Configurare Enterprise Sign-In con AD FS 3.0

La versione ufficiale di questo contenuto è in inglese. Alcuni dei contenuti della documentazione di GoTo sono stati tradotti per facilitarne l’accesso. GoTo non ha il controllo sui contenuti tradotti in modo automatico, che potrebbero contenere errori, imprecisioni o essere in una lingua errata. Non viene fornita alcuna garanzia, esplicita o implicita, in merito alla precisione, all’affidabilità, all’adeguatezza o alla correttezza di qualsiasi traduzione dall’originale inglese a qualsiasi altra lingua, e GoTo declina ogni responsabilità per eventuali danni o problemi derivanti dall’uso di questi contenuti tradotti automaticamente da parte dell’utente o per l’affidabilità di tali contenuti.

Configurare Enterprise Sign-In con AD FS 3.0

La tua organizzazione può gestire con facilità migliaia di utenti e l’accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere ai loro GoTo prodotti con lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.

Puoi configurare i tuoi Active Directory Federation Services (AD FS) per supportare l'autenticazione single sign-on per GoTo prodotti.

Nota: Assicurati di leggere ulteriore materiale su Enterprise Sign-In e completa le fasi di impostazione iniziale prima di procedere con questa configurazione.

Informazioni su AD FS 3.0

AD FS 3.0 è una versione migliorata di AD FS 2.0. È un componente scaricabile per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.

Questo articolo esamina come installare e configurare AD FS, e per impostare AD FS In una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, aD FS è il fornitore di identità e GoTo è il Provider di servizi. Alla fine, GoTo potranno utilizzare AD FS per autenticare gli utenti in prodotti come OpenVoice utilizzando le asserzioni SAML servite da AD FS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.

Requisiti

I prerequisiti per AD FS 3.0 sono:

Un certificato attendibile pubblicamente per autenticarti AD FS ai suoi clienti. Il nome del servizio AD FS sarà considerato dal nome del certificato in modo che sia importante che il nome oggetto del certificato sia stato assegnato di conseguenza.
Il server AD FS deve essere un membro di un dominio Active Directory e un account amministratore di dominio sarà necessario per la configurazione AD FS.
Una voce DNS sarà necessaria per risolvere il nome host AD FS dal suo client

Un elenco completo e dettagliato dei requisiti può essere verificato nella Panoramica di Microsoft AD FS 3.0.

Installazione

Avvia l'installazione di AD FS andando a Strumenti amministrativi > Gestione Server > Aggiungi ruoli e funzionalità.
Nella pagina Seleziona tipo di installazione, seleziona Installazione basata su ruoli o basata su funzionalitàe fai clic su Avanti.
Nella pagina Selezione server di destinazione, seleziona il server su cui installare il servizio ADFS e fai clic su Avanti.
Nella pagina Selezione ruoli server, seleziona Active Directory Federation Services e quindi Avanti.
Nella pagina Seleziona funzionalità, lascia selezionate le impostazioni predefinite, a meno che non ci siano alcune funzionalità aggiuntive che desideri installare, quindi fai clic su Avanti.
Controlla le informazioni nella pagina Active Directory Domain Services e fai clic su Avanti.
Avvia l'installazione nella pagina Conferma selezioni per l'installazione.

Configurazione

In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e fai clic sul link per avviare la procedura di configurazione guidata.
Nella Ti diamo il benvenuto pagina, seleziona Crea il server federativo in un nuovo farm server federato (a meno che non vi sia un'azienda esistente che stai aggiungendo questo server AD FS).
In Connettersi a AD FS pagina, seleziona il conto di amministrazione del dominio per eseguire questa configurazione.
In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
In Specifica l'account del servizio, seleziona l'account che AD FS userà.
In Impostazione database di configurazione, seleziona il database da usare.
Controlla le informazioni in Controlli dei prerequisiti e fai clic su Configura.

Stabilisci la relazione di trust

Ogni parte (AD FS e GoTo) dovrà essere configurato per considerare affidabile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.

