Configurare Enterprise Sign-In con AD FS 2.0

La versione ufficiale di questo contenuto è in inglese. Alcuni dei contenuti della documentazione di GoTo sono stati tradotti per facilitarne l’accesso. GoTo non ha il controllo sui contenuti tradotti in modo automatico, che potrebbero contenere errori, imprecisioni o essere in una lingua errata. Non viene fornita alcuna garanzia, esplicita o implicita, in merito alla precisione, all’affidabilità, all’adeguatezza o alla correttezza di qualsiasi traduzione dall’originale inglese a qualsiasi altra lingua, e GoTo declina ogni responsabilità per eventuali danni o problemi derivanti dall’uso di questi contenuti tradotti automaticamente da parte dell’utente o per l’affidabilità di tali contenuti.

Configurare Enterprise Sign-In con AD FS 2.0

La tua organizzazione può gestire con facilità migliaia di utenti e l’accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere ai loro GoTo prodotti con lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.

Questa documento esamina la configurazione dei tuoi Active Directory Federation Services (AD FS) per supportare l'autenticazione single sign-on GoTo prodotti.

AD FS 2.0 è una scaricabile componente per Windows Server 2008 e 2008 R2. È semplice da implementare, ma vi sono diversi passaggi di configurazione che richiedono stringhe specifiche, certificati, URL e così via. AD FS 3.0 è anche supportato per Enterprise Sign-In. AD FS 3.0 ha diversi miglioramenti, il più grande è che il server Microsoft Internet Information Services (IIS) è incluso nell “implementazione anziché in un”installazione separata.

Nota: Puoi saltare Passaggio 5 (elencato sotto) se hai già distribuito AD FS 2.0.

Passaggio 1: Configurare un'organizzazione per ADFS 2.0

Configurare un'organizzazione registrando almeno un dominio di posta elettronica valido con GoTo per verificare la tua proprietà di tale dominio. I domini all'interno dell'organizzazione sono domini e-mail interamente di proprietà dell'organizzazione che gli amministratori possono verificare tramite il servizio Web o il server DNS.

Importante: L'utente che completa la verifica del dominio diventerà automaticamente un amministratore della organizzazione, ma questo utente non è tenuto ad avere una GoTo ruolo di amministratore del prodotto.

I passaggi che seguono vanno eseguiti GoTo Centro organizzativo.

Configura un'organizzazione.
1. Accedi al GoTo Centro organizzativo all' https://organization.logmeininc.com.
2. Nella prima schermata ti verrà chiesto di verificare di essere il proprietario del dominio dell'account con cui hai effettuato l'accesso. Sono disponibili due metodi per impostare la convalida di un dominio , ognuno dei quali utilizza un codice univoco per completare la verifica. Copia il valore della verifica negli Appunti.
  
  Note: la schermata di verifica rimarrà visualizzata finché la verifica del dominio non verrà completata. Se tale verifica richiede più di 10 giorni, il sistema genererà automaticamente nuovi codici di verifica per il dominio alla tua successiva visita al Centro organizzativo.
3. Incolla il codice di verifica nel record DNS o in un file di testo per caricarlo in uno dei percorsi, in base al metodo di verifica scelto:
  - Metodo 1: Aggiungi questo record DNS al file della zona del dominio. Per usare il metodo DNS, inserisci un record DNS a livello del dominio e-mail all'interno della zona DNS. Solitamente gli utenti verificano un dominio "radice" o di "secondo livello" come “main.com”. In questo caso, il record avrebbe questo aspetto:
    
    @ IN TXT "logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e"
    
    OPPURE
    
    main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
    
    Se hai bisogno di un dominio di terzo livello (o sottodominio), come “mail.example.com”, il record deve essere inserito in tale sottodominio, come:
    
    mail.main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
    
    Per una documentazione più dettagliata, vedi Aggiungi un record DNS TXT.
  - Metodo 2: Carica un file del server Web sul sito Web specificato. Carica un file di testo normale nella radice del server Web contenente una stringa di verifica. Non dovrebbero esserci spazi bianchi o altri caratteri nel file di testo oltre a quelli forniti.
    - Percorso: http://< il tuo dominio >/logmein-verification-code.txt
    - Contenuti: logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e
4. Dopo avere aggiunto il record DNS o il file di testo, torna alla schermata di stato del dominio e fai clic su Verifica.
5. Risultato: Hai verificato correttamente il tuo primo dominio e creato in tal modo un'organizzazione con il tuo account come amministratore della organizzazione. Verrai visualizzato il dominio verificato elencato al prossimo accesso al Centro organizzativo.
Disabilita le e-mail di benvenuto per gli utenti (opzionale).
1. Accedi al GoTo Admin Centro (classico ) all ' https://admin.logmeininc.com.
2. Seleziona Impostazioni dell'amministratore nella barra di navigazione a sinistra.
3. Individuare il riquadro Organizzazione e selezionare Modifica.
4. Seleziona Disabilitato per Sincronizza utenti > Salvare.
  Risultato: Hai disabilitato le e-mail di benvenuto per gli utenti, e dovrai informare i tuoi utenti delle modifiche al loro account e/o ai prodotti assegnati in futuro.

Risultati: Hai correttamente impostato un'organizzazione e configurato le impostazioni che desideri per le e-mail di benvenuto.

