HELP FILE

Configurazione di Enterprise Sign-In con ADFS 3.0

La tua organizzazione può gestire con facilità migliaia di utenti e l'accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere ai loro prodotti LogMeIn usando lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.

Il presente documento tratta la configurazione delle tue istanze di Active Directory Federation Service (ADFS) per supportare l'autenticazione Single Sign-On dei prodotti LogMeIn. Tuttavia, prima dell'implementazione assicurati di informarti ulteriormente su Enterprise Sign-In e di completare i passaggi di configurazione iniziali.

ADFS 3.0 è una versione migliorata di ADFS 2.0. È un componente scaricabile per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.

Questo articolo tratta la modalità di installazione e configurazione di ADFS, e la configurazione di ADFS in una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, ADFS è il provider di identità e LogMeIn è il provider di servizi. Alla fine dell'operazione, LogMeIn sarà in grado di usare ADFS per autenticare gli utenti a prodotti come GoToMeeting usando le asserzioni SAML servite da ADFS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.

 

Requisiti

I prerequisiti per ADFS 3.0 includono:

  • Un certificato pubblicamente attendibile per autenticare ADFS ai propri client. Il nome del servizio ADFS verrà presupposto dal nome del soggetto del certificato quindi è importante che il nome del soggetto del certificato sia assegnato di conseguenza.
  • Il server ADFS dovrà essere membro di un dominio Active Directory e sarà necessario un account di amministratore di dominio per la configurazione di ADFS.
  • Sarà necessaria una voce DNS per risolvere il nome host ADFS dal client

Un elenco completo e dettagliato dei requisiti è disponibile nella panoramica di Microsoft ADFS 3.0.

Installazione

  1. Avvia l'installazione di ADFS 3.0 selezionando Strumenti di amministrazione > Server Manager > Aggiungi ruoli e funzionalità.
  2. Nella pagina Seleziona tipo di installazione, seleziona Installazione basata su ruoli o basata su funzionalitàe fai clic su Avanti.
  3. Nella pagina Selezione server di destinazione, seleziona il server su cui installare il servizio ADFS e fai clic su Avanti.
  4. Nella pagina Selezione ruoli server, seleziona Active Directory Federation Services e quindi Avanti.
  5. Nella pagina Seleziona funzionalità, lascia selezionate le impostazioni predefinite, a meno che non ci siano alcune funzionalità aggiuntive che desideri installare, quindi fai clic su Avanti.
  6. Controlla le informazioni nella pagina Active Directory Domain Services e fai clic su Avanti.
  7. Avvia l'installazione nella pagina Conferma selezioni per l'installazione.

Configurazione

  1. In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e fai clic sul link per avviare l'installazione guidata.
  2. Nella pagina iniziale, seleziona Crea il primo server federativo in una server farm federativa (a meno che non vi sia una farm esistente che stai aggiungendo anche a questo server ADFS).
  3. Nella pagina Collegati ad ADFS, seleziona l'account dell'amministratore di dominio per eseguire questa configurazione.
  4. In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
  5. In Impostazione account del servizio, seleziona l'account che verrà utilizzato da ADFS.
  6. In Impostazione database di configurazione, seleziona il database da usare.
  7. Controlla le informazioni in Controlli dei prerequisiti e fai clic su Configura.

Stabilisci la relazione di trust

Sarà necessario configurare ogni parte (ADFS e LogMeIn ) in modo che consideri attendibile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.

1: Configura ADFS affinché consideri attendibile SAML LogMeIn

  1. Vai a Strumenti di amministrazione > Gestione ADFS.
  2. In Gestione ADFS, apri il menu a discesa Azione e seleziona Aggiungi trust relying party. Verrà avviata la procedura guidata di Aggiungi trust relying party.
  3. Nella pagina Select Data Source (Seleziona origine dati) della procedura guidata, seleziona Import data about the relying party published online or on a local area network (Importa dati della relying party pubblicata online o in una rete LAN).
  4. Nella casella di testo sotto l'opzione selezionata, incolla l'URL di metadati:           https://authentication.logmeininc.com/saml/sp.
  5. Fai clic su Avanti.
  6. Salta la pagina Configurare l'autenticazione a più fattori?
  7. Nella schermata Choose Issuance Authorization Rules (Scegli regole di autorizzazione rilascio), scegli Permit all users to access this relying party (Consenti a tutti gli utenti l'accesso a questa relying party) a meno che non desideri selezionare un'altra opzione.
  8. Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.

