HELP FILE

Configurar Enterprise Sign-In con ADFS 3.0

Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos, ofreciendo también la capacidad de inicio de sesión único o Single Sign-on (SSO). El inicio de sesión único (SSO) garantiza que los usuarios puedan acceder a sus productos de LogMeIn utilizando el mismo proveedor de identidades que para el resto de las aplicaciones y los entornos de la empresa. Estas capacidades se denominan Enterprise Sign-In.

Este documento describe la configuración de los servicios de federación de Active Directory (ADFS) para dar respaldo a la autenticación Single Sign-On para los productos de LogMeIn . Antes de la implementación, asegúrese de consultar más información sobre Enterprise Sign-In y complete los pasos de configuraciones iniciales.

ADFS 3.0 es una versión mejorada de ADFS 2.0. Es un componente descargable de Windows Server 2012 R2. Una gran ventaja de la versión 3.0 es que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente. Las mejoras han cambiado en parte la instalación y la configuración, en comparación con la versión anterior.

Este artículo describe cómo instalar y configurar ADFS, y establecer ADFS en una relación de confianza de SAML con Enterprise Sign-In. En esta relación de confianza, ADFS es el proveedor de identidades y LogMeIn es el proveedor de servicios. Al finalizar, LogMeIn podrá utilizar ADFS para autenticar usuarios en productos como GoToMeeting usando aserciones SAML presentadas por ADFS. Los usuarios podrán iniciar autenticaciones desde el lado del proveedor de servicios o desde el lado del proveedor de identidades.

 

Requisitos

Entre los requisitos previos de ADFS 3.0 están los siguientes:

  • Un certificado de confianza pública para la autenticación de ADFS a sus clientes. El nombre de servicio de ADFS se tomará del nombre de sujeto del certificado, por lo que es importante que el nombre de sujeto del certificado se asigne de la forma correspondiente.
  • El servidor ADFS debe ser miembro de un dominio de Active Directory y se necesitará una cuenta de administrador de dominio para la configuración de ADFS.
  • Se necesitará una entrada DNS para que el cliente resuelva el nombre de host de ADFS

Se puede consultar una lista completa y detallada de los requisitos en la introducción a ADFS 3.0 de Microsoft.

Instalación

  1. Inicie la instalación de ADFS 3.0. Para ella, vaya a Herramientas administrativas > Administrador del servidor > Agregar roles y características.
  2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles y haga clic en Siguiente.
  3. En la página Seleccionar servidor de destino, seleccione el servidor donde instalar el servicio ADFS y haga clic en Siguiente.
  4. En la página Seleccionar roles de servidor, seleccione Servicios de federación de Active Directory y haga clic en Siguiente.
  5. En Seleccionar características, a menos que haya otras características adicionales que desee instalar, acepte los valores predeterminados y haga clic en Siguiente.
  6. Revise la información en los Servicios de dominio de Active Directory y haga clic en Siguiente.
  7. Inicie la instalación en la página Confirmar selecciones de instalación.

Configuración

  1. En las Notificaciones, tendrá una notificación de alerta para avisarle de que tiene una tarea de Configuración posterior a la implementación pendiente. Abra el archivo y haga clic en el enlace para iniciar el asistente de configuración.
  2. En la página de Bienvenida, seleccione Crear el primer servidor de federación de una granja de servidores de federación (a menos que ya haya una granja de servidores existente a la que esté agregando este servidor ADFS).
  3. En la página Conectarse a ADFS, seleccione la cuenta de administrador de dominio para llevar a cabo la configuración.
  4. En Especificar propiedades del servicio, especifique el certificado SSL creado en los requisitos previos. Defina el Nombre del servicio de federación y el Nombre para mostrar del servicio de federación.
  5. En Especificar cuenta de servicio, seleccione la cuenta que usará ADFS.
  6. En Especificar base de datos de configuración, seleccione la base de datos que desea usar.
  7. Revise la información de comprobación de requisitos previos y haga clic en Configurar.

Establecimiento de la relación de confianza

Cada una de las partes (ADFS y LogMeIn ) debe estar configurada para confiar en la otra parte. Por lo tanto, la configuración de la relación de confianza es un proceso de dos pasos.

