Configurar o Logon empresarial usando o AD FS 2.0

Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos, além de oferecer logon único (SSO). O SSO garante que seus usuários possam acessar o GoTo produtos que usam o mesmo provedor de identidade de seus outros aplicativos e ambientes empresariais. Esses recursos são chamados de Logon empresarial.

Este artigo aborda a configuração de seu Active Directory Federation Services (AD FS) para oferecer suporte a autenticação de logon único para GoTo produtos.

AD FS 2.0 é uma para download componente para Windows Server 2008 e 2008 R2. É simples de implantar, mas há várias etapas de configuração que precisam de strings, certificados, URLs específicos, etc. O AD FS 3.0 também é compatível com o Enterprise Sign-In. AD FS 3.0 tem várias melhorias, o maior dos quais os Serviços de Informações da Internet (IIS) da Microsoft estão incluídos na implantação em vez de uma instalação separada.

Nota: Você pode pular para Etapa 5 (listado abaixo) se você já tiver o AD FS 2.0 implantado.

Etapa 1: Configurar uma organização para o ADFS 2.0

Configure uma “organização” registrando pelo menos um domínio de e-mail válido com GoTo para verificar sua propriedade do domínio. Domínios da sua organização são domínios de e-mail que pertencem totalmente a ela e que seus administradores podem verificar, seja por meio do serviço web ou pelo servidor DNS.

Importante: O usuário que concluir a verificação de domínio se tornará automaticamente um administrador da organização, mas esse usuário não precisa ter um GoTo função de administração do produto.

As etapas abaixo são realizadas no GoTo Centro da Organização.

Configure uma organização.

Sign in to the GoTo Organization Center at https://organization.logmeininc.com.
The first screen will ask that you verify that you own the domain for the account with which you are logged in currently. You are provided two methods for setting up domain validation, each of which uses a unique verification code to complete the verification. Copy the verification value to your clipboard.

Nota: The verification screen will display until the domain is verified. If it takes you longer than 10 days to verify the domain, the system will automatically generate new verification codes for your domain the next time you visit the Organization Center.
Paste the verification code into the DNS record or a text file for upload to one of the locations, depending on which of the verification methods you choose:
- Method 1: Add a DNS record to your domain zone file. To use the DNS method, you place a DNS record at the level of the email domain within your DNS zone. Typically, users are verifying a “root” or “second level” domain such as “main.com”. In this case, the record would resemble:
  
  @ IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  OR
  
  main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  If you require a third-level domain (or subdomain) such as “mail.example.com” the record must be placed at that subdomain, such as:
  
  mail.main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”
  
  For more detailed documentation, see Add a TXT DNS record.
- Method 2: Upload a web server file to the specified website.Upload a plain-text file to your web server root containing a verification string. There should not be any whitespace or other characters in the text file besides those given.
  - Location: http://< yourdomain >/logmein-verification-code.txt
  - Contents: logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e
Once you have added the DNS record or text file, return to the domain status screen and click Verify.
Resultado: Você verificou seu primeiro domínio e, portanto, criou uma organização com sua conta como administrador da organização. O domínio verificado será listado na próxima vez em que você efetuar login no Centro da Organização.

Desative e-mails de boas-vindas para usuários (opcional).

Sign in to the GoTo Admin Centro (clássico) at https://admin.logmeininc.com.
Selecione Configurações de administração no painel de navegação à esquerda.
Localize o painel Organização e selecione Editar.
Selecione Desativado para a Sincronização de Usuários > Salvar.
Resultado: Você desativou e-mails de boas-vindas para usuários e precisará informar os usuários sobre alterações na conta e/ou nos produtos atribuídos a partir de agora.

Resultados: Você configurou uma organização e configurou as configurações desejadas para e-mails de boas-vindas.

Etapa 2: Certificado dos serviços da federação

Cada implantação do AD FS é identificada por um nome DNS (por exemplo, " adfs.mydomain.com ). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.

