HELP FILE

Einrichten von Enterprise Sign-In mit ADFS 2.0

Ihr Unternehmen kann problemlos Tausende von Benutzern und deren Produktzugriff verwalten und gleichzeitig Single Sign-On (SSO) anbieten. SSO stellt sicher, dass Ihre Benutzer über denselben Identitätsanbieter wie für ihre anderen Unternehmensanwendungen und -umgebungen auf ihre LogMeIn-Produkte zugreifen können. Diese Funktionalität wird als "Enterprise-Sign-In" bezeichnet.

Dieses Dokument behandelt die Konfiguration Ihrer Active Directory-Verbunddienste (ADFS) zur Unterstützung der Single Sign-On-Authentifizierung für LogMeIn-Produkte. Vor der Implementierung empfiehlt es sich, die Informationen über Enterprise Sign-In zu lesen und die einleitenden Einrichtungsschritte durchzuführen.

ADFS 2.0 ist eine herunterladbare Komponente für Windows Server 2008 und 2008 R2. Sie ist einfach zu implementieren, aber für einige Konfigurationsschritte werden bestimmte Zeichenfolgen, Zertifikate, URLs usw. benötigt. ADFS 3.0 wird auch für Enterprise Sign-In unterstützt. ADFS 3.0 bietet mehrere Verbesserungen, vor allem die, dass der Server für die Microsoft Internetinformationsdienste (IIS) in der Bereitstellung inbegriffen ist und nicht separat installiert werden muss.

Hinweis: Wird ADFS 2.0 bereits bereitgestellt, können Sie mit Schritt 4 fortfahren.

Schritt 1: Verbunddienstzertifikat

Jede ADFS-Bereitstellung wird durch einen DNS-Namen (z. B. “adfs.mydomain.com) identifiziert. Bevor Sie beginnen, benötigen Sie ein Zertifikat, das auf diesen Antragstellernamen ausgestellt ist. Hierbei handelt es sich um einen extern sichtbaren Namen, wählen Sie daher einen Namen, der Ihr Unternehmen den Partnern gegenüber deutlich kennzeichnet. Außerdem darf dieser Name nicht als Serverhostname verwendet werden, da dadurch Probleme mit der Registrierung von Dienstprinzipalnamen (SPN) entstehen.

Es gibt viele Methoden zum Generieren von Zertifikaten. Am einfachsten ist die Verwendung der IIS 7-Verwaltungskonsole, vorausgesetzt, Ihre Domäne verfügt über eine Zertifizierungsstelle:

  1. Öffnen Sie das Webserver(IIS)-Verwaltungs-Snap-In.
  2. Wählen Sie den Serverknoten in der Navigationsstruktur und dann die Option Serverzertifikate aus.
  3. Wählen Sie Domänenzertifikat erstellen aus.
  4. Geben Sie Ihren Verbunddienstnamen unter "Allgemeiner Name" ein (z. B. adfs.mydomain.com).
  5. Wählen Sie die Active Directory-Zertifizierungsstelle aus.
  6. Geben Sie einen Anzeigenamen für das Zertifikat ein (beliebig).

Hinweis: Wenn das Zertifikat nicht mit der IIS-Konsole erstellt wurde, überprüfen Sie, ob das Zertifikat in den Servern, die für die Installation von ADFS vorgesehen sind, an den IIS-Dienst gebunden ist. Setzen Sie den Vorgang dann fort.

Schritt 2: Erstellen eines Domänenbenutzerkontos

Zur Verwendung von ADFS-Servern muss ein Domänenbenutzerkonto erstellt werden, unter dem die Dienste ausgeführt werden (es sind keine bestimmten Gruppen erforderlich).

Schritt 3: Installieren des ersten ADFS-Servers

  1. Laden Sie ADFS 2.0 herunter, und führen Sie das Installationsprogramm aus. Stellen Sie sicher, dass Sie das Installationsprogramm als Domänenadministrator ausführen, damit SPN und andere Container in AD erstellt werden.
  2. Wählen Sie unter "Serverrolle" die Rolle Verbundserver aus.
  3. Aktivieren Sie am Ende des Assistenten die Option ADFS 2.0 Verwaltungs-Snap-In starten, wenn dieser Assistent geschlossen wird.
  4. Klicken Sie im ADFS Verwaltungs-Snap-In auf Neuen Verbunddienst erstellen.
  5. Wählen Sie Neue Verbundserverfarm aus.
  6. Wählen Sie das Zertifikat aus, die Sie im vorherigen Schritt erstellt haben.
  7. Wählen Sie den Domänenbenutzer aus, den Sie im vorherigen Schritt erstellt haben.
 

Schritt 4: Konfigurieren einer vertrauenden Seite

In diesem Schritt teilen Sie ADFS mit, welche Art von SAML-Token vom System akzeptiert werden.

