HELP FILE
Configurar o Logon empresarial usando ADFS 2.0
Sua organização pode gerenciar facilmente milhares de usuários e o acesso a produtos, além de poder oferecer o logon único (SSO). O SSO garante que seus usuários consigam acessar os produtos LogMeIn usando o mesmo provedor de identidade de seus outros aplicativos e ambientes empresariais. Esses recursos são chamados de Logon empresarial.
Este documento engloba a configuração do Active Directory Federation Services (ADFS) para aceitar autenticação com Logon empresarial para produtos LogMeIn . No entanto, antes de implementar, lembre-se de ler mais sobre o Logon empresarial e concluir as etapas iniciais.
O ADFS 2.0 é um componente baixável para Windows Server 2008 e 2008 R2. É simples de implantar, mas existem várias etapas de configuração que precisam de cadeias de caracteres, certificados e URLs, etc. específicos. Também há suporte para Logon empresarial no ADFS 3.0. O ADFS 3.0 possui vários aprimoramentos, sendo o principal deles a inclusão do Internet Information Services (IIS) Server, da Microsoft, na implantação, e não em uma instalação separada.
Etapa 1: Certificado dos serviços de federação
Cada implantação do ADFS é identificada por um nome DNS (por exemplo, adfs.mydomain.com). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.
- Abra o snap-in de gerenciamento Open Web Server (IIS).
- Selecione o nó do servidor na árvore de navegação e a opção Certificados de Servidor.
- Selecione Criar Certificado de Domínio.
- Insira seu Nome do Serviço de Federação em Nome Comum (por exemplo, adfs.mydomain.com).
- Selecione sua Autoridade de Certificação do Active Directory.
- Insira um “Nome Amigável” para o Certificado (qualquer identificador serve). Observação: Se você não usou o console do IIS para gerar o certificado, assegure-se de que o certificado tem como destino o serviço IIS nos servidores nos quais você instalará o ADFS antes de prosseguir.
Etapa 2: criar uma conta de usuário do domínio
Os servidores ADFS exigem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é exigido).
Etapa 3: instalar seu primeiro servidor ADFS
- Baixe o ADFS 2.0 e execute o instalador. Assegure-se de executar o instalador como Administrador do Domínio — isso criará SPNs e outros contêineres no AD.
- Em Função do Servidor, selecione Servidor de Federação.
- Marque Iniciar o snap-in ADFS 2.0 Management quando este assistente fechar ao fim do Assistente de Configuração.
- No snap-in ADFS Management, clique em Criar novo Serviço de Federação.
- Selecione Farm de novo servidor de federação.
- Selecione o Certificado que você criou na etapa anterior.
- Selecione o usuário do Domínio que você criou nas etapas anteriores.
Etapa 4: configurar sua terceira parte confiável
Nesta etapa, você informará ao ADFS o tipo de tokens SAML aceitos pelo sistema.
- No MMC ADFS 2.0, selecione Relações de Confiança > Confianças da Terceira Parte Confiável na árvore de navegação.
- Selecione Adicionar Confiança da Terceira Parte Confiável e clique em Iniciar.
- Em Selecionar Fonte de Dados, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
- Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
- Clique em OK para reconhecer que alguns metadados que o ADFS 2.0 não entende serão ignorados.
- Na página Especificar Nome para Exibição, digite LogMeInTrust e clique em Avançar.
- Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
- Siga as instruções das próximas telas para concluir este lado da relação de confiança.
Adicionar duas regras de declaração
- Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
- Selecione a guia Regras de Transformação de Emissão e selecione Adicionar Regra.
- No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
- Clique em Concluir.
- Clique em Adicionar Regra novamente.
- No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
- Selecione Passar por todos os valores da declaração.
- Clique em Concluir.
Concluir a configuração
- Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
- Em Avançado, selecione SHA-1 e clique em OK.
- Para evitar que o ADFS envie asserções criptografadas por padrão, abra uma janela do prompt de comando do Windows Power Shell e execute o seguinte comando:
Etapa 5: configurar a confiança
A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.
- Na seção “Provedor de Identidade” do Centro da Organização, adicione os detalhes necessários.
- Para o ADFS 2.0, selecione a configuração “Automático” e insira a seguinte URL, substituindo “server” pelo nome de host do seu servidor ADFS acessível externamente: https://server/FederationMetadata/2007-06/FederationMetadata.xml
Etapa 6: testar configuração de servidor único
A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.
- Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
-
Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como efetuo login usando logon único?