product icon

Configurar o Logon empresarial usando o AD FS 2.0

    Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos, além de oferecer logon único (SSO). O logon único garante que os usuários possam acessar o GoTo produtos usando o mesmo provedor de identidade de seus outros aplicativos empresariais e ambientes. Esses recursos são chamados de Logon empresarial.

    Este artigo aborda a configuração de seus Serviços de Federação do Active Directory (AD FS) para oferecer suporte a autenticação de logon único para GoTo produtos.

    O AD FS 2.0 é uma para download componente para Windows Server 2008 e 2008 R2. É simples de implantar, mas existem várias etapas de configuração que precisam de cadeias de caracteres, certificados e URLs, etc. específicos. AD FS 3.0 também é compatível com o Logon empresarial. O AD FS 3.0 tem várias melhorias, o maior de quais é o servidor do Microsoft Internet Information Services (IIS) Server está incluído na implantação em vez de uma instalação separada.

    Observação: Você pode pular para Etapa 5 (listado abaixo) se você já tiver implantado o AD FS 2.0.

    Etapa 1: Configurar uma organização para ADFS 2.0

    Configure uma “organização” registrando pelo menos um domínio de e-mail válido com GoTo para verificar sua propriedade desse domínio. Domínios da sua organização são domínios de e-mail que pertencem totalmente a ela e que seus administradores podem verificar, seja por meio do serviço web ou pelo servidor DNS.

    Importante: O usuário que concluir a verificação de domínio se tornará automaticamente um administrador da organização, mas esse usuário não precisa ter um GoTo função de administração do produto.
    As etapas abaixo são realizadas no GoTo Centro da Organização.
    • Configure uma organização.
      1. Efetue login no GoTo Centro da Organização em https://organization.logmeininc.com.
      2. A primeira tela solicitará que você verifique ser proprietário do domínio da conta com a qual está conectado atualmente. Você tem dois métodos para configurar a validação de domínio, cada um utilizando um código de confirmação exclusivo para concluir a confirmação. Copie o valor de confirmação para sua área de transferência.

        Nota: A tela de confirmação será exibida até que o domínio seja confirmado. Se você demorar mais de 10 dias para confirmar o domínio, o sistema gerará automaticamente novos códigos de confirmação para seu domínio na próxima vez em que você visitar o Centro da Organização.

      3. Cole o código de confirmação no registro DNS ou arquivo de texto para carregar em um dos locais, dependendo dos métodos de verificação escolhidos: 
        • Método 1: Adicione um registro DNS ao seu arquivo de zona de domínio. Para usar o método DNS, você insere um registro DNS no nível do domínio de email em sua zona DNS. Geralmente, os usuários estão confirmando um domínio “raiz” ou de “segundo nível”, como “main.com”. Nesse caso, o registro se pareceria com:

          @ IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”

          OU

          main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”

          Se quiser um domínio de terceiro nível (ou subdomínio) como “mail.example.com”, o registro deve ser posicionado nesse subdomínio, dessa forma:

          mail.main.com. IN TXT “logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e”

          Para obter uma documentação mais detalhada, consulte Adicionar um registro DNS TXT.

        • Método 2: Carregue um arquivo de servidor web no site especificado .Carregue um arquivo de texto simples em sua raiz do servidor web com uma sequência de caracteres de verificação. Não deve haver espaços em branco ou outros caracteres no arquivo de texto além dos fornecidos.
          • Localização: http://< seudomínio >/logmein-verification-code.txt
          • Conteúdo: logmein-verification-code=668e156b-f5d3-430e-9944-f1d4385d043e
      4. Após ter adicionado o registro DNS ou arquivo de texto, retorne à tela de status do domínio e clique em Verificar.
      5. Resultado: Você verificou seu primeiro domínio e criou assim uma organização com sua conta como administrador da organização. Você verá o domínio verificado listado na próxima vez em que efetuar login no Centro da Organização.

        Centro de Organização — Guia Domínios de e-mail

    • Desative e-mails de boas-vindas para usuários (opcional).
      1. Sign in to the GoTo Admin Center (classic) at https://admin.logmeininc.com.
      2. Selecione Configurações de administração no painel de navegação à esquerda.
      3. Localize o painel Organização e selecione Editar.

        Desativar e-mails de boas-vindas no Centro de Administração

      4. Selecione Desativado para a sincronização de usuários > Salvar.

        Resultado: Você desativou e-mails de boas-vindas para usuários e precisará informar os usuários sobre alterações na conta e/ou nos produtos atribuídos a partir de agora.