Há vários métodos para gerar certificados. O mais fácil, se você tiver uma Autoridade de Certificado no seu Domínio, é usar o console de gerenciamento IIS 7:

Abra o snap-in de gerenciamento Open Web Server (IIS).
Selecione o nó do servidor na árvore de navegação e depois Certificados de servidor opção.
Selecione Criar certificado de domínio.
Insira seu Nome do Serviço de Federação em Nome Comum (por exemplo, adfs.mydomain.com).
Selecione sua Autoridade de Certificação do Active Directory.
Insira um “Nome Amigável” para o Certificado (qualquer identificador serve).

Nota: Se você não tiver usado o console do IIS para gerar o certificado, verifique se o certificado está vinculado ao serviço do IIS nos servidores nos quais você instalará o AD FS antes de prosseguir.

Etapa 3: Criar uma conta de usuário de domínio

Os servidores AD FS exigem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é necessário).

Etapa 4: Instalar o primeiro servidor AD FS

Baixar o AD FS 2.0 e executar o instalador. Assegure-se de executar o instalador como Administrador do Domínio — isso criará SPNs e outros contêineres no AD.
Em Server Role (Função do servidor), selecione Servidor de Federação.
Verifique Inicie o AD FS 2.0 snap-in de gerenciamento quando este assistente fecha no final do Assistente de configuração.
No snap-in do AD FS Management, selecione Criar novo Serviço de Federação.
Selecione Novo farm de servidores federados.
Selecione o Certificado que você criou na etapa anterior.
Selecione o usuário do Domínio que você criou nas etapas anteriores.

Etapa 5: Configurar seu parceiro de confiança

Nesta etapa, você vai dizer ao AD FS o tipo de tokens SAML aceitos pelo sistema.

Configure a relação de confiança da seguinte forma:

No AD FS 2.0 Console de administração Relações de confiança> Relações de confiança de parceiro na árvore de navegação.
Selecione Adicionar autorização de parceiro de confiança e selecione Iniciar.
Em Selecionar origem de dados, selecione Importar dados sobre o parceiro de confiança publicado online ou em uma rede local.
In the text box below the selected option, paste the metadata URL: http://identity.goto.com/saml/sp.
Selecione OK para confirmar que alguns metadados do AD FS 2.0 não é entender.
Na página Specify Display Name (Especificar nome de exibição), digite LogMeInTruste selecione Próximo.
No Escolher regras de autorização de emissão tela, selecione Permitir que todos os usuários acessem este grupo de confiança (a menos que outra opção seja desejada).
Siga as instruções das próximas telas para concluir este lado da relação de confiança.

Adicionar duas regras de declaração

Selecione a nova entrada do ponto de extremidade e selecione Editar regras de declaração no menu de navegação.
Selecione o Regras de transformação de emissão e depois selecione Adicionar regra.
Use o menu suspenso para selecionar Enviar atributos LDAP como declaraçõese selecione Próximo.
Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
Selecione Concluir.
Selecione Adicionar regra novamente.
Use o menu suspenso para selecionar Transformar uma declaração de entradae selecione Próximo.
Use as seguintes configurações para a regra:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
Selecione Passar por todos os valores da declaração.
Selecione Concluir.

Concluir a configuração

Para evitar que o AD FS envie asserções criptografadas por padrão, abra um prompt de comando do Windows Power Shell e execute o seguinte comando:

set-ADFSRelyingPartyTrust –TargetName"< relyingPartyTrustDisplayName >" –EncryptClaims $False

Etapa 6: Configurar a confiança

A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.

Na seção “Provedor de Identidade” do Centro da Organização, adicione os detalhes necessários.
Para AD FS 2.0, selecione Configuração automática e insira o seguinte URL – substituição de “servidor” com o nome de host acessível externo de seu servidor AD FS: https://server/FederationMetadata/2007-06/FederationMetadata.xml

Etapa 7: Testar a configuração do servidor único

A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.

Para testar o Logon iniciado pelo provedor de identidade, acesse o URL personalizado do IdP (exemplo: https://adfs. < my domain.com> / adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Fazer login em um dos seguintes sites”.
Para testar o Logon iniciado por terceira parte confiável, consulte as instruções para Como efetuo login usando logon único?

Article last updated: 17 January, 2024