Configurar o Logon empresarial usando o AD FS 3.0

Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos, além de oferecer logon único (SSO). O SSO garante que seus usuários possam acessar o GoTo produtos que usam o mesmo provedor de identidade de seus outros aplicativos e ambientes empresariais. Esses recursos são chamados de Logon empresarial.

Você pode configurar os Serviços de Federação do Active Directory (AD FS) para oferecer suporte a autenticação de logon único para GoTo produtos.

Nota: Não deixe de ler mais sobre Logon empresarial e conclua as etapas iniciais de configuração antes de prosseguir.

Sobre o AD FS 3.0

AD FS 3.0 é uma versão aprimorada do AD FS 2.0. É uma para download componente para Windows Server 2012 R2. Uma das grandes vantagens do 3.0 é a inclusão do Internet Information Services (IIS) Server, da Microsoft, na implantação, e não em uma instalação separada. As melhorias variam a instalação e a configuração em relação ao seu predecessor.

Este artigo aborda como instalar e configurar o AD FS e definir o AD FS como um relacionamento de confiança SAML com o Logon empresarial. Nesta relação de confiança, o AD FS é o provedor de identidade e GoTo é o Provedor de serviços. Ao concluir, GoTo poderá usar o AD FS para autenticar usuários em produtos, como GoTo Meeting usando as asserções SAML atendidas pelo AD FS. Os usuários poderão iniciar autenticações do lado do Provedor de Serviço ou do lado do Provedor de Identidade.

Requisitos

Entre os pré-requisitos para o AD FS 3.0 são:

Um certificado confiável para autenticação do AD FS para seus clientes. O nome do serviço AD FS será considerado pelo nome do assunto do certificado, é importante que o nome do certificado seja atribuído adequadamente.
O servidor AD FS precisará ser membro de um domínio do Active Directory, e será necessária uma conta de administrador de domínio para a configuração do AD FS.
Será necessária uma entrada DNS para resolver o nome de host do AD FS pelo cliente

Uma lista completa e detalhada dos requisitos pode ser revisada no Microsoft AD FS 3.0 Visão geral.

Instalação

Iniciar a instalação do AD FS 3.0 acessando Ferramentas administrativas > Gerenciador de servidores > Adicionar funções e recursos.
Em Selecionar tipo de instalação selecione página Instalação baseada em funções ou recursose selecione Próximo.
No Selecionar servidor de destino escolha o servidor no qual deseja instalar o serviço ADFS e selecione Próximo.
No Selecione a página de funções do servidor, escolha Serviços de Federação do Active Directorye selecione Próximo.
Em Selecionar recursos, a menos que haja novos recursos que você deseja instalar, deixe os padrões e selecione Próximo.
Verifique as informações no Serviços de Domínio do Active Directory página, selecione Próximo.
Inicie a instalação no Confirmar seleção de instalação página.

Configuração

No Notificações, você terá uma notificação alertando que você tem uma notificação Configuração pós-implantação tarefa restante. Abra-o e selecione o link para iniciar o Assistente de configuração.
No Boas-vindas selecione página Crie o primeiro servidor da federação em um novo farm de servidores federados (a menos que haja um farm existente que você esteja adicionando a esse servidor AD FS também).
No Conectar-se ao AD FS selecione a conta de administrador de domínio para realizar esta configuração.
Em Especificar propriedades do serviço, especifique o Certificado SSL criado a partir dos pré-requisitos. Defina o Nome do Serviço de Federação e Nome de exibição do Serviço de Federação.
Em Especificar conta de serviço, escolha a conta que o AD FS usará.
No Especificar o banco de dados de configuração escolha o banco de dados a ser usado.
Revise as informações no cheques pré-requisitos e selecione Configurar.

Estabelecer relação de confiança

Cada parte (AD FS e GoTo) precisará ser configurado para confiar na outra parte. Portanto, a configuração da relação de confiança é um processo de duas vias.

Etapa 1: Configurar o AD FS para confiar GoTo Meeting SAML

Acesse Ferramentas administrativas > Gerenciamento do AD FS.
Em Gerenciamento do AD FS, use o Ação menu suspenso e selecione Adicionar autorização de parceiro de confiança. Isso iniciará o Assistente para Adicionar Confiança da Terceira Parte Confiável.
No Selecionar origem de dados página do assistente, selecione Importar dados sobre o parceiro de confiança publicado online ou em uma rede local.
Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
Selecione Próximo.
Pule a Configurar a autenticação multifator? página.
No Escolher regras de autorização de emissão tela, selecione Permitir que todos os usuários acessem este grupo de confiança (a menos que outra opção seja desejada).
Siga as instruções das próximas telas para concluir este lado da relação de confiança.

Adicionar duas regras de declaração

Selecione a nova entrada do ponto de extremidade e selecione Editar regras de declaração no menu de navegação.
Escolha o Regras de transformação de emissão e depois selecione Adicionar regra.
Use o menu suspenso e escolha Enviar atributos LDAP como declaraçõese selecione Próximo.
Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
Selecione Concluir.
Selecione Adicionar regra novamente.
Use o menu suspenso e escolha Transformar uma declaração de entrada menu e selecione Próximo.
Use as seguintes configurações:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
Escolha Transmitir todos os valores de solicitações.
Selecione Concluir.
Para evitar que o AD FS envie asserções criptografadas por padrão, abra um prompt de comando do Windows Power Shell e execute o seguinte comando:
set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

Etapa 2:configurar GoTo para confiar no AD FS

Navegue para o Centro da Organização em https://organization.logmeininc.com e use o Formulário de webformulário do provedor de identidade.
O AD FS publica seus metadados para um URL padrão por padrão: ( https:// < hostname > / federationmetadata / 2007 06/federationmetadata.xml ).
- Se este URL estiver disponível publicamente na web: Selecione o Provedor de identidade no Centro da Organização, escolha o Configuração automática opção e cole o URL no campo de texto e selecione Salvar quando terminar.
- Se o URL de metadados não for disponível publicamente, colete o URL de logon único e um certificado (para validação de assinatura) do AD FS e envie-os usando a opção de configuração Manual no Provedor de identidade no Centro da Organização.
Para coletar os itens necessários, faça o seguinte:
1. Para coletar o URL do serviço de logon único, abra a janela Gerenciamento do AD FS e selecione o Pontos de extremidade pasta para exibir uma lista de terminais do AD FS. Procure o ponto de extremidade Tipo de federação SAML 2.0/WS e pegue o URL nas propriedades. Como alternativa, se você tiver acesso ao URL de metadados, exiba o conteúdo do URL em um navegador e procure o URL do logon único no conteúdo do XML.
2. Para coletar o certificado para validação de assinatura, abra o Console de gerenciamento do AD FS e selecione o Certificados pasta para exibir os certificados. Procure pelo Certificado de assinatura de tokense clique com o botão direito do mouse nele e escolha Ver certificado. Escolha o Detalhes e depois o Copiar para arquivo opção. Usando o assistente de exportação de certificado, selecione o Base 64 codificada X.509 (.Cer ). Atribua um nome ao arquivo para concluir a exportação do certificado para um arquivo.
Insira o URL do serviço de logon único e o texto do certificado nos respectivos campos para o Centro da Organização e selecione Salvar.

Testar a configuração

Para testar o Logon iniciado pelo provedor de identidade, acesse o URL personalizado do IdP (exemplo: https://adfs. < my domain.com> / adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Fazer login em um dos seguintes sites”.
Para testar o Logon iniciado por terceira parte confiável, consulte as instruções para Como efetuo login usando logon único?

Article last updated: 17 January, 2024