Installer le premier serveur ADFS

  1. Téléchargez ADFS 2.0 et exécutez le programme d’installation. Vérifiez que vous exécutez le programme d’installation en tant qu’administrateur de domaine ; cela va créer des noms principaux de service et d’autres conteneurs dans Active Directory.
  2. Dans Rôle du serveur, sélectionnez Serveur de fédération.
  3. Cochez la case Démarrer le composant logiciel enfichable gestion ADFS 2.0 lorsque l’assistant se ferme à la fin de l’assistant.
  4. Dans le composant logiciel enfichable Gestion AD FS, cliquez sur Créer un nouveau Service de fédération.
  5. Sélectionner… Nouvelle batterie de serveurs de Fédération.
  6. Sélectionnez le certificat que vous avez créé à l’étape précédente.
  7. Sélectionnez l’utilisateur de domaine que vous avez créé dans les étapes précédentes.

Étape 4 : Configurer la partie de confiance

Dans cette étape, vous allez indiquer à ADFS le type de jetons SAML acceptés par le système.

Établissez la relation d’approbation comme suit :
  1. Dans la console MMC ADFS 2.0, sélectionnez Relations d’approbation > Approbations de la partie de confiance dans l’arborescence de navigation.
  2. Sélectionner… Ajouter une approbation de partie de confiance et cliquez sur Démarrer.
  3. Sous Sélectionner une Source de données, sélectionnez Importer des données concernant la partie de confiance publiée en ligne ou sur un réseau local.
  4. Dans la zone de texte sous l’option sélectionnée, collez l’URL de métadonnées : https://authentication.logmeininc.com/saml/sp.
  5. Cliquez sur OK pour confirmer que les métadonnées que ADFS 2.0 ne parvient pas à interpréter seront ignorées.
  6. Sur la page Spécifier le nom complet, tapez LogMeInTrust, et cliquez sur Suivant.
  7. Sur l’écran Choisir les règles d’autorisation d’émission, sélectionnez Autoriser l’accès de tous les utilisateurs à cette partie de confiance (sauf si vous préférez une autre option).
  8. Suivez le reste des invites pour terminer cette partie de la relation d’approbation.

Ajouter 2 règles de revendication

  1. Cliquez sur la nouvelle entrée de point de terminaison et cliquez sur Modifier les règles de revendication dans la zone de navigation de droite.
  2. Sélectionnez l’onglet Règles de transformation d’émission et cliquez sur Ajouter une règle.
  3. Utilisez le menu déroulant pour sélectionner Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.
  4. Utilisez les paramètres suivants pour la règle :
    • Nom de la règle de revendication – E-mail AD
    • Magasin d’attributs – Active Directory
    • Attribut LDAP – Adresses E-mail-Addresses
    • Type de revendication sortante – Adresse E-mail
  5. Cliquez sur Terminer.
  6. Cliquez sur Ajouter une règle à nouveau.
  7. Utilisez le menu déroulant pour sélectionner Transformer une revendication entrante, puis cliquez sur Suivant.
  8. Utilisez les paramètres suivants pour la règle :
    • Nom de la règle de revendication – Name ID
    • Type de revendication entrante – E-Mail Address
    • Type de revendication sortante – Name ID
    • Format d’ID de nom sortant – Email
  9. Sélectionnez Passer toutes les valeurs de revendication.
  10. Cliquez sur Terminer.

Terminer la configuration

  • Cliquez avec le bouton droit de la souris sur la nouvelle approbation de partie de confiance dans le dossier Approbations de partie de confiance et sélectionnez Propriétés.
  • Sous Avancé, sélectionnez SHA-1, puis cliquez sur OK.
  • Pour éviter à ADFS d’envoyer par défaut des assertions chiffrées, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante :
Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

Étape 5 : Configurer l’approbation

La dernière étape de configuration consiste à accepter les jetons SAML générés par votre nouveau service ADFS.

  • Utilisez la section « Fournisseur d’identité » du centre d’organisation pour ajouter les détails nécessaires.
  • Pour ADFS 2.0, sélectionnez la configuration « Automatique » et entrez l’URL suivante, en remplaçant « server » par le nom d’hôte accessible depuis l’extérieur de votre serveur ADFS :  https://server/FederationMetadata/2007-06/FederationMetadata.xml

Étape 6 : Tester la configuration du serveur

À ce stade, vous devez être en mesure de tester la configuration. Vous devez créer pour l’identité du service AD FS une entrée DNS qui pointe vers le serveur AD FS que vous avez configuré, ou vers un programme d’équilibrage de la charge réseau, si vous en utilisez un.

  • Pour tester l’authentification initiée par le fournisseur d’identité, accédez à l’URL personnalisée du fournisseur d’identité (exemple : https://adfs. < mon domaine.com > /adfs/ls / < Connexion initiée par le fournisseur d'identité > = https://adfs.mondomaine.com/adfs/ls/IdpInitiatedSignOn.aspx). L’identificateur de la partie de confiance doit s’afficher dans une zone de liste déroulante sous « Sign in to one to the following sites » (Se connecter à l’un des sites suivants).
  • Pour tester la connexion à l’initiative de la partie de confiance, voir les instructions Comment se connecter avec l’authentification unique ?