product icon

使用 ADFS 2.0 设置企业登录

您的组织可以轻松管理成千上万个用户及其产品访问权限,同时还提供“单点登录”(SSO)。SSO 将确保您的用户能够使用与其他企业应用程序和环境相同的身份提供程序来访问其 LogMeIn 产品。这些功能称为企业登录。

本文档介绍如何配置您的 Active Directory 联合身份验证服务 (ADFS),以支持对 LogMeIn 产品进行单点登录身份验证。但是,在实施之前,请务必阅读与企业登录有关的详情并完成初始设置步骤。

ADFS 2.0 是 Windows Server 2008 和 2008 R2 的一个可下载组件。此组件易于部署,但是有多个配置步骤需要特定字符串、证书或 URL 等。ADFS 3.0 也支持企业登录。ADFS 3.0 具有多种改进功能,最大的改进功能是将 Microsoft 的 Internet Information Services (IIS) 服务器包含在部署中,不再单独安装。

注意:如果已经部署 ADFS 2.0,可以跳至 步骤 4(在下面列出)。

步骤 1:联合身份验证服务证书

每个 ADFS 部署都是通过 DNS 名称标识的(例如,adfs.mydomain.com)。您需要在开始之前为此使用者名称颁发一个证书。此标识符是一个外部可见的名称,因此,请务必选取恰当的、能够向合作伙伴展示贵公司的名称。此外,请勿使用此名称作为服务器主机名,否则会导致服务主体名称 (SPN) 注册出现问题。

可以通过多种方法生成证书。如果您的域中包含证书颁发机构,则使用 IIS 7 管理控制台是最简单的一种方法:
  1. 打开 Web 服务器 (IIS) 管理管理单元。
  2. 在导航树中选择服务器节点,然后选择服务器证书选项。
  3. 选择创建域证书
  4. 在“公用名”中输入您的联合身份验证服务名称(例如 adfs.mydomain.com)。
  5. 选择 Active Directory 证书颁发机构。
  6. 输入证书的“友好名称”(任何标识符都可以)。

    注意: 如果未使用 IIS 控制台生成证书,请务必在继续操作之前将证书绑定到要安装 ADFS 的服务器中的 IIS 服务。

步骤 2:创建域名用户帐户

ADFS 服务器要求您创建一个域用户帐户以运行其服务(不需要特定的组)。

步骤 3:安装您的第一个 ADFS 服务器

  1. 下载 ADFS 2.0 并运行安装程序。请务必以域管理员身份运行安装程序,这将在 AD 中创建 SPN 及其他容器。
  2. 在“服务器角色”中,选择联合服务器
  3. 在设置向导结束时选中 Start the ADFS 2.0 Management snap-in when this wizard closes(在此向导关闭时启动 ADFS 2.0 管理管理单元)
  4. 在“ADFS Management”(ADFS 管理)管理单元中,单击 Create new Federation Service(创建新联合身份验证服务)
  5. 选择 New Federation Server farm(新建联合服务器场)
  6. 选择在上一步中创建的证书。
  7. 选择在上一步中创建的域用户。

步骤 4:配置信赖方

在此步骤中,您会将系统接受的 SAML 令牌类型告知 ADFS。

设置信任关系,如下所示:
  1. 在 ADFS 2.0 MMC 中,在导航树中选择信任关系 > 信赖方信任
  2. 选择添加信赖方信任 ,并单击开始
  3. 在 "选择数据源 "下面,选择导入与联机发布或在局域网中发布的信赖方有关的数据
  4. 在选定选项下面的文本框中,粘贴元数据 URL:https://authentication.logmeininc.com/saml/sp
  5. 单击确定以确认将跳过一些无法由 ADFS 2.0 识别的元数据。
  6. 在 "指定显示名称 "页面,输入 LogMeInTrust,然后单击下一步
  7. 在 Choose Issuance Authorization Rules(选择颁发授权规则)屏幕中,除非需要其他选项,否则请选择 Permit all users to access this relying party(允许所有用户访问此信赖方)
  8. 继续完成其余的提示以完成信任关系的这一端。

增加 2 条声明规则

  1. 单击新端点条目,然后单击右侧导航区域中的编辑声明规则
  2. 选择颁发转换规则选项卡,然后选择添加规则
  3. 使用下拉菜单选择以声明方式发送 LDAP 特性 ,然后单击下一步
  4. 对规则使用以下设置:
    • 声明规则名称 – AD Email(AD 电子邮件)
    • 属性存储 – Active Directory
    • LDAP 属性 – E-mail-Addresses(电子邮件地址)
    • 传出声明类型 – E-mail Address(电子邮件地址)
  5. 单击完成
  6. 再次单击添加规则
  7. 使用下拉菜单选择转换传入声明 ,然后单击下一步
  8. 对规则使用以下设置:
    • 声明规则名称 – Name ID(名称 ID)
    • 传入声明类型 – E-Mail Address(电子邮件地址)
    • 传出声明类型 – Name ID(名称 ID)
    • 传出名称 ID 格式 – Email(电子邮件)
  9. 选择传递所有声明值
  10. 单击完成

完成配置

  • 右键单击信赖方信任文件夹中的新信赖方信任,然后选择属性
  • 在 "高级 "下,选择 SHA-1 ,然后单击确定
  • 要默认阻止 ADFS 发送加密断言,请打开 Windows Power Shell 命令提示符并运行以下命令:
set– ADFSRelyingPartyTrust –TargetName"< relyingPartyTrustDisplayName >" –EncryptClaims $False

步骤 5:配置信任

最后一个配置步骤为接受您的新 ADFS 服务生成的 SAML 令牌。

  • 使用组织中心中的“身份提供程序”部分可添加所需的详细信息。
  • 对于 ADFS 2.0,请选择“自动”配置并输入以下 URL(将 server 替换为 ADFS 服务器的外部可访问的主机名):https://server/FederationMetadata/2007-06/FederationMetadata.xml

步骤 6:测试单一服务器配置

此时您应能够测试配置。必须为 ADFS 服务标识创建一个 DNS 条目,指向您刚刚配置的 ADFS 服务器或网络负载平衡器(如果正在使用)。

  • 要测试身份提供程序发起的登录 ,请转至您的自定义身份提供程序 URL(例如:https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). 您应在“Sign in to one to the following sites”(将一个身份提供程序登录到以下站点)下的组合框中看到信赖方标识符。
  • 要测试信赖方发起的登录 ,请参见我如何使用单点登录进行登录?中的说明