Configurare Enterprise Sign-In con AD FS 3.0
La tua organizzazione può gestire con facilità migliaia di utenti e l’accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere al loro GoTo prodotti con lo stesso provider di identità per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.
Puoi configurare i tuoi Active Directory Federation Services (AD FS) per supportare l'autenticazione single sign-on per GoTo prodotti.
Informazioni su AD FS 3.0
AD FS 3.0 è una versione migliorata di AD FS 2.0. È un componente scaricabile per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.
Questo articolo esamina come installare e configurare AD FS, e per impostare AD FS In una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, aD FS è il fornitore di identità e GoTo è il Provider di servizi. Alla fine, GoTo potranno utilizzare AD FS per autenticare gli utenti in prodotti come GoToAssist Supporto remoto v4 utilizzando le asserzioni SAML servite da AD FS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.
Requisiti
I prerequisiti per AD FS 3.0 sono:
- Un certificato attendibile pubblicamente per autenticarti AD FS ai suoi clienti. Il nome del servizio AD FS sarà considerato dal nome del certificato in modo che sia importante che il nome oggetto del certificato sia stato assegnato di conseguenza.
- Il server AD FS deve essere un membro di un dominio Active Directory e un account amministratore di dominio sarà necessario per la configurazione AD FS.
- Una voce DNS sarà necessaria per risolvere il nome host AD FS dal suo client
Un elenco completo e dettagliato dei requisiti può essere verificato nella Panoramica di Microsoft AD FS 3.0.
Installazione
- Avvia l'installazione di AD FS andando a Strumenti amministrativi > Gestione Server > Aggiungi ruoli e funzionalità.
- Nella pagina Seleziona tipo di installazione, seleziona Installazione basata su ruoli o basata su funzionalitàe fai clic su Avanti.
- Nella pagina Selezione server di destinazione, seleziona il server su cui installare il servizio ADFS e fai clic su Avanti.
- Nella pagina Selezione ruoli server, seleziona Active Directory Federation Services e quindi Avanti.
- Nella pagina Seleziona funzionalità, lascia selezionate le impostazioni predefinite, a meno che non ci siano alcune funzionalità aggiuntive che desideri installare, quindi fai clic su Avanti.
- Controlla le informazioni nella pagina Active Directory Domain Services e fai clic su Avanti.
- Avvia l'installazione nella pagina Conferma selezioni per l'installazione.
Configurazione
- In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e fai clic sul link per avviare la procedura di configurazione guidata.
- Nella Ti diamo il benvenuto pagina, seleziona Crea il server federativo in un nuovo farm server federato (a meno che non vi sia un'azienda esistente che stai aggiungendo questo server AD FS).
- In Connettersi a AD FS pagina, seleziona il conto di amministrazione del dominio per eseguire questa configurazione.
- In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
- In Specifica l'account del servizio, seleziona l'account che AD FS userà.
- In Impostazione database di configurazione, seleziona il database da usare.
- Controlla le informazioni in Controlli dei prerequisiti e fai clic su Configura.
Stabilisci la relazione di trust
Ogni parte (AD FS e GoTo) dovrà essere configurato per considerare affidabile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.
Passaggio 1: Configura AD FS per attendibile GoToAssist Supporto remoto v4 SAML
- Vai a Strumenti amministrativi > Gestione AD FS.
- In Gestione AD FS, usa il Azione menu a discesa e seleziona Aggiungi Relying Party Trust. Verrà avviata la procedura guidata di Aggiungi trust relying party.
- Nella pagina Seleziona origine dati della procedura guidata, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
- Nella casella di testo sotto l'opzione selezionata, incolla l'URL dei metadati: https://authentication.logmeininc.com/saml/sp.
- Fai clic su Avanti.
- Salta la pagina Configurare l'autenticazione a più fattori ora?.
- Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l'accesso a questa relying party a meno che non desideri selezionare un'altra opzione.
- Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.
Aggiungi 2 regole di attestazione
Passaggio 2 GoTo a attendibile AD FS
- Vai al Centro organizzativo, all'indirizzohttps://organization.logmeininc.com e usa il modulo Web del provider di identità.
- AD FS pubblica i suoi metadati in un URL standard per inattivazione: (https: /// < nome host >/federationmetadata/ 2_06/federationmetada.xml).
- Se questo URL è pubblicamente disponibile su Internet: Fai clic sulla scheda Provider di identità del Centro organizzativo, seleziona l'opzione Configurazione automatica, quindi incolla l'URL nel campo di testo e al termine fai clic su Salva.
- Se l'URL dei metadati non è disponibile pubblicamente, raccogli l'URL single sign-on e un certificato (per la convalida della firma) da AD FS e inviali utilizzando l'opzione di configurazione manuale nella sezione Fornitore di identità nel Centro organizzativo.
- Per ricevere gli elementi necessari, procedi come segue:
- Per raccogliere l'URL del servizio single sign-on, apri la finestra Gestione AD FS e seleziona la Endpoint cartella per visualizzare un elenco degli endpoint AD FS. Cerca l'endpoint SAML 2.0/tipo federativo WS e copia l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del Single Sign-On nei contenuti XML.
- Per raccogliere il certificato per la convalida della firma, apri la Console di gestione AD FS e seleziona la Certificati cartella per visualizzare i certificati. Cerca il Certificato per la firma di token, fai clic su tale certificato con il pulsante destro del mouse e seleziona Visualizza certificato. Seleziona la scheda Dettagli e quindi l'opzione Copia su file. Utilizzando la procedura guidata di esportazione dei certificati, seleziona Base-64 Encoded X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
- Inserisci l'URL del servizio Single Sign-On e il testo del certificato nei rispettivi campi del Centro organizzativo, quindi fai clic su Salva.
Prova la configurazione
- Per eseguire un test dell'accesso avviato dal provider di identità, vai all'URL personalizzato del tuo provider di identità (ad esempio: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l’identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
- Per eseguire un test dell’accesso avviato dalla relying party, consulta le istruzioni disponibili in Come posso accedere con Single Sign-On?