HELP FILE

Configurer Enterprise Sign-In à l'aide d'AD FS 3.0

Votre organisation peut aisément gérer des milliers d'utilisateurs et leur accès aux produits tout en mettant à leur disposition l'authentification unique. L'authentification unique permet de s'assurer que les utilisateurs accèdent à leurs produits LogMeIn via le même fournisseur d'identité que celui utilisé dans d'autres applications et environnements d'entreprise. Ces fonctionnalités sont appelées « Enterprise Sign-In ».

Ce document décrit la configuration de vos services AD FS (Active Directory Federation Services) afin de prendre en charge l'authentification unique pour les produits LogMeIn. Avant de procéder à la mise en œuvre, renseignez-vous sur Enterprise Sign-In et suivez les étapes de configuration initiales.

AD FS 3.0 est une version améliorée d'AD FS 2.0. Il s'agit d'un composant téléchargeable pour Windows Server 2012 R2. Un des avantages principaux de la version 3.0 réside dans le fait que les services Internet (IIS) de Microsoft sont inclus dans le déploiement plutôt que dans une installation séparée. Les améliorations modifient quelque peu l'installation et la configuration par rapport à la version précédente.

Cet article décrit comment installer et configurer AD FS, et comment définir AD FS dans une relation d'approbation SAML avec Enterprise Sign-In. Dans cette relation d'approbation, AD FS est le fournisseur d'identité et LogMeIn le fournisseur de services. Une fois le déploiement terminé, LogMeIn sera en mesure d'utiliser AD FS pour authentifier les utilisateurs dans des produits tels que GoToMeeting à l'aide des assertions SAML fournies par AD FS. Les utilisateurs pourront initier des authentifications du côté du fournisseur de services ou du fournisseur d'identité.

Rubriques de cet article :

Conditions requises

Installation

Configuration

Établir une relation d'approbation

Tester la configuration

 

Conditions requises

Conditions préalables requises pour AD FS 3.0 :

  • Un certificat approuvé publiquement pour authentifier AD FS auprès de ses clients. Le nom du service AD FS sera basé sur le nom du sujet du certificat, il est donc important que le nom du sujet du certificat soit attribué en conséquence.
  • Le serveur AD FS doit être membre d'un domaine Active Directory et un compte d'administrateur de domaine est nécessaire pour la configuration des services AD FS.
  • Une entrée DNS est nécessaire pour que le client puisse résoudre le nom de l'hôte AD FS

La liste complète et détaillée des spécifications est disponible dans la vue d'ensemble des services AD FS 3.0.

 

Installation

  1. Démarrez l'installation d'AD FS 3.0 en sélectionnant Outils d'administration | Gestionnaire de serveur | Ajouter des rôles et fonctionnalités.
  2. Sur la page Sélectionner le type d'installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité et cliquez sur Suivant.
  3. Sur la page Sélectionner le serveur de destination, sélectionnez le serveur sur lequel vous souhaitez installer le service AD FS et cliquez sur Suivant.
  4. Sur la page Sélectionner des rôles de serveurs, sélectionnez Services AD FS (Active Directory Federation Services) et cliquez sur Suivant.
  5. Dans Sélectionner des fonctionnalités, laissez les valeurs par défaut, sauf si vous voulez installer d'autres fonctionnalités, et cliquez sur Suivant.
  6. Consultez les informations de la page Services AD FS (Active Directory Federation Services) et cliquez sur Suivant.
  7. Lancez l'installation sur la page Confirmer les sélections d'installation.
 

Configuration

  1. Dans vos Notifications, une notification vous informera qu'il vous reste une tâche de configuration post-déploiement… à effectuer. Ouvrez-la et cliquez sur le lien pour démarrer l'assistant.
  2. Sur la page Bienvenue, sélectionnez Créer le premier serveur de fédération dans une batterie de serveurs de fédération (à moins qu'il s'agisse d'une batterie de serveurs existante à laquelle vous ajoutez également ce serveur AD FS).
  3. Sur la page Connexion à AD FS, sélectionnez le compte d'administrateur de domaine à utiliser pour effectuer cette configuration.
  4. Dans Spécifier les propriétés de service, spécifiez le certificat SSL créé à partir des conditions préalables. Définissez le Nom du service FS (Federation Service) et le Nom complet du service FS.
  5. Dans Spécifier un compte de service, sélectionnez le compte qu'AD FS utilisera.
  6. Dans Spécifier une base de données de configuration, sélectionnez la base de données à utiliser.
  7. Passez en revue les informations dans Vérifications des conditions préalables et cliquez sur Configurer.
 

Établir une relation d'approbation

Chaque partie (AD FS et LogMeIn) doit être configurée de manière à approuver l’autre partie. Par conséquent, la configuration de la relation d'approbation est un processus en deux étapes.

Étape 1 : configurez AD FS pour approuver le service SAML LogMeIn.

