Configurar o Logon empresarial usando o AD FS 3.0

A versão oficial deste conteúdo está em inglês. Parte da documentação da GoTo foi traduzida por computador para facilitar o acesso. A GoTo não tem controle sobre o conteúdo traduzido por computador, que pode conter erros, imprecisões ou linguajar inadequado. Nenhuma garantia é feita, expressa ou implicitamente, quanto à precisão, confiabilidade, adequação ou exatidão de qualquer tradução do original em inglês para qualquer outro idioma. A GoTo não pode ser responsabilizada por quaisquer danos ou problemas decorrentes do uso do conteúdo traduzido por máquina ou da confiança nesse conteúdo.

Configurar o Logon empresarial usando o AD FS 3.0

Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos, além de oferecer logon único (SSO). O logon único garante que os usuários possam acessar o GoTo produtos usando o mesmo provedor de identidade de seus outros aplicativos empresariais e ambientes. Esses recursos são chamados de Logon empresarial.

Você pode configurar os Serviços de Federação do Active Directory (AD FS) para oferecer suporte a autenticação de logon único para GoTo produtos.

Observação: leia mais sobre logon empresarial e conclua as etapas iniciais de configuração antes de prosseguir.

Sobre o AD FS 3.0

O AD FS 3.0 é uma versão aprimorada do AD FS 2.0. Ele é um componente baixável para Windows Server 2012 R2. Uma das grandes vantagens do 3.0 é a inclusão do Internet Information Services (IIS) Server, da Microsoft, na implantação, e não em uma instalação separada. As melhorias variam a instalação e a configuração em relação ao seu predecessor.

Este artigo aborda como instalar e configurar o AD FS e configurar o AD FS em uma relação de confiança SAML com Logon empresarial. Nesta relação de confiança, o AD FS é o provedor de identidade e GoTo é o provedor de serviços. Ao concluir, GoTo poderá usar o AD FS para autenticar usuários em produtos como GoTo Training usando as asserções SAML atendidas pelo AD FS. Os usuários poderão iniciar autenticações do lado do Provedor de Serviço ou do lado do Provedor de Identidade.

Requisitos

Os pré-requisitos para o AD FS 3.0 são:

Um certificado de confiança pública para autenticar o AD FS nos seus clientes. O nome do serviço do AD FS será considerado pelo nome do assunto do certificado, é importante que o nome do certificado seja atribuído adequadamente.
O servidor AD FS precisará ser membro de um domínio do Active Directory, e será necessária uma conta de administrador de domínio para a configuração do AD FS.
Será necessária uma entrada DNS para resolver o nome de host do AD FS pelo cliente

Uma lista completa e detalhada dos requisitos pode ser revisada no Visão geral do Microsoft AD FS 3.0.

Instalação

Inicie a instalação do AD FS 3.0 acessando Ferramentas administrativas > Gerenciador de servidor > Adicionar funções e recursos.
Na página Selecionar tipo de instalação, selecione Instalação baseada em função ou recurso e clique em Avançar.
Na página Selecionar servidor de destino, selecione o servidor no qual será instalado o serviço ADFS e clique em Avançar.
Na página Selecionar funções de servidor, selecione Active Directory Federation Services e clique em Avançar.
Em Selecionar recursos, a menos que você deseje instalar alguns recursos adicionais, mantenha os padrões e clique em Avançar.
Releia as informações da página Active Directory Domain Services e clique em Avançar.
Inicie a instalação na página Confirmar seleções de instalação.

Configuração

Nas Notificações, haverá uma notificação alertando que você tem uma tarefa de Configuração pós-implantação… pendente. Abra-a e clique no link para iniciar o assistente de configuração.
No Boas-vindas página, selecione Criar o primeiro servidor da federação em um novo farm de servidores federados (a menos que haja um farm existente que você esteja adicionando a esse servidor do AD FS também).
No Conectar-se ao AD FS selecione a conta de administrador do domínio para realizar esta configuração.
Em Especificar Propriedades do Serviço, especifique o Certificado SSL criado nos pré-requisitos. Defina o Nome do Serviço de Federação e o Nome para exibição do Serviço de Federação.
Em Especificar conta de serviço, selecione a conta que o AD FS usará.
Em Especificar Banco de Dados de Configuração, selecione o banco de dados a ser usado.
Releia as informações nas Verificações de Pré-requisitos e clique em configurar.

Estabelecer relação de confiança

Cada pessoa (AD FS e GoTo) precisará ser configurado para confiar na outra parte. Portanto, a configuração da relação de confiança é um processo de duas vias.

Etapa 1: Configurar o AD FS para confiar GoTo Training SAML

Vá para Ferramentas administrativas > Gerenciamento do AD FS.
Em Gerenciamento do AD FS, use o Ação menu suspenso e selecione Adicionar confiança de parceiro de confiança. Isso iniciará o Assistente para Adicionar Confiança da Terceira Parte Confiável.
Na página Selecionar Fonte de Dados do assistente, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
Clique em Avançar.
Pule a página Configurar a Autenticação Multifator Agora?.
Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
Siga as instruções das próximas telas para concluir este lado da relação de confiança.

Adicionar duas regras de declaração

Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
Selecione a guia Regras de Transformação de Emissão e clique em Adicionar Regra.
No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
Clique em Concluir.
Clique em Adicionar Regra novamente.
No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
Use as seguintes configurações:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
Selecione Passar por todos os valores da declaração.
Clique em Concluir.
Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
Em Avançado, selecione SHA-1 e clique em OK.
Para evitar que o AD FS envie asserções criptografadas por padrão, abra um prompt de comando do Windows Power Shell e execute o seguinte comando:
Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

Etapa 2 Configurar GoTo para confiar no AD FS

Acesse o Centro da Organização em https://organization.logmeininc.com e use o formulário da Web do Provedor de Identidade.
O AD FS publica seus metadados em um URL padrão por padrão: (https: /// < hostname >/federationmetada/ 2007-06/federationmetadata).
- Se este URL estiver disponível publicamente na Internet: Clique na guia Provedor de Identidade do Centro da Organização, selecione a opção Configuração automática, cole o URL no campo de texto e clique em Salvar quando terminar.
- Se o URL de metadados não estiver disponível publicamente, coletar o URL único e um certificado (para validação de assinatura) do AD FS e enviá-los usando a opção de configuração Manual no Provedor de identidade no Centro da Organização.
Para coletar os itens necessários, faça o seguinte:
1. Para coletar o URL do serviço de logon único, abra a janela Gerenciamento do AD FS e selecione o Pontos de extremidade pasta para exibir uma lista de terminais do AD FS. Procure o ponto de extremidade Tipo de federação SAML 2.0/WS e pegue o URL nas propriedades. Como alternativa, se você tiver acesso ao URL de metadados, exiba o conteúdo do URL em um navegador e procure o URL do logon único no conteúdo do XML.
2. Para coletar o certificado para a validação de assinatura, abra o Console de gerenciamento do AD FS e selecione o Certificados pasta para exibir os certificados. Procure o Certificado de assinatura de tokens, clique nele com o botão direito e selecione Exibir Certificado. Selecione a guia Detalhes e, em seguida, a opção Copiar para arquivo. Usando o assistente de exportação de certificados, selecione X.509 codificado na base 64 (*.cer). Atribua um nome ao arquivo para concluir a exportação do certificado para um arquivo.
Insira o URL do serviço de logon único e o texto do certificado em seus respectivos campos no Centro da Organização e clique em Salvar.

Testar a configuração

Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como efetuar login usando logon único?