HELP FILE

Einrichten der Enterprise-Anmeldung mit ADFS 3.0

Ihr Unternehmen kann problemlos Tausende von Benutzern und deren Produktzugriff verwalten und gleichzeitig Single Sign-On (SSO) anbieten. SSO stellt sicher, dass Ihre Benutzer über denselben Identitätsanbieter wie für ihre anderen Unternehmensanwendungen und -umgebungen auf ihre LogMeIn-Produkte zugreifen können. Diese Funktion wird als „Enterprise-Anmeldung“ bezeichnet.

Dieses Dokument beschreibt die Konfiguration Ihrer Active-Directory-Verbunddienste (ADFS) zur Unterstützung der Single-Sign-On-Authentifizierung bei LogMeIn-Produkten. Vor der Implementierung empfiehlt es sich, die Informationen über die Enterprise-Anmeldung zu lesen und die einleitenden Einrichtungsschritte durchzuführen.

ADFS 3.0 ist eine erweiterte Version von ADFS 2.0. ADFS 3.0 ist eine herunterladbare Komponente für Windows Server 2012 R2. Einer der größten Vorteile von ADFS 3.0 besteht darin, dass der Server für Microsofts Internetinformationsdienste (IIS) Teil der Bereitstellung ist und nicht separat installiert werden muss. Im Vergleich zur Vorgängerversion wurde in dieser Version die Installation geändert und die Konfiguration verbessert.

In diesem Artikel wird erläutert, wie ADFS installiert und konfiguriert und in einer SAML-Vertrauensstellung mit der Enterprise-Anmeldung eingerichtet wird. In dieser Vertrauensstellung ist ADFS der Identitätsanbieter und LogMeIn der Dienstanbieter. Nach Abschluss der Konfiguration wird ADFS von LogMeIn dazu genutzt, Benutzer für Produkte wie GoToMeeting über SAML-Assertions von ADFS zu authentifizieren. Die Benutzer können die Authentifizierung über den Dienstanbieter oder den Identitätsanbieter initiieren.

 

Anforderungen

Zu den Voraussetzungen für ADFS 3.0 gehört Folgendes:

  • Ein öffentlich vertrauenswürdiges Zertifikat für die Authentifizierung von ADFS auf den Clients. Der ADFS-Dienstname wird vom Antragstellernamen des Zertifikats bezogen; daher ist es wichtig, dass der Antragstellername des Zertifikats entsprechend zugewiesen wird.
  • Der ADFS-Server muss Mitglied einer Active-Directory-Domäne sein und für die ADFS-Konfiguration wird ein Domänenadministratorkonto benötigt.
  • Zum Auflösen des ADFS-Hostnamens beim Client wird ein DNS-Eintrag benötigt.

Eine umfassende und detaillierte Liste der Anforderungen finden Sie in der Übersicht über Microsoft ADFS 3.0.

Installation

  1. Starten Sie die Installation von ADFS 3.0, indem Sie auf Verwaltungstools > Server-Manager > Rollen und Funktionen hinzufügen klicken.
  2. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus und klicken Sie auf Weiter.
  3. Wählen Sie auf der Seite Zielserver auswählen den Server aus, auf dem der ADFS-Dienst installiert werden soll, und klicken Sie auf Weiter.
  4. Wählen Sie auf der Seite Serverrollen auswählen die Option Active Directory-Verbunddienste aus und klicken Sie auf Weiter.
  5. Behalten Sie unter Features auswählen die Standardeinstellungen bei (es sei denn, Sie möchten zusätzliche Funktionen installieren) und klicken Sie auf Weiter.
  6. Überprüfen Sie die Informationen auf der Seite Active Directory-Domänendienste und klicken Sie auf Weiter.
  7. Starten Sie die Installation auf der Seite Installationsauswahl bestätigen.

Konfiguration

  1. In Ihren Benachrichtigungen sollten Sie eine Benachrichtigung mit dem Hinweis erhalten haben, dass eine Aufgabe zur Konfiguration nach der Bereitstellung aussteht. Öffnen Sie die Benachrichtigung und klicken Sie auf den Link, um den Setup-Assistenten zu starten.
  2. Wählen Sie auf der Seite Willkommen die Option Erstellt den ersten Verbundserver in einer Verbundserverfarm aus (es sei denn, es gibt bereits eine Farm, zu der Sie diesen ADFS-Server hinzufügen möchten).
  3. Wählen Sie auf der Seite Verbindung mit AD FS herstellen das Domänenadministratorkonto für diese Konfiguration aus.
  4. Geben Sie unter Diensteigenschaften angeben das vorbereitete SSL-Zertifikat an (siehe Anforderungen oben). Legen Sie den Namen und den Anzeigenamen des Verbunddienstes fest.
  5. Wählen Sie unter Dienstkonto angeben das Konto aus, das von ADFS verwendet werden soll.
  6. Wählen Sie unter Konfigurationsdatenbank angeben die zu verwendende Datenbank aus.
  7. Prüfen Sie die Angaben unter Voraussetzungsprüfungen und klicken Sie auf Konfigurieren.

Einrichten der Vertrauensstellung

Jede Seite (ADFS und LogMeIn ) muss für die gegenseitige Vertrauensstellung konfiguriert werden. Deshalb wird die Vertrauensstellung in zwei Schritten konfiguriert.