Richten Sie wie folgt ein Vertrauensverhältnis ein:

  1. Wählen Sie in ADFS 2.0 MMC die Vertrauensstellungen | Vertrauensstellung der vertrauende Seite in der Navigationsstruktur aus.
  2. Wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus und klicken Sie auf Starten.
  3. Wählen Sie in Datenquelle auswählen die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren und geben Sie in das Textfeld unterhalb der ausgewählten Option die Metadaten-URL ein: https://authentication.logmeininc.com/saml/sp. Klicken Sie auf Weiter.
  4. Klicken Sie auf OK, um zu bestätigen, dass einige Metadaten, die ADFS 2.0 nicht versteht, übersprungen werden.
  5. Geben Sie auf der Seite Anzeigename angeben den Namen LogMeInTrust ein und klicken Sie auf Weiter.
  6. Klicken Sie unter Regeln für Ausstellungsautorisierung wählen auf Allen Benutzern Zugriff auf diese vertrauende Seite gewähren, es sei denn, es wird eine andere Option gewünscht.
  7. Gehen Sie die übrigen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.

Fügen Sie als nächstes zwei Anspruchsregeln hinzu:

  1. Klicken Sie auf den neuen Endpunkteintrag und klicken Sie rechts auf Anspruchsregeln bearbeiten.
  2. Wählen Sie die Registerkarte Ausstellungstransformationsregeln aus und klicken Sie auf Regel hinzufügen.
  3. Wählen Sie LDAP-Attribute als Ansprüche senden aus der Dropdownliste aus und klicken Sie auf Weiter. Verwenden Sie die folgenden Einstellungen für die Regel:
    • Name der Anspruchsregel: AD Email
    • Attributspeicher: Active Directory
    • LDAP-Attribut: E-mail-Addresses
    • Typ des ausgehenden Anspruchs: E-mail Address
  4. Klicken Sie auf Fertig stellen.
  5. Klicken Sie erneut auf Regel hinzufügen.
  6. Wählen Sie Transformieren eines eingehenden Anspruchs aus der Dropdownliste aus und klicken Sie auf Weiter. Verwenden Sie die folgenden Einstellungen für die Regel:
    • Name der Anspruchsregel: Name ID
    • Typ des eingehenden Anspruchs: E-Mail Address
    • Typ des ausgehenden Anspruchs: Name ID
    • Ausgehendes ID-Format des Namens: Email
  7. Wählen Sie Alle Anspruchswerte zulassen aus.
  8. Klicken Sie auf Fertig stellen.

Schließen Sie die Konfiguration wie folgt ab:

  • Klicken Sie mit der rechten Maustaste auf die neue Vertrauensstellung der vertrauenden Seite im Ordner Vertrauensstellungen der vertrauenden Seite und wählen Sie Eigenschaften aus.
  • Wählen Sie unter Erweitert die Option SHA-1 aus und klicken Sie auf OK.
  • Um zu verhindern, dass ADFS standardmäßig verschlüsselte Assertionen sendet, öffnen Sie ein Windows PowerShell-Eingabeaufforderungsfenster und führen Sie den folgenden Befehl aus:

set-ADFSRelyingPartyTrust –TargetName"

 

Schritt 5: Konfigurieren der Vertrauensstellung

Als letzten Schritt müssen Sie gewährleisten, dass die von Ihrem neuen ADFS-Dienst generierten SAML-Token akzeptiert werden.

  • Verwenden Sie den Abschnitt "Identitätsanbieter" im Organization Center, um die Details anzugeben.
  • Wählen Sie für ADFS 2.0 die automatische Konfiguration und geben Sie folgende URL ein – ersetzen Sie dabei "server" durch den extern bekannten Hostnamen Ihres ADFS-Servers:
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

Schritt 6: Testen der Einzelserverkonfiguration

Es sollte nun möglich sein, die Konfiguration zu testen. Sie müssen einen DNS-Eintrag für die ADFS-Dienstidentität erstellen und dabei auf den ADFS-Server verweisen, den Sie soeben konfiguriert haben, oder auf ein Lastenausgleichsmodul, falls vorhanden.

  • Um das vom Identitätsanbieter initiierte Sign-On zu testen, wechseln Sie zur benutzerdefinierten Identitätsanbieter-URL (Beispiel: https://adfs. https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter "Melden Sie sich bei einer der folgenden Sites an" angezeigt.
  • Wechseln Sie zum Testen der Anmeldung über die vertrauende Seite zur Produktanmeldeseite des Produkts, für das Sie sich anmelden möchten (z. B. www.gotomeeting.com), und klicken Sie auf der Anmeldeseite auf "Meine Firmen-ID verwenden". Nachdem Sie Ihre E-Mail-Adresse eingegeben haben, werden Sie an den ADFS-Server geleitet und aufgefordert, sich anzumelden (bzw. bei Verwendung der integrierten Windows-Authentifizierung werden Sie automatisch bei GoToMeeting, GoToWebinar, GoToTraining oder OpenVoice angemeldet).