HELP FILE

Configurar Enterprise Sign-In con ADFS 2.0

Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos, ofreciendo también la capacidad de inicio de sesión único o Single Sign-on (SSO). El inicio de sesión único (SSO) garantiza que los usuarios puedan acceder a sus productos de LogMeIn utilizando el mismo proveedor de identidades que para el resto de las aplicaciones y los entornos de la empresa. Estas capacidades se denominan Enterprise Sign-In.

Este documento describe la configuración de los servicios de federación de Active Directory (ADFS) para dar respaldo a la autenticación Single Sign-On para los productos de LogMeIn . Antes de la implementación, asegúrese de consultar más información sobre Enterprise Sign-In y complete los pasos de configuraciones iniciales.

ADFS 2.0 es un componente descargable de Windows Server 2008 y 2008 R2. Es sencillo de implementar, pero hay varios pasos de configuración que necesitan cadenas, certificados, direcciones URL, etc. ADFS 3.0 también es compatible con Enterprise Sign-In. ADFS 3.0 incluye varias mejoras, entre las cuales destaca que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente.

Nota: Puede pasar directamente al Paso n.º 4 (descrito a continuación) si ya tiene implementado ADFS 2.0.

Paso n.º 1: Paso n.º 1: Certificado de los servicios de federación

Cada implementación de ADFS se identifica mediante un nombre DNS (por ejemplo, "adfs.miDominio.com"). Necesitará contar con un certificado emitido para este nombre de sujeto antes de empezar. Este identificador es un nombre visible externamente, por lo tanto, asegúrese de seleccionar algo adecuado para representar a su empresa ante sus socios. No use ese nombre como nombre de host también, ya que esto causaría problemas con el registro de nombres principales de servicio (SPN).

Existen varios métodos para generar certificados. La manera más fácil, si dispone de una entidad de certificación en su dominio, es usar la consola de administración de IIS 7:
  1. Abra el complemento de administración de servidor Web (IIS).
  2. Seleccione el nodo de servidor en el árbol de navegación y, a continuación, seleccione la opción Certificados de servidor.
  3. Seleccione Crear certificado de dominio.
  4. Introduzca el Nombre del servicio de federación en Nombre común (por ejemplo: adfs.miDominio.com).
  5. Seleccione la entidad de certificación de Active Directory.
  6. Introduzca el nombre simplificado o "nombre para mostrar" del certificado (cualquier identificador vale).

    Nota: Si no utilizó la consola de IIS para generar el certificado, antes de continuar, asegúrese de que el certificado está vinculado al servicio IIS en los servidores donde va a instalar ADFS.

Paso n.º 2: Crear una cuenta de usuario de dominio

Los servidores ADFS requieren la creación de una cuenta de usuario de dominio para ejecutar sus servicios (no se requieren grupos específicos).

Paso n.º 3: Instalar el primer servidor ADFS

  1. Descargue ADFS 2.0 y ejecute el programa de instalación. Asegúrese de ejecutar el programa de instalación como administrador de dominio. Esto creará los nombres SPN y otros contenedores de AD.
  2. En el rol del servidor, seleccione Servidor de federación.
  3. Marque la casilla de "Start the ADFS 2.0 Management snap-in when this wizard closes" (Iniciar el complemento de administración de ADFS 2.0 cuando se cierre este asistente) al final del asistente de configuración.
  4. En el complemento de administración de ADFS, haga clic en Create new Federation Service (Crear nuevo servicio de federación).
  5. Seleccione New Federation Server farm (Nueva granja de servidores de federación).
  6. Seleccione el certificado que ha creado en el paso anterior.
  7. Seleccione el usuario de dominio que ha creado en los pasos anteriores.

Paso n.º 4: Configurar el usuario de la relación de confianza

En este paso se indica a ADFS el tipo de tokens de SAML que acepta el sistema.