Passaggio 1: Configura AD FS per attendibile OpenVoice SAML

Vai a Strumenti amministrativi > Gestione AD FS.
In Gestione AD FS, usa il Azione menu a discesa e seleziona Aggiungi Relying Party Trust. Verrà avviata la procedura guidata di Aggiungi trust relying party.
Nella pagina Seleziona origine dati della procedura guidata, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
Nella casella di testo sotto l'opzione selezionata, incolla l'URL dei metadati: https://authentication.logmeininc.com/saml/sp.
Fai clic su Avanti.
Salta la pagina Configurare l'autenticazione a più fattori ora?.
Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l'accesso a questa relying party a meno che non desideri selezionare un'altra opzione.
Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.

Aggiungi 2 regole di attestazione

Fai clic sulla nuova voce dell'endpoint e quindi su Modifica regole attestazione nella barra di navigazione a destra.
Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
Usa il menu a discesa per selezionare Inviare attributi LDAP come attestazioni, quindi fai clic su Avanti.
Usa le seguenti impostazioni per la regola:
- Nome regola di attestazione – E-mail AD
- Archivio attributi – Active Directory
- Attributo LDAP – Indirizzi e-mail
- Tipo di attestazione in uscita – Indirizzo e-mail
Fai clic su Fine.
Fai nuovamente clic su Aggiungi regola.
Usa il menu a discesa per selezionare Trasformare un'attestazione in ingresso, quindi fai clic su Avanti.
Usa le seguenti impostazioni:
- Nome regola attestazione – ID nome
- Tipo di attestazione in ingresso – Indirizzo e-mail
- Tipo di attestazione in uscita – ID nome
- Formato ID nome in uscita – E-mail
Seleziona Pass-through di tutti i valori attestazione.
Fai clic su Fine.
Fai clic destro sul nuovo trust della relying party nella cartella Trust relying party e seleziona Proprietà.
In Avanzate, seleziona SHA-1 e fai clic su OK.
Per impedire AD FS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt dei comandi di PowerPower Shell ed esegui il seguente comando:
Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

Passaggio 2 GoTo a attendibile AD FS

Vai al Centro organizzativo, all'indirizzohttps://organization.logmeininc.com e usa il modulo Web del provider di identità.
AD FS pubblica i suoi metadati in un URL standard per inattivazione: (https: /// < nome host >/federationmetadata/ 2_06/federationmetada.xml).
- Se questo URL è pubblicamente disponibile su Internet: Fai clic sulla scheda Provider di identità del Centro organizzativo, seleziona l'opzione Configurazione automatica, quindi incolla l'URL nel campo di testo e al termine fai clic su Salva.
- Se l'URL dei metadati non è disponibile pubblicamente, raccogli l'URL single sign-on e un certificato (per la convalida della firma) da AD FS e inviali utilizzando l'opzione di configurazione manuale nella sezione Fornitore di identità nel Centro organizzativo.
Per ricevere gli elementi necessari, procedi come segue:
1. Per raccogliere l'URL del servizio single sign-on, apri la finestra Gestione AD FS e seleziona la Endpoint cartella per visualizzare un elenco degli endpoint AD FS. Cerca l'endpoint SAML 2.0/tipo federativo WS e copia l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del Single Sign-On nei contenuti XML.
2. Per raccogliere il certificato per la convalida della firma, apri la Console di gestione AD FS e seleziona la Certificati cartella per visualizzare i certificati. Cerca il Certificato per la firma di token, fai clic su tale certificato con il pulsante destro del mouse e seleziona Visualizza certificato. Seleziona la scheda Dettagli e quindi l'opzione Copia su file. Utilizzando la procedura guidata di esportazione dei certificati, seleziona Base-64 Encoded X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
Inserisci l'URL del servizio Single Sign-On e il testo del certificato nei rispettivi campi del Centro organizzativo, quindi fai clic su Salva.

Prova la configurazione

Per eseguire un test dell'accesso avviato dal provider di identità, vai all'URL personalizzato del tuo provider di identità (ad esempio: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l’identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
Per eseguire un test dell’accesso avviato dalla relying party, consulta le istruzioni disponibili in Come posso accedere con Single Sign-On?