Aggiungi 2 regole di attestazione

  1. Fai clic sulla nuova voce dell'endpoint e quindi su Modifica regole attestazione nella barra di navigazione a destra.
  2. Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
  3. Usa il menu a discesa per selezionare Inviare attributi LDAP come attestazioni, quindi fai clic su Avanti.
  4. Usa le seguenti impostazioni per la regola:
    • Nome regola di attestazione – Email AD
    • Archivio attributi – Active Directory
    • Attributo LDAP – indirizzi email
    • Tipo di attestazione in uscita – indirizzo email
  5. Fai clic su Fine.
  6. Fai nuovamente clic su Aggiungi regola.
  7. Usa il menu a discesa per selezionare Trasformare un'attestazione in ingresso, quindi fai clic su Avanti.
  8. Usa le seguenti impostazioni: 
    • Nome regola attestazione – ID nome
    • Tipo di attestazione in ingresso – indirizzo email
    • Tipo di attestazione in uscita – ID nome
    • Formato ID nome in uscita – Email
  9. Seleziona Pass-through di tutti i valori attestazione.
  10. Fai clic su Fine.
  11. Fai clic destro sul nuovo trust della relying party nella cartella Trust relying party e seleziona Proprietà.
  12. In Avanzate, seleziona SHA-1 e fai clic su OK.
  13. Per impedire ad ADFS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt di comando Windows Power Shell ed esegui il seguente comando:

    set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

2: Configura LogMeIn affinché consideri attendibile ADFS

  1. vai al Centro organizzativo, all'indirizzo https://organization.logmeininc.com e usa il modulo web del provider di identità.
  2. ADFS pubblica i suoi metadati in un URL standard per impostazione predefinita: (https://< hostname >/federationmetadata/2007-06/federationmetadata.xml).
    • Se questo URL è pubblicamente disponibile su Internet: Fai clic sulla scheda Provider di identità del Centro organizzativo, seleziona l'opzione Configurazione automatica, quindi incolla l'URL nel campo di testo e al termine fai clic su Salva.
    • Se l'URL di metadati non è disponibile pubblicamente, raccogli l'URL single-sign-on e un certificato (per la convalida della firma) da ADFS e inviali usando l'opzione di configurazione manuale nella scheda Provider di identità del Centro organizzativo.
  3. Per ricevere gli elementi necessari, procedi come segue:
    1. Per ricevere l'URL del servizio single-sign-on, apri la finestra di gestione ADFS e seleziona la cartella Endpoint per visualizzare un elenco degli endpoint di ADFS. Cerca l'endpoint SAML 2.0/tipo federativo WS e copia l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del single-sign-on nei contenuti XML.
    2. Per acquisire il certificato per la convalida della firma, apri la ADFS Management Console e seleziona la cartella Certificati per visualizzare i certificati. Cerca il Certificato per la firma di token, fai clic su di esso con il pulsante destro del mouse e seleziona Visualizza certificato. Seleziona la scheda Dettagli e quindi l'opzione Copia su file. Utilizzando la procedura guidata di esportazione dei certificati, seleziona Base-64 Encoded X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
  4. Inserisci l'URL del servizio single sign-on e il testo del certificato nei rispettivi campi del Centro organizzativo, quindi fai clic su Salva.

Prova la configurazione

  1. Per eseguire un test dell'accesso avviato dal provider di identità, vai all'URL del tuo IdP personalizzato (ad esempio: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l'identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
  2. Per eseguire un test dell'avvesso avviato dalla relying party, consulta le istruzioni per Come posso accedere con il metodo Single Sign-On?