    Resultados: Você configurou uma organização e configurou as configurações desejadas para e-mails de boas-vindas.

    Etapa 2: Certificado dos serviços de federação

    Cada implantação do AD FS é identificada por um nome DNS (por exemplo, “adfs.mydomínio.com”). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.

    Há vários métodos para gerar certificados. O mais fácil, se você tiver uma Autoridade de Certificado no seu Domínio, é usar o console de gerenciamento IIS 7:
    1. Abra o snap-in de gerenciamento Open Web Server (IIS).
    2. Selecione o nó do servidor na árvore de navegação e a opção Certificados de Servidor.
    3. Selecione Criar Certificado de Domínio.
    4. Insira seu Nome do Serviço de Federação em Nome Comum (por exemplo, adfs.mydomain.com).
    5. Selecione sua Autoridade de Certificação do Active Directory.
    6. Insira um “Nome Amigável” para o Certificado (qualquer identificador serve).

      Observação: Se você não tiver usado o console do IIS para gerar o certificado, verifique se o certificado está vinculado ao serviço do IIS nos servidores nos quais você instalará o AD FS antes de prosseguir.

    Etapa 3: criar uma conta de usuário do domínio

    Os servidores do AD FS requerem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é necessário).

    Etapa 4: Instalar o primeiro servidor AD FS

    1. Baixe o AD FS 2.0 e execute o instalador. Assegure-se de executar o instalador como Administrador do Domínio — isso criará SPNs e outros contêineres no AD.
    2. Em Função do Servidor, selecione Servidor de Federação.
    3. Verificar Inicie o snap-in do gerenciamento do AD FS 2.0 quando este assistente fecha no final do Assistente de configuração.
    4. No snap-in do AD FS Management, clique em Criar novo Serviço de Federação.
    5. Selecione Farm de novo servidor de federação.
    6. Selecione o Certificado que você criou na etapa anterior.
    7. Selecione o usuário do Domínio que você criou nas etapas anteriores.

    Etapa 5: configurar sua terceira parte confiável

    Nesta etapa, você informará do AD FS o tipo de tokens SAML que o sistema aceita.

    Configure a relação de confiança da seguinte forma:
    1. No Console do AD FS 2.0, selecione Relações de confiança> Relações de confiança de confiança na árvore de navegação.
    2. Selecione Adicionar Confiança da Terceira Parte Confiável e clique em Iniciar.
    3. Em Selecionar Fonte de Dados, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
    4. Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
    5. Clique em OK para reconhecer que alguns metadados que o ADFS 2.0 não entende serão ignorados.
    6. Na página Especificar Nome para Exibição, digite LogMeInTrust e clique em Avançar.
    7. Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
    8. Siga as instruções das próximas telas para concluir este lado da relação de confiança.

    Adicionar duas regras de declaração

    1. Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
    2. Selecione a guia Regras de Transformação de Emissão e selecione Adicionar Regra.
    3. No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
    4. Use as seguintes configurações para a regra:
      • Nome da regra de declaração — E-mail do AD
      • Repositório de atributos — Active Directory
      • Atributo LDAP — Endereços de e-mail
      • Tipo de Declaração de Saída — Endereços de e-mail
    5. Clique em Concluir.
    6. Clique em Adicionar Regra novamente.
    7. No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
    8. Use as seguintes configurações para a regra:
      • Nome da regra de declaração — ID do nome
      • Tipo de Declaração de Entrada — Endereços de e-mail
      • Tipo de Declaração de Saída — ID do nome
      • Formato de ID do nome de saída — E-mail
    9. Selecione Passar por todos os valores da declaração.
    10. Clique em Concluir.

    Concluir a configuração

    • Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
    • Em Avançado, selecione SHA-1 e clique em OK.
    • Para evitar que o AD FS envie asserções criptografadas por padrão, abra um prompt de comando do Windows Power Shell e execute o seguinte comando:
    Set-AdfsRelyingPartyTrust -TargetName " " -EncryptClaims $False

    Etapa 6: configurar a confiança

    A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.

    • Use a seção "Provedor de Identidade" do Centro de Organização para adicionar os detalhes necessários.
    • Para AD FS 2.0, selecione Configuração automática e insira o seguinte URL – substituição de “servidor” com o nome de host acessível externamente do servidor AD FS:https://server/FederationMetadata — 2007-06/FederationMetadata a.xml

    Etapa 7: testar configuração de servidor único

    A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.

    • Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
    • Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como efetuar login usando logon único?