Schritt 1: Konfigurieren der Vertrauensstellung von ADFS für LogMeIn SAML

  1. Öffnen Sie Verwaltungstools > AD FS-Verwaltung.
  2. Klicken Sie unter AD FS-Verwaltung auf das Dropdown-Menü Aktion und wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Seite wird gestartet.
  3. Wählen Sie auf der Seite Datenquelle auswählen im Assistenten die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren.
  4. Geben Sie in das Textfeld unterhalb der ausgewählten Option die Metadaten-URL ein:           https://authentication.logmeininc.com/saml/sp.
  5. Klicken Sie auf Weiter.
  6. Überspringen Sie die Seite Möchten Sie jetzt die mehrstufige Authentifizierung konfigurieren?.
  7. Klicken Sie unter Ausstellungsautorisierungsregeln wählen auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben (es sei denn, es wird eine andere Option gewünscht).
  8. Gehen Sie die restlichen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.

Hinzufügen von zwei Anspruchsregeln

  1. Klicken Sie auf den neuen Endpunkteintrag und dann rechts auf Anspruchsregeln bearbeiten.
  2. Wählen Sie die Registerkarte Ausstellungstransformationsregeln aus und klicken Sie auf Regel hinzufügen.
  3. Wählen Sie im Dropdown-Menü LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
  4. Verwenden Sie die folgenden Einstellungen für die Regel:
    • Anspruchsregelname: AD-E-Mail
    • Attributspeicher: Active Directory
    • LDAP-Attribut: E-Mail-Addresses
    • Ausgehender Anspruchstyp: E-Mail-Adresse
  5. Klicken Sie auf Fertig stellen.
  6. Klicken Sie erneut auf Regel hinzufügen.
  7. Wählen Sie im Dropdown-Menü Eingehenden Anspruch transformieren aus und klicken Sie auf Weiter.
  8. Verwenden Sie die folgenden Einstellungen:
    • Anspruchsregelname: Namens-ID
    • Typ des eingehenden Anspruchs: E-Mail-Adresse
    • Typ des ausgehenden Anspruchs: Namens-ID
    • ID Format des ausgehenden Namens: E-Mail
  9. Wählen Sie Alle Anspruchswerte zulassen aus.
  10. Klicken Sie auf Fertig stellen.
  11. Klicken Sie mit der rechten Maustaste auf die neue Vertrauensstellung der vertrauenden Seite im Ordner Vertrauensstellungen der vertrauenden Seite und wählen Sie Eigenschaften aus.
  12. Wählen Sie unter Erweitert die Option SHA-1 aus und klicken Sie auf OK.
  13. Um zu verhindern, dass ADFS standardmäßig verschlüsselte Assertions sendet, müssen Sie ein Windows-PowerShell-Eingabeaufforderungsfenster öffnen und den folgenden Befehl ausführen:

    set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

Schritt 2: Konfigurieren der Vertrauensstellung von LogMeIn für ADFS

  1. Navigieren Sie zum Organization Center unter https://organization.logmeininc.com und verwenden Sie das Webformular des Identitätsanbieters.
  2. ADFS veröffentlicht seine Metadaten unter einer standardmäßigen URL: https:///federationmetadata/2007-06/federationmetadata.xml.
    • Wenn diese URL öffentlich im Internet verfügbar ist: Klicken Sie auf die Registerkarte Identitätsanbieter im Organization Center, wählen Sie die Option für die automatischen Identitätsanbietereinstellungen, fügen Sie die URL in das Textfeld ein und klicken Sie abschließend auf Speichern.
    • Wenn die Metadaten-URL nicht öffentlich verfügbar ist, müssen Sie die Single-Sign-On-URL und ein Zertifikat (für die Signaturüberprüfung) von ADFS beziehen und über die manuelle Konfigurationsoption auf der Registerkarte Identitätsanbieter des Organization Centers übermitteln.
  3. Gehen Sie im Einzelnen wie folgt vor:
    1. Single-Sign-On-URL: Öffnen Sie das Fenster „AD FS-Verwaltung“ und wählen Sie den Ordner Endpunkte, um eine Liste der ADFS-Endpunkte anzuzeigen. Suchen Sie nach dem Endpunkt vom Typ SAML 2.0/WS-Federation und kopieren Sie die in den Eigenschaften angezeigte URL. Alternative: Wenn Sie Zugriff auf die Standard-Metadaten-URL haben, können Sie den Inhalt der URL in einem Browser anzeigen und nach der Single-Sign-On-URL suchen.
    2. Zertifikat für die Signaturüberprüfung: Öffnen Sie die AD FS-Verwaltungskonsole und wählen Sie den Ordner Zertifikate, um die Zertifikate anzuzeigen. Suchen Sie nach dem Tokensignaturzertifikat, klicken Sie mit der rechten Maustaste darauf und wählen Sie Zertifikat anzeigen aus. Öffnen Sie die Registerkarte Details und wählen Sie dann die Option In Datei kopieren aus. Wählen Sie mit dem Assistenten für den Zertifikatexport die Option Base-64 Encoded X.509 (.Cer) aus. Geben Sie einen Namen für die Datei ein, um den Export des Zertifikats in eine Datei abzuschließen.
  4. Geben Sie die Single-Sign-On-URL und den Zertifikatstext in die betreffenden Felder im Organization Center ein und klicken Sie auf Speichern.

Testen der Konfiguration

  1. Zum Testen der vom Identitätsanbieter initiierten Anmeldung müssen Sie zur benutzerdefinierten Identitätsanbieter-URL wechseln (Beispiel: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter „Auf einer der folgenden Websites anmelden“ angezeigt.
  2. Zum Testen der von der vertrauenden Seite initiierten Anmeldung lesen Sie bitte Wie melde ich mich mithilfe von SSO (Single Sign-On) an?.