HELP FILE
Configurar o Logon empresarial usando ADFS 3.0
Sua organização pode gerenciar facilmente milhares de usuários e o acesso a produtos, além de poder oferecer o logon único (SSO). O SSO garante que seus usuários consigam acessar os produtos LogMeIn usando o mesmo provedor de identidade de seus outros aplicativos e ambientes empresariais. Esses recursos são chamados de Logon empresarial.
Este documento engloba a configuração do Active Directory Federation Services (ADFS) para aceitar autenticação com Logon empresarial para produtos LogMeIn . No entanto, antes de implementar, lembre-se de ler mais sobre o Logon empresarial e concluir as etapas iniciais.
O ADFS 3.0 é uma versão aprimorada do ADFS 2.0. Ele é um componente baixável para Windows Server 2012 R2. Uma das grandes vantagens do 3.0 é a inclusão do Internet Information Services (IIS) Server, da Microsoft, na implantação, e não em uma instalação separada. As melhorias variam a instalação e a configuração em relação ao seu predecessor.
Este artigo descreve como instalar e configurar o ADFS e como configurar o ADFS em uma relação de confiança SAML com Logon empresarial. Nesta relação de confiança, o ADFS é o Provedor de Identidade e o LogMeIn é o Provedor de Serviço. Ao fim, o LogMeIn conseguirá usar o ADFS para autenticar os usuários em produtos como o GoToMeeting usando asserções SAML oferecidas pelo ADFS. Os usuários poderão iniciar autenticações do lado do Provedor de Serviço ou do lado do Provedor de Identidade.
Requisitos
Entre os pré-requisitos do ADFS 3.0 estão:
- Um certificado publicamente confiável para autenticar o ADFS para seus clientes. O nome de serviço do ADFS será suposto a partir do nome da entidade do certificado, por isso é importante que o nome da entidade do certificado seja atribuído adequadamente.
- O servidor ADFS precisará ser membro de um domínio do Active, e será necessária uma conta de administrador de domínio para a configuração do ADFS.
- Uma entrada DNS será necessária para resolver o nome de host do ADFS por seu cliente
Uma lista completa e detalhada dos requisitos pode ser examinada na visão geral do Microsoft ADFS 3.0.
Instalação
- Comece a instalação do ADFS 3.0 acessando Ferramentas Administrativas > Gerenciador de servidores > Adicionar funções e recursos.
- Na página Selecionar tipo de instalação, selecione Instalação baseada em função ou recurso e clique em Avançar.
- Na página Selecionar servidor de destino, selecione o servidor no qual será instalado o serviço ADFS e clique em Avançar.
- Na página Selecionar funções de servidor, selecione Active Directory Federation Services e clique em Avançar.
- Em Selecionar recursos, a menos que você deseje instalar alguns recursos adicionais, mantenha os padrões e clique em Avançar.
- Releia as informações da página Active Directory Domain Services e clique em Avançar.
- Inicie a instalação na página Confirmar seleções de instalação.
Configuração
- Nas Notificações, haverá uma notificação alertando que você tem uma tarefa de Configuração pós-implantação… pendente. Abra-a e clique no link para iniciar o assistente de configuração.
- Na página Boas-vindas, selecione Criar o primeiro servidor de federação em um farm de servidores de federação (exceto se já houver um farm ao qual que você também está adicionando este servidor ADFS).
- Na página Conectar ao ADFS, selecione a conta de administrador do domínio para realizar a configuração.
- Em Especificar Propriedades do Serviço, especifique o Certificado SSL criado nos pré-requisitos. Defina o Nome do Serviço de Federação e o Nome para exibição do Serviço de Federação.
- Em Especificar Conta de Serviço, selecione a conta que será usada pelo ADFS.
- Em Especificar Banco de Dados de Configuração, selecione o banco de dados a ser usado.
- Releia as informações nas Verificações de Pré-requisitos e clique em configurar.
