product icon

Configurar Enterprise Sign-In con AD FS 3.0

    Su organización puede administrar fácilmente miles de usuarios y su acceso a los productos y, al mismo tiempo, ofrecer Single Sign-On (SSO). SSO garantiza que sus usuarios puedan acceder a sus GoTo productos con el mismo proveedor de identidades que para sus otras aplicaciones y entornos empresariales. Estas prestaciones se denominan Enterprise Sign-In.

    Puede configurar Active Directory Federation Services (AD FS) para ofrecer asistencia de inicio de sesión único a GoTo productos.

    Nota: Busque más información sobre Enterprise Sign-In y siga los pasos de configuración inicial antes de continuar con esta configuración.

    Acerca de AD FS 3.0

    AD FS 3.0 es una versión mejorada de AD FS 2.0. Es un componente descargable de Windows Server 2012 R2. Una gran ventaja de la versión 3.0 es que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente. Las mejoras han cambiado en parte la instalación y la configuración, en comparación con la versión anterior.

    En este artículo nos referimos a instalar y configurar AD FS, y establecer AD FS en una relación de confianza SAML con Enterprise Sign-In. En esta relación de confianza, aD FS es el proveedor de identidades y GoTo es el proveedor de servicios. Al finalizar, GoTo podrá usar AD FS para autenticar a usuarios en productos como GoToAssist Asistencia remota v5 con las aserciones SAML presentadas por AD FS. Los usuarios podrán iniciar autenticaciones desde el lado del proveedor de servicios o desde el lado del proveedor de identidades.

    Requisitos

    Entre los requisitos previos de AD FS 3.0 se incluyen:

    • Un certificado de confianza público para autenticar AD FS A sus clientes. El nombre del servicio de AD FS se presupone del nombre del certificado, por lo que es importante que el nombre del certificado se asigne en consecuencia.
    • El servidor de AD FS debe ser un miembro de un dominio de Active Directory y será necesario una cuenta de administrador de dominio para la configuración de AD FS.
    • Se necesita una entrada DNS para resolver el nombre de host de AD FS por su cliente

    Se puede revisar una lista completa y detallada de los requisitos en la Descripción general de Microsoft AD FS 3.0.

    Instalación

    1. Inicie la instalación de AD FS 3.0 en Herramientas administrativas > Gestor de servidores > Añadir roles y funciones.
    2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles y haga clic en Siguiente.
    3. En la página Seleccionar servidor de destino, seleccione el servidor donde instalar el servicio ADFS y haga clic en Siguiente.
    4. En la página Seleccionar roles de servidor, seleccione Servicios de federación de Active Directory y haga clic en Siguiente.
    5. En Seleccionar características, a menos que haya otras características adicionales que quiera instalar, acepte los valores predeterminados y haga clic en Siguiente.
    6. Revise la información en los Servicios de dominio de Active Directory y haga clic en Siguiente.
    7. Inicie la instalación en la página Confirmar selecciones de instalación.

    Configuración

    1. En las Notificaciones, tendrá una notificación de alerta para avisarle de que tiene una tarea de Configuración posterior a la implementación pendiente. Abra el archivo y haga clic en el enlace para iniciar el asistente de configuración.
    2. En el Bienvenido página, seleccione Crear el primer servidor de federación en una nueva granja de servidores de federación (a menos que haya una granja existente que añada este servidor de AD FS también).
    3. En la Conectarse a AD FS página, seleccione la cuenta de administrador del dominio para realizar esta configuración.
    4. En Especificar propiedades del servicio, especifique el certificado SSL creado en los requisitos previos. Defina el Nombre del servicio de federación y el Nombre visible del servicio de federación.
    5. En Especificar cuenta de servicio, seleccione la cuenta que utilizará AD FS.
    6. En Especificar base de datos de configuración, seleccione la base de datos que quiere usar.
    7. Revise la información de comprobación de requisitos previos y haga clic en Configurar.

    Establecimiento de la relación de confianza

    Cada parte (AD FS y GoTo) tendrá que configurar para confiar en el otro participante. Por lo tanto, la configuración de la relación de confianza es un proceso de dos pasos.

