Configura Enterprise Sign-In con AD FS 3.0
La tua organizzazione può gestire con facilità migliaia di utenti e l’accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere al loro GoTo prodotti con lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.
Puoi configurare i tuoi Active Directory Federation Services (AD FS) per supportare l'autenticazione single sign-on GoTo prodotti.
Informazioni su AD FS 3.0
AD FS 3.0 è una versione migliorata di AD FS 2.0. Si tratta di una scaricabile componente per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.
Questo articolo esamina come installare e configurare AD FS, e per impostare AD FS In una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, AD FS è il Provider di identità e GoTo il Provider di servizi. Alla fine, GoTo potranno utilizzare AD FS per autenticare gli utenti in prodotti come GoToAssist Remote Support v5 utilizzando le asserzioni SAML servite da AD FS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.
Requisiti
Tra iprerequisiti per AD FS 3.0 sono:
- Un certificato attendibile pubblicamente per autenticare AD FS ai suoi clienti. Il nome del servizio AD FS verrà considerato dal nome oggetto del certificato, in modo che sia importante che il nome oggetto del certificato sia di conseguenza assegnato.
- Il server AD FS deve essere un membro di un dominio Active Directory e un account amministratore di dominio sarà necessario per la configurazione AD FS.
- Verrà necessaria una voce DNS per risolvere il nome host AD FS dal client
Un elenco completo e dettagliato dei requisiti può essere analizzati nella Microsoft AD FS 3.0 panoramica.
Installazione
- Avvia l'installazione di AD FS 3.0 andando Strumenti di amministrazione > Gestione server > Aggiungi ruoli e funzionalità.
- Sotto Seleziona il tipo di installazione pagina, seleziona Installazione basata su ruoli o funzionalità, quindi seleziona Avanti.
- In Seleziona il server di destinazione pagina, scegli il server su cui installare il servizio ADFS, quindi seleziona Avanti.
- In Seleziona la pagina dei ruoli del server, scegli Active Directory Federation Services, quindi seleziona Avanti.
- In Seleziona le funzionalità, a meno che non vi siano altre funzionalità che desideri installare, lascia le impostazioni predefinite e seleziona Avanti.
- Esamina le informazioni sulla Servizi di dominio di Active Directory pagina, quindi seleziona Avanti.
- Avvia l'installazione nella pagina Conferma selezioni per l'installazione.
Configurazione
- In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e seleziona il collegamento per avviare la procedura di configurazione guidata.
- Nella Ti diamo il benvenuto pagina, seleziona Crea il server federativo in un farm di server federativo nuovo (a meno che non sia un farm esistente che stai aggiungendo anche questo server AD FS).
- In Connettiti a AD FS pagina, seleziona il account amministratore del dominio per eseguire questa configurazione.
- In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
- In Specifica l'account del servizio, scegli l'account che AD FS utilizzerà.
- Nella Specifica database di configurazione scegli il database da usare.
- Esamina le informazioni in Controlli pre-richiesti e seleziona Configura.
Stabilisci la relazione di trust
Ogni parte (AD FS e GoTo) dovrà essere configurato per considerare affidabile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.
Passaggio 1: Configura AD FS affinché consideri attendibile GoToAssist Remote Support v5 SAML
- Vai a Strumenti di amministrazione > Gestione AD FS.
- In Gestione AD FS, usa il Azione menu a discesa e seleziona Aggiungi Relying Party Trust. Verrà avviata la procedura guidata di Aggiungi trust relying party.
- Nella pagina Seleziona origine dati della procedura guidata, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
- Nella casella di testo sotto l'opzione selezionata, incolla l'URL dei metadati: https://authentication.logmeininc.com/saml/sp.
- Seleziona Avanti.
- Salta la pagina Configurare l'autenticazione a più fattori ora?.
- Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l'accesso a questa relying party a meno che non desideri selezionare un'altra opzione.
- Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.
Aggiungi 2 regole di attestazione
Passaggio 2 GoTo a trust AD FS
- Vai al Centro organizzativo https://organization.logmeininc.com e utilizza la Modulo web del Provider di identità.
- AD FS pubblica i propri metadati in un URL standard per impostazione predefinita: ( https:// < hostname > / federationmetada/ 2007 06/ federationmetadata.xml).
- Se questo URL è disponibile pubblicamente su Internet: Seleziona il Fornitore di identità scheda nel Centro organizzativo, scegli la Configurazione automatica opzione, quindi incolla l'URL nel campo di testo e seleziona Salvare al termine,
- Se l'URL dei metadati non è disponibile pubblicamente, raccogli l'URL single sign-on e un certificato (per la convalida della firma) da AD FS e inviali utilizzando l'opzione di configurazione manuale nella sezione Fornitore di identità scheda nel Centro organizzativo.
- Per ricevere gli elementi necessari, procedi come segue:
- Per raccogliere l'URL del servizio single sign-on, apri la finestra Gestione AD FS e seleziona la Endpoint cartella per visualizzare un elenco degli endpoint AD FS. Cerca l'endpoint SAML 2.0/tipo federativo WS e copia l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del Single Sign-On nei contenuti XML.
- Per raccogliere il certificato per la convalida della firma, apri la Console di gestione AD FS e seleziona la Certificati cartella per visualizzare i certificati. Cerca la Certificato per la firma di token, quindi fai clic destro su tale e scegli Visualizza certificato. Scegli il Dettagli e quindi il Copiare in file opzione. Utilizzo della procedura guidata di esportazione del certificato, seleziona la Elementi codificati a partire da 64 X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
- Immetti l'URL del servizio single sign-on e il testo del certificato nei rispettivi campi nel Centro organizzativo e seleziona Salvare.
Prova la configurazione
- Per testare il Provider di identità-Accesso avviato, vai al tuo URL IdP personalizzato (esempio: https://adfs. < my domain.com> /adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l’identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
- Come provare il Relying Party-Avvia accesso avviato, visualizzare le istruzioni per Come posso accedere con il metodo single sign-on?