Configura Enterprise Sign-In con AD FS 3.0

La tua organizzazione può gestire con facilità migliaia di utenti e l’accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere al loro GoTo prodotti con lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.

Puoi configurare i tuoi Active Directory Federation Services (AD FS) per supportare l'autenticazione single sign-on GoTo prodotti.

Nota: Assicurati di leggere di più Enterprise Sign-In e completa le fasi di configurazione iniziale prima di procedere con questa configurazione.

Informazioni su AD FS 3.0

AD FS 3.0 è una versione migliorata di AD FS 2.0. Si tratta di una scaricabile componente per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.

Questo articolo esamina come installare e configurare AD FS, e per impostare AD FS In una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, AD FS è il Provider di identità e GoTo il Provider di servizi. Alla fine, GoTo potranno utilizzare AD FS per autenticare gli utenti in prodotti come GoTo Meeting utilizzando le asserzioni SAML servite da AD FS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.

Requisiti

Tra iprerequisiti per AD FS 3.0 sono:

Un certificato attendibile pubblicamente per autenticare AD FS ai suoi clienti. Il nome del servizio AD FS verrà considerato dal nome oggetto del certificato, in modo che sia importante che il nome oggetto del certificato sia di conseguenza assegnato.
Il server AD FS deve essere un membro di un dominio Active Directory e un account amministratore di dominio sarà necessario per la configurazione AD FS.
Verrà necessaria una voce DNS per risolvere il nome host AD FS dal client

Un elenco completo e dettagliato dei requisiti può essere analizzati nella Microsoft AD FS 3.0 panoramica.

Installazione

Avvia l'installazione di AD FS 3.0 andando Strumenti di amministrazione > Gestione server > Aggiungi ruoli e funzionalità.
Sotto Seleziona il tipo di installazione pagina, seleziona Installazione basata su ruoli o funzionalità, quindi seleziona Avanti.
In Seleziona il server di destinazione pagina, scegli il server su cui installare il servizio ADFS, quindi seleziona Avanti.
In Seleziona la pagina dei ruoli del server, scegli Active Directory Federation Services, quindi seleziona Avanti.
In Seleziona le funzionalità, a meno che non vi siano altre funzionalità che desideri installare, lascia le impostazioni predefinite e seleziona Avanti.
Esamina le informazioni sulla Servizi di dominio di Active Directory pagina, quindi seleziona Avanti.
Avvia l'installazione nella pagina Conferma selezioni per l'installazione.

Configurazione

In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e seleziona il collegamento per avviare la procedura di configurazione guidata.
Nella Ti diamo il benvenuto pagina, seleziona Crea il server federativo in un farm di server federativo nuovo (a meno che non sia un farm esistente che stai aggiungendo anche questo server AD FS).
In Connettiti a AD FS pagina, seleziona il account amministratore del dominio per eseguire questa configurazione.
In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
In Specifica l'account del servizio, scegli l'account che AD FS utilizzerà.
Nella Specifica database di configurazione scegli il database da usare.
Esamina le informazioni in Controlli pre-richiesti e seleziona Configura.

Stabilisci la relazione di trust

Ogni parte (AD FS e GoTo) dovrà essere configurato per considerare affidabile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.

Passaggio 1: Configura AD FS affinché consideri attendibile GoTo Meeting SAML

Vai a Strumenti di amministrazione > Gestione AD FS.
In Gestione AD FS, usa il Azione menu a discesa e seleziona Aggiungi Relying Party Trust. Verrà avviata la procedura guidata di Aggiungi trust relying party.
Nella pagina Seleziona origine dati della procedura guidata, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
Nella casella di testo sotto l'opzione selezionata, incolla l'URL dei metadati: https://authentication.logmeininc.com/saml/sp.
Seleziona Avanti.
Salta la pagina Configurare l'autenticazione a più fattori ora?.
Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l'accesso a questa relying party a meno che non desideri selezionare un'altra opzione.
Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.

Aggiungi 2 regole di attestazione

Seleziona la nuova voce dell'endpoint e seleziona Modifica regole attestazione nel menu di navigazione.
Scegli il Regole di trasformazione di emissione scheda, quindi seleziona Aggiungi regola.
Usa il menu a discesa e scegli Invia attributi LDAP come richieste, quindi seleziona Avanti.
Usa le seguenti impostazioni per la regola:
- Nome regola di attestazione – E-mail AD
- Archivio attributi – Active Directory
- Attributo LDAP – Indirizzi e-mail
- Tipo di attestazione in uscita – Indirizzo e-mail
Seleziona Completa.
Seleziona Aggiungi regola nuovamente.
Usa il menu a discesa e scegli Trasforma un attestazione in entrata menu, quindi seleziona Avanti.
Usa le seguenti impostazioni:
- Nome regola attestazione – ID nome
- Tipo di attestazione in ingresso – Indirizzo e-mail
- Tipo di attestazione in uscita – ID nome
- Formato ID nome in uscita – E-mail
Scegli Trasmetti tutti i valori di richiesta.
Seleziona Completa.
Per impedire AD FS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt dei comandi di Windows Power Shell ed esegui il seguente comando:
set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

Passaggio 2 GoTo a trust AD FS

Vai al Centro organizzativo https://organization.logmeininc.com e utilizza la Modulo web del Provider di identità.
AD FS pubblica i propri metadati in un URL standard per impostazione predefinita: ( https:// < hostname > / federationmetada/ 2007 06/ federationmetadata.xml).
- Se questo URL è disponibile pubblicamente su Internet: Seleziona il Fornitore di identità scheda nel Centro organizzativo, scegli la Configurazione automatica opzione, quindi incolla l'URL nel campo di testo e seleziona Salvare al termine,
- Se l'URL dei metadati non è disponibile pubblicamente, raccogli l'URL single sign-on e un certificato (per la convalida della firma) da AD FS e inviali utilizzando l'opzione di configurazione manuale nella sezione Fornitore di identità scheda nel Centro organizzativo.
Per ricevere gli elementi necessari, procedi come segue:
1. Per raccogliere l'URL del servizio single sign-on, apri la finestra Gestione AD FS e seleziona la Endpoint cartella per visualizzare un elenco degli endpoint AD FS. Cerca l'endpoint SAML 2.0/tipo federativo WS e copia l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del Single Sign-On nei contenuti XML.
2. Per raccogliere il certificato per la convalida della firma, apri la Console di gestione AD FS e seleziona la Certificati cartella per visualizzare i certificati. Cerca la Certificato per la firma di token, quindi fai clic destro su tale e scegli Visualizza certificato. Scegli il Dettagli e quindi il Copiare in file opzione. Utilizzo della procedura guidata di esportazione del certificato, seleziona la Elementi codificati a partire da 64 X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
Immetti l'URL del servizio single sign-on e il testo del certificato nei rispettivi campi nel Centro organizzativo e seleziona Salvare.

Prova la configurazione

Per testare il Provider di identità-Accesso avviato, vai al tuo URL IdP personalizzato (esempio: https://adfs. < my domain.com> /adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l’identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
Come provare il Relying Party-Avvia accesso avviato, visualizzare le istruzioni per Come posso accedere con il metodo single sign-on?

Article last updated: 17 January, 2024