HELP FILE
Impostare Enterprise Sign-In con ADFS 3.0
La tua organizzazione può gestire con facilità migliaia di utenti e l'accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere ai loro prodotti LogMeIn utilizzando lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.
Il presente documento tratta la configurazione delle tue istanze di Active Directory Federation Service (ADFS) per supportare l'autenticazione Single Sign-On dei prodotti LogMeIn. Tuttavia, prima dell'implementazione assicurati di informarti ulteriormente su Enterprise Sign-In e di completare i passaggi di configurazione iniziali.
ADFS 3.0 è una versione migliorata di ADFS 2.0. È un componente scaricabile per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.
Questo articolo tratta la modalità di installazione e configurazione di ADFS, e la configurazione di ADFS in una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, ADFS è il provider di identità e LogMeIn è il provider di servizi. Alla fine dell'operazione, LogMeIn sarà in grado di usare ADFS per autenticare gli utenti a prodotti come GoToMeeting utilizzando le asserzioni SAML servite da ADFS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.
Requisiti
I prerequisiti per ADFS 3.0 includono:
- Un certificato pubblicamente attendibile per autenticare ADFS ai propri client. Il nome del servizio ADFS verrà presupposto dal nome del soggetto del certificato quindi è importante che il nome del soggetto del certificato sia assegnato di conseguenza.
- Il server ADFS dovrà essere membro di un dominio Active Directory e sarà necessario un account di amministratore di dominio per la configurazione di ADFS.
- Sarà necessaria una voce DNS per risolvere il nome host ADFS dal client
Un elenco completo e dettagliato dei requisiti è disponibile nella panoramica di Microsoft ADFS 3.0.
Installazione
- Avvia l'installazione di ADFS 3.0 selezionando Strumenti di amministrazione > Server Manager > Aggiungi ruoli e funzionalità.
- Nella pagina Seleziona tipo di installazione, seleziona Installazione basata su ruoli o basata su funzionalitàe fai clic su Avanti.
- Nella pagina Selezione server di destinazione, seleziona il server su cui installare il servizio ADFS e fai clic su Avanti.
- Nella pagina Selezione ruoli server, seleziona Active Directory Federation Services e quindi Avanti.
- Nella pagina Seleziona funzionalità, lascia selezionate le impostazioni predefinite, a meno che non ci siano alcune funzionalità aggiuntive che desideri installare, quindi fai clic su Avanti.
- Controlla le informazioni nella pagina Active Directory Domain Services e fai clic su Avanti.
- Avvia l'installazione nella pagina Conferma selezioni per l'installazione.
Configurazione
- In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e fai clic sul link per avviare la procedura di configurazione guidata.
- Nella pagina iniziale, seleziona Crea il primo server federativo in una server farm federativa (a meno che non vi sia una farm esistente che stai aggiungendo anche a questo server ADFS).
- Nella pagina Collegati ad ADFS, seleziona l'account dell'amministratore di dominio per eseguire questa configurazione.
- In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
- In Impostazione account del servizio, seleziona l'account che verrà utilizzato da ADFS.
- In Impostazione database di configurazione, seleziona il database da usare.
- Controlla le informazioni in Controlli dei prerequisiti e fai clic su Configura.
Stabilisci la relazione di trust
Sarà necessario configurare ogni parte (ADFS e LogMeIn ) in modo che consideri attendibile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.
1: Configura ADFS affinché consideri attendibile SAML LogMeIn
- Vai a Strumenti di amministrazione > Gestione ADFS.
- In Gestione ADFS, apri il menu a discesa Azione e seleziona Aggiungi trust relying party. Verrà avviata la procedura guidata di Aggiungi trust relying party.
- Nella pagina Seleziona origine dati della procedura guidata, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
- Nella casella di testo sotto l'opzione selezionata, incolla l'URL dei metadati: https://authentication.logmeininc.com/saml/sp.
- Fai clic su Avanti.
- Salta la pagina Configurare l'autenticazione a più fattori ora?.
- Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l'accesso a questa relying party a meno che non desideri selezionare un'altra opzione.
- Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.
Aggiungi 2 regole di attestazione
- Fai clic sulla nuova voce dell'endpoint e quindi su Modifica regole attestazione nella barra di navigazione a destra.
- Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
- Usa il menu a discesa per selezionare Inviare attributi LDAP come attestazioni, quindi fai clic su Avanti.
- Usa le seguenti impostazioni per la regola:
- Nome regola di attestazione – email AD
- Archivio attributi – Active Directory
- Attributo LDAP – Indirizzi email
- Tipo di attestazione in uscita – Indirizzo email
- Fai clic su Fine.
- Fai nuovamente clic su Aggiungi regola.
- Usa il menu a discesa per selezionare Trasformare un'attestazione in ingresso, quindi fai clic su Avanti.
- Usa le seguenti impostazioni:
- Nome regola attestazione – ID nome
- Tipo di attestazione in ingresso – Indirizzo email
- Tipo di attestazione in uscita – ID nome
- Formato ID nome in uscita – email
- Seleziona Pass-through di tutti i valori attestazione.
- Fai clic su Fine.
- Fai clic destro sul nuovo trust della relying party nella cartella Trust relying party e seleziona Proprietà.
- In Avanzate, seleziona SHA-1 e fai clic su OK.
- Per impedire ad ADFS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt dei comandi di Windows Power Shell ed esegui il seguente comando:
set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False
2: Configura LogMeIn affinché consideri attendibile ADFS
- Vai al Centro organizzativo, all'indirizzohttps://organization.logmeininc.com e usa il modulo Web del provider di identità.
- ADFS pubblica i suoi metadati in un URL standard per impostazione predefinita: (https://< nome host >/federationmetadata/2007-06/federationmetadata.xml).
- Se questo URL è pubblicamente disponibile su Internet: Fai clic sulla scheda Provider di identità del Centro organizzativo, seleziona l'opzione Configurazione automatica, quindi incolla l'URL nel campo di testo e al termine fai clic su Salva.
- Se l'URL di metadati non è disponibile pubblicamente, raccogli l'URL single-sign-on e un certificato (per la convalida della firma) da ADFS e inviali utilizzando l'opzione di configurazione manuale nella scheda Provider di identità del Centro organizzativo.
- Per ricevere gli elementi necessari, procedi come segue:
- Per ricevere l'URL del servizio Single Sign-On, apri la finestra di gestione ADFS e seleziona la cartella Endpoint per visualizzare un elenco degli endpoint di ADFS. Cerca l'endpoint SAML 2.0/tipo federativo WS e copia l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del Single Sign-On nei contenuti XML.
- Per acquisire il certificato per la convalida della firma, apri la ADFS Management Console e seleziona la cartella Certificati per visualizzare i certificati. Cerca il Certificato per la firma di token, fai clic su tale certificato con il pulsante destro del mouse e seleziona Visualizza certificato. Seleziona la scheda Dettagli e quindi l'opzione Copia su file. Utilizzando la procedura guidata di esportazione dei certificati, seleziona Base-64 Encoded X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
- Inserisci l'URL del servizio Single Sign-On e il testo del certificato nei rispettivi campi del Centro organizzativo, quindi fai clic su Salva.
Prova la configurazione
- Per eseguire un test dell'accesso avviato dal provider di identità, vai all'URL personalizzato del tuo provider di identità (ad esempio: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l'identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
- Per eseguire un test dell'accesso avviato dalla relying party, consulta le istruzioni disponibili in Come posso accedere con Single Sign-On?