Configurar o Logon empresarial usando o AD FS 2.0
Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos, além de oferecer logon único (SSO). O logon único garante que os usuários possam acessar o GoTo produtos usando o mesmo provedor de identidade de seus outros aplicativos empresariais e ambientes. Esses recursos são chamados de Logon empresarial.
Este artigo aborda a configuração de seus Serviços de Federação do Active Directory (AD FS) para oferecer suporte a autenticação de logon único para GoTo produtos.
O AD FS 2.0 é uma para download componente para Windows Server 2008 e 2008 R2. É simples de implantar, mas existem várias etapas de configuração que precisam de cadeias de caracteres, certificados e URLs, etc. específicos. AD FS 3.0 também é compatível com o Logon empresarial. O AD FS 3.0 tem várias melhorias, o maior de quais é o servidor do Microsoft Internet Information Services (IIS) Server está incluído na implantação em vez de uma instalação separada.
Etapa 1: Configurar uma organização para ADFS 2.0
Configure uma “organização” registrando pelo menos um domínio de e-mail válido com GoTo para verificar sua propriedade desse domínio. Domínios da sua organização são domínios de e-mail que pertencem totalmente a ela e que seus administradores podem verificar, seja por meio do serviço web ou pelo servidor DNS.
Configure uma organização.
Desative e-mails de boas-vindas para usuários (opcional).
Etapa 2: Certificado dos serviços de federação
Cada implantação do AD FS é identificada por um nome DNS (por exemplo, “adfs.mydomínio.com”). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.
Etapa 3: criar uma conta de usuário do domínio
Os servidores do AD FS requerem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é necessário).
Etapa 4: Instalar o primeiro servidor AD FS
- Baixe o AD FS 2.0 e execute o instalador. Assegure-se de executar o instalador como Administrador do Domínio — isso criará SPNs e outros contêineres no AD.
- Em Função do Servidor, selecione Servidor de Federação.
- Verificar Inicie o snap-in do gerenciamento do AD FS 2.0 quando este assistente fecha no final do Assistente de configuração.
- No snap-in do AD FS Management, clique em Criar novo Serviço de Federação.
- Selecione Farm de novo servidor de federação.
- Selecione o Certificado que você criou na etapa anterior.
- Selecione o usuário do Domínio que você criou nas etapas anteriores.
Etapa 5: configurar sua terceira parte confiável
Nesta etapa, você informará do AD FS o tipo de tokens SAML que o sistema aceita.
- No Console do AD FS 2.0, selecione Relações de confiança> Relações de confiança de confiança na árvore de navegação.
- Selecione Adicionar Confiança da Terceira Parte Confiável e clique em Iniciar.
- Em Selecionar Fonte de Dados, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
- Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
- Clique em OK para reconhecer que alguns metadados que o ADFS 2.0 não entende serão ignorados.
- Na página Especificar Nome para Exibição, digite LogMeInTrust e clique em Avançar.
- Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
- Siga as instruções das próximas telas para concluir este lado da relação de confiança.
Adicionar duas regras de declaração
- Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
- Selecione a guia Regras de Transformação de Emissão e selecione Adicionar Regra.
- No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
- Clique em Concluir.
- Clique em Adicionar Regra novamente.
- No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
- Selecione Passar por todos os valores da declaração.
- Clique em Concluir.
Concluir a configuração
- Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
- Em Avançado, selecione SHA-1 e clique em OK.
- Para evitar que o AD FS envie asserções criptografadas por padrão, abra um prompt de comando do Windows Power Shell e execute o seguinte comando:
Etapa 6: configurar a confiança
A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.
- Use a seção "Provedor de Identidade" do Centro de Organização para adicionar os detalhes necessários.
- Para AD FS 2.0, selecione Configuração automática e insira o seguinte URL – substituição de “servidor” com o nome de host acessível externamente do servidor AD FS:https://server/FederationMetadata — 2007-06/FederationMetadata a.xml
Etapa 7: testar configuração de servidor único
A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.
- Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
-
Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como efetuar login usando logon único?