Estabelecer relação de confiança
Cada parte (ADFS e LogMeIn ) precisará ser configurada para confiar na outra parte. Portanto, a configuração da relação de confiança é um processo de duas vias.
Etapa 1: configurar o ADFS para confiar no SAML LogMeIn
- Acesse Ferramentas administrativas > Gerenciamento do ADFS.
- Em Gerenciamento do ADFS, no menu suspenso Ação, selecione Adicionar Confiança da Terceira Parte Confiável. O Assistente para Adicionar Confiança da Terceira Parte Confiável será iniciado.
- Na página Selecionar Fonte de Dados do assistente, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
- Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
- Clique em Avançar.
- Pule a página Configurar a Autenticação Multifator Agora?.
- Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
- Siga as instruções das próximas telas para concluir este lado da relação de confiança.
Adicionar duas regras de declaração
- Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
- Selecione a guia Regras de Transformação de Emissão e clique em Adicionar Regra.
- No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
- Use as seguintes configurações para a regra:
- Nome da regra de declaração — E-mail do AD
- Repositório de atributos — Active Directory
- Atributo LDAP — Endereços de e-mail
- Tipo de Declaração de Saída — Endereços de e-mail
- Clique em Concluir.
- Clique em Adicionar Regra novamente.
- No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
- Use as seguintes configurações:
- Nome da regra de declaração — ID do nome
- Tipo de Declaração de Entrada — Endereços de e-mail
- Tipo de Declaração de Saída — ID do nome
- Formato de ID do nome de saída — E-mail
- Selecione Passar por todos os valores da declaração.
- Clique em Concluir.
- Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
- Em Avançado, selecione SHA-1 e clique em OK.
- Para evitar que o ADFS envie asserções criptografadas por padrão, abra uma janela do prompt de comando do Windows Power Shell e execute o seguinte comando:
Set-AdfsRelyingPartyTrust -TargetName "
" -EncryptClaims $False
Etapa 2: configurar o LogMeIn para confiar no ADFS
- Acesse o Centro da Organização em https://organization.logmeininc.com e use o formulário da Web do Provedor de Identidade.
- O ADFS publica seus metadados em um URL padrão: (https://< hostname >/federationmetadata/2007-06/federationmetadata.xml).
- Se este URL estiver disponível publicamente na Internet: Clique na guia Provedor de Identidade do Centro da Organização, selecione a opção Configuração automática, cole o URL no campo de texto e clique em Salvar quando terminar.
- Se o URL de metadados não estiver disponível publicamente, pegue o URL de logon único e um certificado (para validação da assinatura) do ADFS e envie tudo usando a opção de configuração Manual na guia Provedor de Identidade do Centro da Organização.
- Para pegar os itens necessários, faça o seguinte:
- Para pegar o URL do serviço de logon único, abra a janela Gerenciamento do ADFS e selecione a pasta Pontos de extremidade para ver uma lista dos pontos de extremidade do ADFS. Procure o ponto de extremidade Tipo de federação SAML 2.0/WS e pegue o URL nas propriedades. Como alternativa, se você tiver acesso ao URL de metadados, exiba o conteúdo do URL em um navegador e procure o URL do logon único no conteúdo do XML.
- Para pegar o certificado de validação da assinatura, abra o Console de Gerenciamento do ADFS e selecione a pasta Certificados para exibir os certificados. Procure o Certificado de assinatura de tokens, clique nele com o botão direito e selecione Exibir Certificado. Selecione a guia Detalhes e, em seguida, a opção Copiar para arquivo. Usando o assistente de exportação de certificados, selecione X.509 codificado na base 64 (*.cer). Atribua um nome ao arquivo para concluir a exportação do certificado para um arquivo.
- Insira o URL do serviço de logon único e o texto do certificado em seus respectivos campos no Centro da Organização e clique em Salvar.
Testar a configuração
- Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
- Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como efetuo login usando logon único?