HELP FILE

Como configurar o Logon empresarial usando ADFS 3.0

Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos enquanto também oferece login único (SSO). Com o logon único, seus usuários podem acessar seus produtos LogMeIn usando o mesmo provedor de identidade dos outros aplicativos empresariais e ambientes. Esses recursos são chamados de Logon empresarial.

Este documento abrange a configuração do Active Directory Federation Services (ADFS) para suporte à autenticação com Logon empresarial para produtos LogMeIn . Antes de implementar, no entanto, lembre-se de ler mais sobre o Logon empresarial e concluir as etapas iniciais.

O ADFS 3.0 é uma versão aprimorada do ADFS 2.0. Ele é um componente baixável para Windows Server 2012 R2. Uma das grandes vantagens do 3.0 é a inclusão do Internet Information Services (IIS) Server, da Microsoft, na implantação, e não em uma instalação separada. As melhorias variam a instalação e a configuração em relação ao seu predecessor.

Este artigo descreve como instalar e configurar o ADFS e como configurar o ADFS em uma relação de confiança SAML com Logon empresarial. Nesta relação de confiança, o ADFS é o Provedor de Identidade e o LogMeIn é o Provedor de Serviço. Ao fim, o LogMeIn conseguirá usar o ADFS para autenticar os usuários em produtos como o GoToMeeting usando asserções SAML oferecidas pelo ADFS. Os usuários poderão iniciar autenticações do lado do Provedor de Serviço ou do lado do Provedor de Identidade.

 

Requisitos

Entre os pré-requisitos do ADFS 3.0 estão:

  • Um certificado publicamente confiável para autenticar o ADFS para seus clientes. O nome de serviço do ADFS será suposto a partir do nome da entidade do certificado, por isso é importante que o nome da entidade do certificado seja atribuído adequadamente.
  • O servidor ADFS precisará ser membro de um domínio do Active, e será necessária uma conta de administrador de domínio para a configuração do ADFS.
  • Uma entrada DNS será necessária para resolver o nome de host do ADFS por seu cliente

Uma lista completa e detalhada dos requisitos pode ser examinada na visão geral do Microsoft ADFS 3.0.

Instalação

  1. Comece a instalação do ADFS 3.0 acessando Ferramentas Administrativas > Gerenciador de servidores > Adicionar funções e recursos.
  2. Na página Selecionar tipo de instalação, selecione Instalação baseada em função ou recurso e clique em Avançar.
  3. Na página Selecionar servidor de destino, selecione o servidor no qual será instalado o serviço ADFS e clique em Avançar.
  4. Na página Selecionar funções de servidor, selecione Active Directory Federation Services e clique em Avançar.
  5. Em Selecionar recursos, a menos que você deseje instalar alguns recursos adicionais, mantenha os padrões e clique em Avançar.
  6. Releia as informações da página Active Directory Domain Services e clique em Avançar.
  7. Inicie a instalação na página Confirmar seleções de instalação.

Configuração

  1. Nas Notificações, haverá uma notificação alertando que você tem uma tarefa de Configuração pós-implantação… pendente. Abra-a e clique no link para iniciar o assistente de configuração.
  2. Na página Boas-vindas, selecione Criar o primeiro servidor de federação em um farm de servidores de federação (exceto se já houver um farm ao qual que você também está adicionando este servidor ADFS).
  3. Na página Conectar ao ADFS, selecione a conta de administrador do domínio para realizar a configuração.
  4. Em Especificar Propriedades do Serviço, especifique o Certificado SSL criado nos pré-requisitos. Defina o Nome do Serviço de Federação e o Nome para exibição do Serviço de Federação.
  5. Em Especificar Conta de Serviço, selecione a conta que será usada pelo ADFS.
  6. Em Especificar Banco de Dados de Configuração, selecione o banco de dados a ser usado.
  7. Releia as informações nas Verificações de Pré-requisitos e clique em configurar.

Estabelecer relação de confiança

Cada parte (ADFS e LogMeIn ) precisará ser configurada para confiar na outra parte. Portanto, a configuração da relação de confiança é um processo de duas vias.