Passaggio 2: Certificato del servizio federativo

Ogni distribuzione AD FS è identificata da un nome DNS (AD esempio "adfs.mydomain.com). Avrai bisogno di un certificato emesso per questo nome soggetto prima di iniziare. Questo identificatore è un nome visibile all’esterno, quindi assicurati di scegliere un nome adeguato a rappresentare la tua azienda per i partner. Inoltre, non utilizzare questo nome anche come nome dell’host server, perché potrebbe causare problemi relativi alla registrazione dei nomi dell’entità servizio (SPN).

Sono disponibili numerosi metodi per la creazione di certificati. Il più semplice, se si dispone di un’autorità di certificazione nel proprio dominio, è usare la console di gestione IIS 7:

Apri lo snap-in di gestione del server Web (IIS).
Seleziona il nodo del server nell’albero di navigazione, quindi l’opzione Certificati server.
Seleziona Crea certificato di dominio.
Immetti il nome del servizio federativo in Nome comune (ad esempio, adfs.mydomain.com).
Seleziona l’autorità di certificazione di Active Directory.
Immetti un “nome descrittivo” per il certificato (qualsiasi identificatore andrà bene).

Nota: Se non hai utilizzato la console IIS per generare il certificato, assicurati che il certificato sia connesso al servizio IIS nei server dove installerai AD FS prima di procedere.

Passaggio 3: Crea un account utente di dominio

I server AD FS richiedono che crei un account utente di dominio per eseguire i suoi servizi (non sono richiesti gruppi specifici).

Passaggio 4: Installa il primo server AD FS

Scarica AD FS 2.0 ed esegui l'installer. Assicurati di eseguire il programma di installazione come amministratore di dominio: creerà SPN e altri contenitori in AD.
In Ruolo server, seleziona Server federativo.
Verifica Avvia lo snap-in di gestione AD FS 2.0 quando si chiude questa procedura guidata al termine della configurazione guidata.
Negli snap-in di gestione AD FS, fai clic su Crea nuovo servizio federativo.
Seleziona Nuova farm del server federativo.
Seleziona il certificato che hai creato nel passaggio precedente.
Seleziona l’utente del dominio che hai creato nei passaggi precedenti.

Passaggio 5: Configura la relying party

In questo passaggio, avverterai AD FS il tipo di token SAML che il sistema accetta.

Configura la relazione di trust procedendo come segue:

In AD FS 2.0 MMC, seleziona Relazioni di Trust> Relying Party Trust nell'albero di navigazione.
Seleziona Aggiungi trust relying party e fai clic su Avvia.
Sotto Seleziona origine dati, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
Nella casella di testo sotto l’opzione selezionata, incolla l’URL dei metadati: https://authentication.logmeininc.com/saml/sp.
Fai clic su OK per accettare che alcuni metadati che ADFS 2.0 non comprende vengano ignorati.
Nella pagina Specifica nome visualizzato, digita LogMeInTrust e quindi Avanti.
Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l’accesso a questa relying party a meno che non desideri selezionare un’altra opzione.
Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.

Aggiungi 2 regole di attestazione

Fai clic sulla nuova voce dell’endpoint e quindi su Modifica regole attestazione nella barra di navigazione a destra.
Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
Usa il menu a discesa per selezionare Inviare attributi LDAP come attestazioni, quindi fai clic su Avanti.
Usa le seguenti impostazioni per la regola:
- Nome regola di attestazione – E-mail AD
- Archivio attributi – Active Directory
- Attributo LDAP – Indirizzi e-mail
- Tipo di attestazione in uscita – Indirizzo e-mail
Fai clic su Fine.
Fai nuovamente clic su Aggiungi regola.
Usa il menu a discesa per selezionare Trasformare un’attestazione in ingresso, quindi fai clic su Avanti.
Usa le seguenti impostazioni per la regola:
- Nome regola attestazione – ID nome
- Tipo di attestazione in ingresso – Indirizzo e-mail
- Tipo di attestazione in uscita – ID nome
- Formato ID nome in uscita – E-mail
Seleziona Pass-through di tutti i valori attestazione.
Fai clic su Fine.

Completa la configurazione

Fai clic con il pulsante destro del mouse sul nuovo trust della relying party nella cartella Trust relying party e seleziona Proprietà.
In Avanzate, seleziona SHA-1 e fai clic su OK.
Per impedire AD FS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt dei comandi di PowerPower Shell ed esegui il seguente comando:

Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

Passaggio 6: Configura trust

L’ultimo passaggio della configurazione è l’accettazione dei token SAML generati dal nuovo servizio ADFS.

Usa la sezione "Provider di identità" nel Centro organizzativo per aggiungere i dettagli necessari.
Per AD FS 2.0, seleziona la configurazione “Automatic” e inserisci il seguente URL – sostituendo “server” con il nome host accessibile esternamente del tuo server AD FS:https://server/FederationMetadata/2007-06/FederationMetadata.xml

Passaggio 7: Esegui un test della configurazione del server

A questo punto dovresti essere in grado di testare la configurazione. Devi creare una voce DNS per l’identità del servizio ADFS, che punti al server ADFS appena configurato, oppure un servizio di bilanciamento del carico della rete se ne utilizzi uno.

Per eseguire un test dell’accesso avviato dal provider di identità, vai all’URL personalizzato del tuo provider di identità (ad esempio: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l’identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
Per eseguire un test dell’accesso avviato dalla relying party, consulta le istruzioni disponibili in Come posso accedere con Single Sign-On?