使用 ADFS 3.0 设置企业登录
您的组织可以轻松管理成千上万个用户及其产品访问权限,同时还提供单点登录 (SSO)。SSO 将确保您的用户能够使用与其他企业应用程序和环境相同的身份提供程序来访问其 LogMeIn 产品。这些功能称为企业登录。
本文档介绍如何配置您的 Active Directory 联合身份验证服务 (ADFS),以支持对 LogMeIn 产品进行单点登录身份验证。但是,在实施之前,请务必阅读与企业登录有关的详情并完成初始设置步骤。
ADFS 3.0 是 ADFS 2.0 的增强版本。它是 Windows Server 2012 R2 的一个可下载组件。将 Microsoft 的 Internet Information Services (IIS) 服务器包含在部署中,不再单独安装,这是 3.0 的一大优势。与之前的功能相比,增强功能在安装和配置方面都有所差别。
本文介绍如何安装和配置 ADFS 以及如何在 SAML 与企业登录的信任关系中设置 ADFS。在此信任关系中,ADFS 为身份提供程序,LogMeIn 为服务提供程序。完成时,LogMeIn 将能够使用 ADFS 对用户进行身份验证,使其使用 ADFS 提供的 SAML 断言登录到 GoToMeeting 等产品。用户将能够从服务提供程序端或身份提供程序端启动身份验证。
本文中的主题:
要求
ADFS 3.0 的先决条件包括:
- 用于对 ADFS 进行身份验证使其登录客户端的公共可信证书。ADFS 服务名称是基于证书的使用者名称推测的,因此,相应地分配证书的使用者名称非常重要。
- ADFS 服务器需要加入 Active Directory 域,并且配置 ADFS 需要使用域管理员帐户。
- 需要 DNS 条目才能按客户端解析 ADFS 主机名。
可以在以下位置查看要求的完整详细列表: Microsoft ADFS 3.0 概述。
安装
- 通过选择管理工具 | 服务器管理器 | 添加角色和功能启动 ADFS 3.0 的安装。
- 在选择安装类型页面上,选择基于角色或基于功能的安装并单击下一步。
- 在选择目标服务器页面上,选择要在其上安装 ADFS 服务的服务器,然后单击下一步。
- 在选择服务器角色页面上,选择 Active Directory 联合身份验证服务,然后单击下一步。
- 在选择功能上,除非存在要安装的一些其他功能,否则请保留默认设置,然后单击下一步。
- 请检查 Active Directory 域服务页面上的信息,然后单击下一步。
- 在确认安装所选内容页面上启动安装。
配置
- 在通知中,您将看到一条警告消息,提示您还未执行部署后配置… 任务。打开该通知并单击链接以启动向导。
- 在欢迎页面上,选择在新联合服务器场中创建第一个联合服务器(除非存在您要将此 ADFS 服务器添加到的现有场)。
- 在连接到 ADFS 页面上,选择用于执行此配置的域管理员帐户。
- 在指定服务属性中,指定基于先决条件创建的 SSL 证书。设置联合身份验证服务名称和联合身份验证服务显示名称。
- 在指定服务帐户中,选择 ADFS 将使用的帐户。
- 在指定配置数据库中,选择要使用的数据库。
- 检查先决条件检查中的信息并单击“配置”。
建立信任关系
需要将每一方(ADFS 和 LogMeIn)都配置为信任另一方。因此,信任关系配置是一个两步过程。
步骤 #1:将 ADFS 配置为信任 LogMeIn SAML
- 打开管理工具 | ADFS 管理。
- 在 ADFS 管理中,使用操作下拉菜单并选择添加信赖方信任。这将启动“Add Relying Party Trust Wizard”(添加信赖方信任向导)。
- 在向导的选择数据源页面上,选择导入与联机发布或在局域网中发布的信赖方有关的数据,并在选定选项下的文本框中粘贴元数据 URL:
https://authentication.logmeininc.com/saml/sp。
- 单击下一步。
- 跳过立即配置多重身份验证? 页面。
- 在选择颁发授权规则屏幕中,除非需要其他选项,否则请选择允许所有用户访问此信赖方。
- 逐步完成其余的提示以完成信任关系的这一端。
- 您现在添加了两条声明规则。
- 单击新端点条目,然后单击右侧的编辑声明规则。
- 选择颁发转换规则选项卡,然后单击添加规则。
- 从下拉菜单中选择以声明方式发送 LDAP 特性,然后单击下一步。
- 对规则使用以下设置:
| 声明规则名称 | AD 电子邮件 |
| 特性存储 | Active Directory |
| LDAP 属性 | 电子邮件地址 |
| 传出声明类型 | 电子邮件地址 |
- 单击完成。
- 再次单击添加规则。
- 从下拉菜单中选择转换传入声明,然后单击下一步。
- 使用以下设置:
| 声明规则名称 | 名称 ID |
| 传入声明类型 | 电子邮件地址 |
| 传出声明类型 | 名称 ID |
| 传出名称 ID 格式 | 电子邮件 |
- 选择传递所有声明值。
- 单击完成。
- 右键单击信赖方信任文件夹中的新信赖方信任,然后选择属性。
- 在高级中,选择 SHA-1 并单击确定。
- 要默认阻止 ADFS 发送加密断言,请打开 Windows Power Shell 命令提示符并运行以下命令:
set-ADFSRelyingPartyTrust –TargetName "
" –EncryptClaims $False
步骤 2 将 LogMeIn 配置为信任 ADFS
- 导航到组织中心并使用身份提供程序 Web 窗体。
- ADFS 默认将其元数据发布为标准 URL:https://
<主机名>
/federationmetadata/2007-06/federationmetadata.xml
。
- 如果此 URL 已在 Internet 上公开发布,请在组织中心中的身份提供程序选项卡上,选择自动配置选项并在文本框中粘贴该 URL。单击 Save(保存)。
- 如果元数据 URL 未公开发布,请从 ADFS 中收集单点登录 URL 和证书(用于签名验证),并使用组织中心中的身份提供程序选项卡中的“手动配置”选项进行提交。
- 要收集必要的项目,请执行以下操作:
- 要收集单点登录服务 URL,请打开“ADFS 管理”窗口并选择端点文件夹以显示 ADFS 端点的列表。查找 SAML 2.0/WS 联合身份验证类型端点并从其属性中收集 URL。或者,如果您能够访问标准元数据 URL,请在浏览器中显示 URL 的内容并在 XML 内容中查找单点登录 URL。
- 要收集证书以用于签名验证,请打开 ADFS 管理控制台并选择证书文件夹以显示这些证书。查找令牌签名证书,右键单击该证书并选择查看证书。选择详细信息选项卡,然后选择复制到文件选项。使用“证书导出向导”,选择 Base-64 编码 X.509 (.Cer)。向文件分配名称以完成将证书导出到文件的操作。
- 将这些字段导出到组织中心并单击保存。
测试配置
要测试身份提供程序发起的登录,请转至
https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx
您应在将一个身份提供程序登录到以下站点下的组合框中看到信赖方标识符。
要测试信赖方发起的登录,请转至要登录到的 LogMeIn 产品的 Web 登录页面(例如 www.gotomeeting.com),然后在登录页面上单击使用我的公司 ID 选项。
输入您的电子邮件地址。您应被重定向到 ADFS 服务器,并且系统会提示您登录(或者,如果使用 Windows 集成身份验证,甚至可能会自动将您登录),之后,您将被直接发送到所需的产品。