Etapa 1: configurar o ADFS para confiar no SAML LogMeIn

  1. Acesse Ferramentas administrativas > Gerenciamento do ADFS.
  2. Em Gerenciamento do ADFS, no menu suspenso Ação, selecione Adicionar Confiança da Terceira Parte Confiável. O Assistente para Adicionar Confiança da Terceira Parte Confiável será iniciado.
  3. Na página Selecionar Fonte de Dados do assistente, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local.
  4. Na caixa de texto abaixo da opção selecionada, cole o URL de metadados: https://authentication.logmeininc.com/saml/sp.
  5. Clique em Avançar.
  6. Pule a página Configurar a Autenticação Multifator Agora?.
  7. Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
  8. Siga as instruções das próximas telas para concluir este lado da relação de confiança.

Adicionar duas regras de declaração

  1. Clique na nova entrada de ponto de extremidade e em Editar Regras de Declaração no painel de navegação à direita.
  2. Selecione a guia Regras de Transformação de Emissão e clique em Adicionar Regra.
  3. No menu suspenso, selecione Enviar Atributos LDAP como Declarações e clique em Avançar.
  4. Use as seguintes configurações para a regra:
    • Nome da regra de declaração – E-mail do AD
    • Repositório de atributos – Active Directory
    • Atributo LDAP – Endereços de e-mail
    • Tipo de Declaração de Saída – Endereços de e-mail
  5. Clique em Concluir.
  6. Clique em Adicionar Regra novamente.
  7. No menu suspenso, selecione Transformar uma Declaração de Entrada e clique em Avançar.
  8. Use as seguintes configurações: 
    • Nome da regra de declaração – ID do nome
    • Tipo de Declaração de Entrada – Endereços de e-mail
    • Tipo de Declaração de Saída – ID do nome
    • Formato de ID do nome de saída – E-mail
  9. Selecione Passar por todos os valores da declaração.
  10. Clique em Concluir.
  11. Clique com o botão direito na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
  12. Em Avançado, selecione SHA-1 e clique em OK.
  13. Para evitar que o ADFS envie asserções criptografadas por padrão, abra uma janela do prompt de comando do Windows Power Shell e execute o seguinte comando:

    set-ADFSRelyingPartyTrust –TargetName "< relyingPartyTrustDisplayName >" –EncryptClaims $False

Etapa 2: configurar o LogMeIn para confiar no ADFS

  1. Acesse o Centro da Organização em https://organization.logmeininc.com e use o formulário da Web do Provedor de Identidade.
  2. O ADFS publica seus metadados em um URL padrão: (https://< hostname >/federationmetadata/2007-06/federationmetadata.xml).
    • Se este URL estiver disponível publicamente na Internet: Clique na guia Provedor de Identidade do Centro da Organização, selecione a opção Configuração automática, cole o URL no campo de texto e clique em Salvar quando terminar.
    • Se o URL de metadados não estiver disponível publicamente, pegue o URL de logon único e um certificado (para validação da assinatura) do ADFS e envie tudo usando a opção de configuração Manual na guia Provedor de Identidade do Centro da Organização.
  3. Para pegar os itens necessários, faça o seguinte:
    1. Para pegar o URL do serviço de logon único, abra a janela Gerenciamento do ADFS e selecione a pasta Pontos de extremidade para ver uma lista dos pontos de extremidade do ADFS. Procure o ponto de extremidade Tipo de federação SAML 2.0/WS e pegue o URL nas propriedades. Como alternativa, se você tiver acesso ao URL de metadados, exiba o conteúdo do URL em um navegador e procure o URL do logon único no conteúdo do XML.
    2. Para pegar o certificado de validação da assinatura, abra o Console de Gerenciamento do ADFS e selecione a pasta Certificados para exibir os certificados. Procure o Certificado de assinatura de tokens, clique nele com o botão direito e selecione Exibir Certificado. Selecione a guia Detalhes e, em seguida, a opção Copiar para arquivo. Usando o assistente de exportação de certificados, selecione X.509 codificado na base 64 (*.cer). Atribua um nome ao arquivo para concluir a exportação do certificado para um arquivo.
  4. Insira o URL do serviço de logon único e o texto do certificado em seus respectivos campos no Centro da Organização e clique em Salvar.

Testar a configuração

  1. Para testar o login iniciado por Provedor de Identidade, acesse o URL do IdP personalizado (exemplo: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Efetuar login em um dos seguintes sites”.
  2. Para testar o Login iniciado por terceira parte confiável, consulte as instruções no artigo Como posso fazer login usando o logon único?