HELP FILE

Configurar o Logon empresarial usando ADFS 2.0

Sua organização pode gerenciar facilmente milhares de usuários e o acesso a produtos, além de poder oferecer o logon único (SSO). O SSO garante que seus usuários consigam acessar os produtos LogMeIn usando o mesmo provedor de identidade de seus outros aplicativos e ambientes empresariais. Esses recursos são chamados de Logon empresarial.

Este documento engloba a configuração do Active Directory Federation Services (ADFS) para aceitar autenticação com Logon empresarial para produtos LogMeIn . No entanto, antes de implementar, lembre-se de ler mais sobre o Logon empresarial e concluir as etapas iniciais.

O ADFS 2.0 é um componente baixável para Windows Server 2008 e 2008 R2. É simples de implantar, mas existem várias etapas de configuração que precisam de cadeias de caracteres, certificados e URLs, etc. específicos. Também há suporte para Logon empresarial no ADFS 3.0. O ADFS 3.0 possui vários aprimoramentos, sendo o principal deles a inclusão do Internet Information Services (IIS) Server, da Microsoft, na implantação, e não em uma instalação separada.

Observação: você pode pular para a Etapa 4 se já tiver implantado o ADFS 2.0.

Etapa 1: Certificado dos serviços de federação

Cada implantação do ADFS é identificada por um nome DNS (por exemplo, adfs.mydomain.com). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.

Há vários métodos para gerar certificados. O mais fácil, se você tiver uma Autoridade de Certificado no seu Domínio, é usar o console de gerenciamento IIS 7:
  1. Abra o snap-in de gerenciamento Open Web Server (IIS).
  2. Selecione o nó do servidor na árvore de navegação e a opção Certificados de Servidor.
  3. Selecione Criar Certificado de Domínio.
  4. Insira seu Nome do Serviço de Federação em Nome Comum (por exemplo, adfs.mydomain.com).
  5. Selecione sua Autoridade de Certificação do Active Directory.
  6. Insira um “Nome Amigável” para o Certificado (qualquer identificador serve).

    Observação: Se você não usou o console do IIS para gerar o certificado, assegure-se de que o certificado tem como destino o serviço IIS nos servidores nos quais você instalará o ADFS antes de prosseguir.

Etapa 2: criar uma conta de usuário do domínio

Os servidores ADFS exigem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é exigido).

Etapa 3: instalar seu primeiro servidor ADFS

  1. Baixe o ADFS 2.0 e execute o instalador. Assegure-se de executar o instalador como Administrador do Domínio — isso criará SPNs e outros contêineres no AD.
  2. Em Função do Servidor, selecione Servidor de Federação.
  3. Marque Iniciar o snap-in ADFS 2.0 Management quando este assistente fechar ao fim do Assistente de Configuração.
  4. No snap-in ADFS Management, clique em Criar novo Serviço de Federação.
  5. Selecione Farm de novo servidor de federação.
  6. Selecione o Certificado que você criou na etapa anterior.
  7. Selecione o usuário do Domínio que você criou nas etapas anteriores.

Etapa 4: configurar sua terceira parte confiável

Nesta etapa, você informará ao ADFS o tipo de tokens SAML aceitos pelo sistema.

Configure a relação de confiança da seguinte forma:
  1. No MMC ADFS 2.0, selecione Relações de Confiança > Confianças da Terceira Parte Confiável na árvore de navegação.
  2. Selecione Adicionar Confiança da Terceira Parte Confiável e clique em Iniciar.
  3. Em Selecionar Fonte de Dados, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
  4. Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
  5. Clique em OK para reconhecer que alguns metadados que o ADFS 2.0 não entende serão ignorados.
  6. Na página Especificar Nome para Exibição, digite LogMeInTrust e clique em Avançar.
  7. Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
  8. Siga as instruções das próximas telas para concluir este lado da relação de confiança.

Adicionar duas regras de declaração

  1. Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
  2. Selecione a guia Regras de Transformação de Emissão e selecione Adicionar Regra.
  3. No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
  4. Use as seguintes configurações para a regra:
    • Nome da regra de declaração — E-mail do AD
    • Repositório de atributos — Active Directory
    • Atributo LDAP — Endereços de e-mail
    • Tipo de Declaração de Saída — Endereços de e-mail
  5. Clique em Concluir.
  6. Clique em Adicionar Regra novamente.
  7. No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
  8. Use as seguintes configurações para a regra:
    • Nome da regra de declaração — ID do nome
    • Tipo de Declaração de Entrada — Endereços de e-mail
    • Tipo de Declaração de Saída — ID do nome
    • Formato de ID do nome de saída — E-mail
  9. Selecione Passar por todos os valores da declaração.
  10. Clique em Concluir.

Concluir a configuração

  • Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
  • Em Avançado, selecione SHA-1 e clique em OK.
  • Para evitar que o ADFS envie asserções criptografadas por padrão, abra uma janela do prompt de comando do Windows Power Shell e execute o seguinte comando:
set-ADFSRelyingPartyTrust –TargetName"" –EncryptClaims $False

Etapa 5: configurar a confiança

A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.

  • Na seção “Provedor de Identidade” do Centro da Organização, adicione os detalhes necessários.
  • Para o ADFS 2.0, selecione a configuração “Automático” e insira a seguinte URL, substituindo “server” pelo nome de host do seu servidor ADFS acessível externamente: https://server/FederationMetadata/2007-06/FederationMetadata.xml

Etapa 6: testar configuração de servidor único

A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.

  • Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
  • Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como faço login usando o logon único?