Paso n.º 1: Configurar ADFS para que confíe en LogMeIn SAML

  1. Vaya a Herramientas administrativas > ADFS Management.
  2. En ADFS Management, abra el menú desplegable Action (Acción) y seleccione Add Relying Party Trust (Agregar veracidad del usuario de confianza). Esta acción iniciará el asistente Add Relying Party Trust (Agregar veracidad del usuario de confianza).
  3. En la página del asistente Select Data Source (Seleccionar origen de datos), seleccione Import data about the relying party published online or on a local area network (Importar datos sobre el usuario de confianza publicados en línea o en una red de área local).
  4. En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos:           https://authentication.logmeininc.com/saml/sp.
  5. Haga clic en Next (Siguiente).
  6. Omita la página Configure Multi-factor Authentication Now? (¿Desea configurar la autenticación multifactor ahora?).
  7. En la pantalla Choose Issuance Authorization Rules (Elegir reglas de autorización de emisión), elija Permit all users to access this relying party (Permitir a todos los usuarios acceder a este usuario de confianza) a menos que prefiera otra opción.
  8. Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.

Agregar 2 reglas de notificación

  1. Haga clic en la nueva entrada de punto final y, a la derecha, haga clic en Edit Claim Rules (Editar reglas de notificación).
  2. Seleccione la ficha Issuance Transform Rules (Reglas de transformación de emisión) y haga clic en Add Rule (Agregar regla).
  3. Utilice el menú desplegable, seleccione Send LDAP Attributes as Claims (Enviar atributos de LDAP como notificaciones) y, a continuación, haga clic en Next (Siguiente).
  4. Use la siguiente configuración para la regla:
    • Nombre de la regla de notificaciones: correo electrónico de AD
    • Almacén de atributos: Active Directory
    • Atributo LDAP: direcciones de correo electrónico
    • Tipo de notificación saliente: dirección de correo electrónico
  5. Haga clic en Finish (Finalizar).
  6. Haga clic de nuevo en Add Rule (Agregar regla).
  7. Utilice el menú desplegable, seleccione el menú Transform an Incoming Claim (Transformar una notificación entrante) y haga clic en Next (Siguiente).
  8. Use la siguiente configuración: 
    • Nombre de la regla de notificaciones: ID de nombre
    • Tipo de notificación entrante: dirección de correo electrónico
    • Tipo de notificación saliente: ID de nombre
    • Formato de ID de nombre saliente: correo electrónico
  9. Seleccione Pass through all claim values (Paso a través de todos los valores de notificación).
  10. Haga clic en Finish (Finalizar).
  11. Haga clic con el botón secundario en la nueva relación de confianza en la carpeta Relying Party Trusts (Usuarios de relaciones de confianza) y seleccione Properties (Propiedades).
  12. En Advanced (Avanzado), seleccione SHA-1 y haga clic en OK (Aceptar).
  13. Para evitar que ADFS envíe aserciones cifradas de manera predeterminada, abra un símbolo del sistema de Windows PowerShell y ejecute el siguiente comando:

    set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

Paso n.º 2 Configurar LogMeIn para que confíe en ADFS

  1. Vaya al Centro de organización en https://organization.logmeininc.com y use el formulario web de proveedor de identidades.
  2. ADFS publica sus metadatos en una dirección URL estándar de forma predeterminada: (https://< nombre de host >/federationmetadata/2007-06/federationmetadata.xml).
    • Si esta URL es pública y puede acceder a ella en Internet: Haga clic en la ficha Proveedor de identidades en el Centro de organización, seleccione la opción Configuración automática, pegue la URL en el campo de texto y haga clic en Guardar cuando termine.
    • Si la URL de metadatos no está disponible públicamente, obtenga la URL de Single Sign-On y un certificado (para la validación de firmas) de ADFS y envíelos usando la opción Configuración manual en la ficha Proveedor de identidades del Centro de organización.
  3. Para obtener los elementos necesarios, haga lo siguiente:
    1. Para obtener la dirección URL del servicio de Single Sign-On, abra la ventana ADFS Management y seleccione la carpeta Puntos finales para mostrar una lista de los puntos finales de ADFS. Busque el punto final tipo SAML 2.0/WS-Federation y copie la URL de sus propiedades. De forma alternativa, si tiene acceso a la dirección URL de metadatos estándar, muestre el contenido de la dirección URL en un navegador web y busque la dirección URL de Single Sign-On en el contenido XML.
    2. Para obtener el certificado para la validación de firmas, abra ADFS Management y seleccione la carpeta Certificados para mostrar los certificados. Busque el Certificado de firma de tokens, haga clic en él con el botón secundario y seleccione Ver certificado. Seleccione la ficha Detalles y, a continuación, la opción Copiar a archivo. En el asistente para exportar certificados, seleccione X.509 codificado base 64 (.CER). Asigne un nombre al archivo para completar la exportación del certificado a un archivo.
  4. Escriba la URL del servicio de Single Sign-On y el texto del certificado en los campos correspondientes del Centro de organización y haga clic en Guardar.

Prueba de la configuración

  1. Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a su URL de proveedor de identidades personalizada (ejemplo: https://adfs./adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
  2. Para probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo puedo iniciar sesión con Single Sign-On?