  1. Ouvrez Outils d'administration | Gestion AD FS.
  2. Dans Gestion AD FS, sélectionnez Ajouter une approbation de partie de confiance dans le menu déroulant Action. Cela va lancer l'assistant Ajouter une approbation de partie de confiance.
  3. Sur la page Sélectionner une source de données de l'assistant, sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance et dans la zone de texte sous l'option sélectionnée, collez l'URL des métadonnées :
               https://authentication.logmeininc.com/saml/sp.
  4. Cliquez sur Suivant.
  5. Ignorez la page Configurer l'authentification multifacteur maintenant ?
  6. Sur l'écran Choisir les règles d'autorisation d'émission, choisissez Autoriser tous les utilisateurs à accéder à cette partie de confiance, sauf si une autre option est requise.
  7. Suivez le reste des invites pour terminer cette partie de la relation d'approbation.
  8. Ajoutez maintenant deux règles de revendication.
  9. Cliquez sur la nouvelle entrée de point de terminaison et cliquez sur Modifier les règles de revendications sur la droite.
  10.  Sélectionnez l'onglet Règles de transformation d'émission et cliquez sur Ajouter une règle.
  11.  Sélectionnez Envoyer les attributs LDAP en tant que revendications dans le menu déroulant et cliquez sur Suivant.
  12. Utilisez les paramètres suivants pour la règle :
    • Nom de la règle de revendication :
                  AD Email.
    • Magasin d'attributs :
                  Active Directory.
    • Attribute LDAP :
                  E-mail-Addresses.
    • Type de revendication sortante :
                  E-mail-Address.
  13. Cliquez sur Terminer.
  14. Cliquez de nouveau sur Ajouter une règle.
  15. Sélectionnez Transformer une revendication entrante dans le menu déroulant, puis cliquez sur Suivant.
  16. Utilisez les paramètres suivants :
    • Nom de la règle de revendication :
                   Name ID.
    • Type de revendication entrante :
                   E-mail Address.
    • Type de revendication entrante :
                  Name ID.
    • Format d'ID de nom sortant :
                   Email.
    • Sélectionnez Accepter toutes les valeurs de revendication.
    • Cliquez sur Terminer.
  17. Cliquez avec le bouton droit de la souris sur la nouvelle approbation de partie de confiance dans le dossier Approbations de partie de confiance et sélectionnez Propriétés.
  18. Dans Avancé, sélectionnez SHA-1 et cliquez sur OK.
  19. Pour éviter à AD FS d'envoyer des assertions cryptées par défaut, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante :

    set-ADFSRelyingPartyTrust –TargetName"

Étape 2. Configurez le lien de confiance entre LogMeIn et AD FS.

  1. Accédez au centre d'organisation et utilisez le formulaire Web de fournisseur d'identité.
  2. AD FS publie ses métadonnées sur une URL standard par défaut :  https:// .
    1. Si cette URL est publiquement disponible sur Internet, accédez à l'onglet Fournisseur d'identité du centre d'organisation, sélectionnez l'option Configuration automatique et collez l'URL dans la zone de texte. Cliquez sur Enregistrer.
    1. Si l'URL des métadonnées n'est pas publiquement disponible, collectez l'URL d'authentification unique et un certificat (afin de valider la signature) auprès d'AD FS et soumettez-les à l'aide de l'option Configuration manuelle dans l'onglet Fournisseur d'identité du centre d'organisation.
  3. Pour collecter les éléments nécessaires, procédez comme suit :
    • Pour collecter l'URL du service d'authentification unique, ouvrez la fenêtre Gestion AD FS et sélectionnez le dossier Points de terminaison pour afficher une liste des points de terminaison AD FS. Recherchez le point de terminaison SAML 2.0/WS-Federation type et collectez l'URL depuis ses propriétés. Si vous avez accès à l'URL des métadonnées standard, vous pouvez également afficher le contenu de l'URL dans un navigateur et rechercher l'URL d'authentification unique dans le contenu XML.
    • Pour collecter le certificat afin de valider la signature, ouvrez la console de gestion AD FS, puis sélectionnez le dossier Certificats pour afficher les certificats. Recherchez le certificat de signature de jetons, cliquez dessus avec le bouton droit de la souris et sélectionnez Afficher le certificat. Sélectionnez l'onglet Détails, puis l'option Copier dans un fichier. À l'aide de l'Assistant Exportation de certificat, sélectionnez le certificat X.509 encodé en base 64 (*.cer). Attribuez un nom au fichier pour terminer l'exportation du certificat dans un fichier.
  4. Renseignez ces champs dans le centre d'organisation, puis cliquez sur Enregistrer.
 

Tester la configuration

Pour tester l'authentification initiée par le fournisseur d'identité, accédez à
       https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

L'identificateur de la partie de confiance doit s'afficher dans une zone de liste déroulante sous « Sign in to one to the following sites » (Se connecter à l'un des sites suivants).

Pour tester l'authentification initiée par la partie de confiance, accédez à la page de connexion du produit LogMeIn auquel vous souhaitez vous connecter (www.gotomeeting.com, par exemple) et cliquez sur l'option Utiliser mon identifiant d'entreprise.

Saisissez votre adresse e-mail. Vous devriez être redirigé vers les serveurs AD FS et être invité à vous connecter (ou si l'authentification Windows intégrée est utilisée, vous serez connecté automatiquement). Après quoi, vous accéderez directement au produit de votre choix.