Configurar o Logon empresarial usando o AD FS 2.0
Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos, além de oferecer logon único (SSO). O SSO garante que seus usuários possam acessar o GoTo produtos que usam o mesmo provedor de identidade de seus outros aplicativos e ambientes empresariais. Esses recursos são chamados de Logon empresarial.
Este artigo aborda a configuração de seu Active Directory Federation Services (AD FS) para oferecer suporte a autenticação de logon único para GoTo produtos.
AD FS 2.0 é uma para download componente para Windows Server 2008 e 2008 R2. É simples de implantar, mas há várias etapas de configuração que precisam de strings, certificados, URLs específicos, etc. O AD FS 3.0 também é compatível com o Enterprise Sign-In. AD FS 3.0 tem várias melhorias, o maior dos quais os Serviços de Informações da Internet (IIS) da Microsoft estão incluídos na implantação em vez de uma instalação separada.
Etapa 1: Configurar uma organização para o ADFS 2.0
Configure uma “organização” registrando pelo menos um domínio de e-mail válido com GoTo para verificar sua propriedade do domínio. Domínios da sua organização são domínios de e-mail que pertencem totalmente a ela e que seus administradores podem verificar, seja por meio do serviço web ou pelo servidor DNS.
Configure uma organização.
Desative e-mails de boas-vindas para usuários (opcional).
Resultados: Você configurou uma organização e configurou as configurações desejadas para e-mails de boas-vindas.
Etapa 2: Certificado dos serviços da federação
Cada implantação do AD FS é identificada por um nome DNS (por exemplo, " adfs.mydomain.com ). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.
Etapa 3: Criar uma conta de usuário de domínio
Os servidores AD FS exigem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é necessário).
Etapa 4: Instalar o primeiro servidor AD FS
- Baixar o AD FS 2.0 e executar o instalador. Assegure-se de executar o instalador como Administrador do Domínio — isso criará SPNs e outros contêineres no AD.
- Em Server Role (Função do servidor), selecione Servidor de Federação.
- Verifique Inicie o AD FS 2.0 snap-in de gerenciamento quando este assistente fecha no final do Assistente de configuração.
- No snap-in do AD FS Management, selecione Criar novo Serviço de Federação.
- Selecione Novo farm de servidores federados.
- Selecione o Certificado que você criou na etapa anterior.
- Selecione o usuário do Domínio que você criou nas etapas anteriores.
Etapa 5: Configurar seu parceiro de confiança
Nesta etapa, você vai dizer ao AD FS o tipo de tokens SAML aceitos pelo sistema.
- No AD FS 2.0 Console de administração Relações de confiança> Relações de confiança de parceiro na árvore de navegação.
- Selecione Adicionar autorização de parceiro de confiança e selecione Iniciar.
- Em Selecionar origem de dados, selecione Importar dados sobre o parceiro de confiança publicado online ou em uma rede local.
- In the text box below the selected option, paste the metadata URL: http://identity.goto.com/saml/sp.
- Selecione OK para confirmar que alguns metadados do AD FS 2.0 não é entender.
- Na página Specify Display Name (Especificar nome de exibição), digite LogMeInTruste selecione Próximo.
- No Escolher regras de autorização de emissão tela, selecione Permitir que todos os usuários acessem este grupo de confiança (a menos que outra opção seja desejada).
- Siga as instruções das próximas telas para concluir este lado da relação de confiança.
Adicionar duas regras de declaração
- Selecione a nova entrada do ponto de extremidade e selecione Editar regras de declaração no menu de navegação.
- Selecione o Regras de transformação de emissão e depois selecione Adicionar regra.
- Use o menu suspenso para selecionar Enviar atributos LDAP como declaraçõese selecione Próximo.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
- Selecione Concluir.
- Selecione Adicionar regra novamente.
- Use o menu suspenso para selecionar Transformar uma declaração de entradae selecione Próximo.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
- Selecione Passar por todos os valores da declaração.
- Selecione Concluir.
Concluir a configuração
- Para evitar que o AD FS envie asserções criptografadas por padrão, abra um prompt de comando do Windows Power Shell e execute o seguinte comando:
Etapa 6: Configurar a confiança
A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.
- Na seção “Provedor de Identidade” do Centro da Organização, adicione os detalhes necessários.
- Para AD FS 2.0, selecione Configuração automática e insira o seguinte URL – substituição de “servidor” com o nome de host acessível externo de seu servidor AD FS: https://server/FederationMetadata/2007-06/FederationMetadata.xml
Etapa 7: Testar a configuração do servidor único
A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.
- Para testar o Logon iniciado pelo provedor de identidade, acesse o URL personalizado do IdP (exemplo: https://adfs. < my domain.com> / adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Fazer login em um dos seguintes sites”.
- Para testar o Logon iniciado por terceira parte confiável, consulte as instruções para Como efetuo login usando logon único?