    Paso n.º 1: Configurar AD FS para confiar GoToAssist Asistencia remota v5 SAML

    1. Vaya a Herramientas administrativas > Gestión de AD FS.
    2. En Gestión de AD FS, use el Acción menú desplegable y seleccione Añadir confianza de usuario de confianza. Esta acción iniciará el asistente Añadir veracidad del usuario de confianza.
    3. En la página del asistente Seleccionar origen de datos, seleccione Importar los datos sobre el usuario de confianza publicado en línea o en una red local.
    4. En el cuadro de texto debajo de la opción seleccionada, pegue la URL de metadatos:           https://authentication.logmeininc.com/saml/sp.
    5. Haga clic en Siguiente.
    6. Omita la página ¿Configurar la autenticación multifactor ahora?
    7. En la pantalla Elegir reglas de autorización de emisión, elija Permitir que todos los usuarios tengan acceso a este usuario de confianza a menos que prefiera otra opción.
    8. Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.

    Añadir 2 reglas de notificación

    1. Haga clic en la nueva entrada de punto final y, en el menú de navegación de la derecha, haga clic en Editar reglas de notificación.
    2. Seleccione la pestaña Reglas de transformación de emisión y haga clic en Añadir regla.
    3. Utilice el menú desplegable para seleccionar Enviar atributos LDAP como notificaciones y, a continuación, haga clic en Siguiente.
    4. Use la siguiente configuración para la regla:
      • Nombre de la regla de notificaciones: Correo electrónico de AD
      • Almacén de atributos: Active Directory
      • Atributo LDAP: Direcciones de correo electrónico
      • Tipo de notificación saliente: Dirección de correo electrónico
    5. Haga clic en Finalizar.
    6. Haga clic de nuevo en Añadir regla.
    7. Utilice el menú desplegable para seleccionar Transformar una notificación entrante y haga clic en Siguiente.
    8. Use la siguiente configuración: 
      • Nombre de la regla de notificaciones: ID de nombre
      • Tipo de notificación entrante: Dirección de correo electrónico
      • Tipo de notificación saliente: ID de nombre
      • Formato de ID de nombre saliente: Correo electrónico
    9. Seleccione Pasar a través todos los valores de notificaciones.
    10. Haga clic en Finalizar.
    11. Haga clic con el botón secundario en la nueva relación de confianza en la carpeta Veracidades de usuarios de confianza y seleccione Propiedades.
    12. En Avanzado, seleccione SHA-1 y haga clic en Aceptar.
    13. Para evitar que AD FS envíe aserciones cifradas de forma predeterminada, abra un botón de comandos de Windows Power Shell y ejecute el siguiente comando:

      set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

    Paso n.º 2 Configurar GoTo confiar en AD FS

    1. Vaya al Centro de organización en https://organization.logmeininc.com y use el formulario web de proveedor de identidades.
    2. AD FS publica sus metadatos en una URL estándar por defecto (https: / / < nombre de host >/federationmetadata/ 2007-06/federationmetadata.xml).
      • Si esta URL es pública y puede acceder a ella en Internet: Haga clic en la pestaña Proveedor de identidades en el Centro de organización, seleccione la opción Configuración automática, pegue la URL en el campo de texto y haga clic en Guardar cuando haya terminado.
      • Si la URL de metadatos no está disponible públicamente y, a continuación, recopilar la URL de firma única y un certificado (para la validación de firma) de AD FS y enviarlos mediante la opción de configuración Manual en la Proveedor de identidades en el Centro de organización.
    3. Para obtener los elementos necesarios, haga lo siguiente:
      1. Para recopilar la URL del servicio de inicio de sesión único, abra la ventana Gestión de AD FS y seleccione la Puntos de conexión carpeta para mostrar una lista de los puntos finales de AD FS. Busque el punto final tipo SAML 2.0/WS-Federation y copie la URL de sus propiedades. De forma alternativa, si tiene acceso a la dirección URL de metadatos estándar, muestre el contenido de la dirección URL en un explorador web y busque la dirección URL de Single Sign-On en el contenido XML.
      2. Para recopilar el certificado de la validación de firma, abra la Consola de administración de AD FS y seleccione la Certificados carpeta para mostrar los certificados. Busque el Certificado de firma de tokens, haga clic en él con el botón secundario y seleccione Ver certificado. Seleccione la pestaña Detalles y, a continuación, la opción Copiar a archivo. En el asistente para exportar certificados, seleccione X.509 codificado base 64 (.CER). Asigne un nombre al archivo para completar la exportación del certificado a un archivo.
    4. Escriba la URL del servicio de Single Sign-On y el texto del certificado en los campos correspondientes del Centro de organización y haga clic en Guardar.

    Prueba de la configuración

    1. Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a su URL de proveedor de identidades personalizada (ejemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado en "Sign in to one to the following sites" (Iniciar sesión en uno de los siguientes sitios).
    2. Para probar el inicio de sesión iniciado por un usuario de confianza, consulte las instrucciones de ¿Cómo se inicia sesión con Single Sign-On?