Configure la relación de confianza de la siguiente forma:
  1. En ADFS 2.0 MMC, seleccione Trust Relationships (Relaciones de confianza) > Relying Party Trusts (Usuarios de la relación de confianza) en el árbol de navegación.
  2. Seleccione Add Relying Party Trust (Agregar usuario de la relación de confianza) y haga clic en Start (Iniciar).
  3. En Select Data Source (Seleccionar origen de datos), seleccione Import data about the relying party published online or on a local area network (Importar datos sobre el usuario de confianza publicados en línea o en una red de área local).
  4. En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos: https://authentication.logmeininc.com/saml/sp.
  5. Haga clic en OK (Aceptar) para confirmar que se omitirán los metadatos que AD FS 2.0 no comprenda.
  6. En la página Specify Display Name (Especificar el nombre para mostrar), escriba LogMeInTrust y haga clic en Next (Siguiente).
  7. En la pantalla Choose Issuance Authorization Rules (Elegir reglas de autorización de emisión), elija Permit all users to access this relying party (Permitir a todos los usuarios acceder a este usuario de confianza) a menos que prefiera otra opción.
  8. Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.

Agregar 2 reglas de notificación

  1. Haga clic en la nueva entrada de punto final y, a la derecha, haga clic en Edit Claim Rules (Editar reglas de notificación).
  2. Seleccione la ficha Issuance Transform Rules (Reglas de transformación de emisión) y haga clic en Add Rule (Agregar regla).
  3. Utilice el menú desplegable para seleccionar Send LDAP Attributes as Claims (Enviar atributos de LDAP como notificaciones) y, a continuación, haga clic en Next (Siguiente).
  4. Use la siguiente configuración para la regla:
    • Nombre de la regla de notificaciones: correo electrónico de AD
    • Almacén de atributos: Active Directory
    • Atributo LDAP: direcciones de correo electrónico
    • Tipo de notificación saliente: dirección de correo electrónico
  5. Haga clic en Finish (Finalizar).
  6. Haga clic de nuevo en Add Rule (Agregar regla).
  7. Utilice el menú desplegable para seleccionar Transform an Incoming Claim (Transformar una notificación entrante) y haga clic en Next (Siguiente).
  8. Use la siguiente configuración para la regla:
    • Nombre de la regla de notificaciones: ID de nombre
    • Tipo de notificación entrante: dirección de correo electrónico
    • Tipo de notificación saliente: ID de nombre
    • Formato de ID de nombre saliente: correo electrónico
  9. Seleccione Pass through all claim values (Paso a través de todos los valores de notificación).
  10. Haga clic en Finish (Finalizar).

Finalice la configuración

  • Haga clic con el botón secundario en la nueva relación de confianza en la carpeta Relying Party Trusts (Usuarios de relaciones de confianza) y seleccione Properties (Propiedades).
  • En Advanced (Avanzado), seleccione SHA-1 y haga clic en OK (Aceptar).
  • Para evitar que ADFS envíe aserciones cifradas de manera predeterminada, abra un símbolo del sistema de Windows PowerShell y ejecute el siguiente comando:
set-ADFSRelyingPartyTrust –TargetName"< relyingPartyTrustDisplayName >" –EncryptClaims $False

Paso n.º 5: Configurar la confianza

El último paso de configuración consiste en aceptar los tokens SAML generados por su nuevo servicio de ADFS.

  • Use la sección "Identity Provider" (Identificar proveedor) en el Centro de organización para agregar los detalles necesarios.
  • Para ADFS 2.0, seleccione una configuración "Automatic" (Automática) e introduzca la siguiente URL (sustituyendo "server" (servidor) por el nombre de host accesible externamente del servidor ADFS): https://server/FederationMetadata/2007-06/FederationMetadata.xml

Paso n.º 6: Comprobar la configuración en un solo servidor

En este punto, debe poder probar la configuración. Debe crear una entrada DNS para la identidad de servicio de ADFS, que haga referencia al servidor ADFS que acaba de configurar, o a un equilibrador de carga de red si está usando uno.

  • Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a su URL de proveedor de identidades personalizada (ejemplo: https://adfs./adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
  • Para probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo puedo iniciar sesión con Single Sign-On?