HELP FILE

Configurare Enterprise Sign-In con ADFS 2.0

La tua organizzazione può gestire con facilità migliaia di utenti e l'accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere ai loro prodotti LogMeIn usando lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.

Il presente documento tratta la configurazione delle tue istanze di Active Directory Federation Service (ADFS) per supportare l'autenticazione Single Sign-On dei prodotti LogMeIn. Tuttavia, prima dell'implementazione assicurati di informarti ulteriormente su Enterprise Sign-In e di completare i passaggi di configurazione iniziali.

ADFS 2.0 è un componente scaricabile per Windows Server 2008 e 2008 R2. È semplice da implementare, ma vi sono diversi passaggi di configurazione che richiedono stringhe specifiche, certificati, URL e così via. ADFS 3.0 è anche supportato per Enterprise Sign-In. ADFS 3.0 presenta diversi miglioramenti, il principale dei quali è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché in una installazione separata.

Nota: puoi passare al punto 4 se hai già implementato ADFS 2.0.

1: Certificato del servizio federativo

Ciascuna implementazione ADFS viene identificata da un nome DNS (ad esempio, “adfs.mydomain.com). Avrai bisogno di un certificato emesso per questo nome soggetto prima di iniziare. Questo identificatore è un nome visibile all'esterno, quindi assicurati di scegliere un nome adeguato a rappresentare la tua azienda per i partner. Inoltre, non utilizzare questo nome anche come nome dell'host server, perché potrebbe causare problemi relativi alla registrazione dei nomi dell'entità servizio (SPN).

Sono disponibili numerosi metodi per la creazione di certificati. Il più semplice, se si dispone di un'autorità di certificazione nel proprio dominio, è usare la console di gestione IIS 7:

  1. Apri lo snap-in di gestione del server Web (IIS).
  2. Seleziona il nodo del server nell'albero di navigazione, quindi l'opzione Certificati server.
  3. Seleziona Crea certificato di dominio.
  4. Immetti il tuo nome di servizio federativo in Nome comune (ad esempio, adfs.mydomain.com).
  5. Seleziona la tua autorità di certificazione di Active Directory.
  6. Immetti un “nome descrittivo” per il certificato (qualsiasi identificatore andrà bene).

Nota: se non hai usato la console IIS per generare il certificato, assicurati che il certificato sia associato al servizio IIS nei server in cui installerai ADFS prima di procedere.

2: Crea un account utente di dominio

I server ADFS richiedono la creazione di un account utente di dominio per eseguire i suoi servizi (non sono richiesti gruppi specifici).

3: Installa il tuo primo server ADFS

  1. Scarica ADFS 2.0 ed esegui il programma di installazione. Assicurati di eseguire il programma di installazione come amministratore di dominio: creerà SPN e altri contenitori in AD.
  2. In Ruolo server, seleziona Server federativo.
  3. Seleziona Avvia lo snap-in di gestione ADFS 2.0 quando si chiude la procedura guidata (Start the ADFS 2.0 Management snap-in when this wizard closes) al termine della procedura guidata.
  4. Nello snap-in di gestione ADFS, fai clic su Crea nuovo servizio federativo (Create new Federation Service).
  5. Seleziona Nuova farm del server federativo (New Federation Server farm).
  6. Seleziona il certificato che hai creato al punto precedente.
  7. Seleziona l'utente del dominio che hai creato nei passaggi precedenti.
 

4: Configura la tua relying party

In questo passaggio indicherai a ADFS i tipi di token SAML accettati dal sistema.

Configura la relazione di trust procedendo come segue:

  1. In MMC per ADFS 2.0, seleziona Relazioni di trust | Trust relying party (Trust Relationships | Relying Party Trusts) nell'albero di navigazione.
  2. Scegli Aggiungi trust relying party (Add Relying Party Trust) e fai clic su Avvia.
  3. In Seleziona origine dati, seleziona Importa dati della relying party pubblicata online o in una rete LAN (Import data about the relying party published online or on a local area network) e nella casella di testo sotto l'opzione selezionata incolla l'URL di metadati: https://authentication.logmeininc.com/saml/sp. Fai clic su Avanti.
  4. Fai clic su OK per confermare che alcuni metadati che ADFS 2.0 non comprende verranno ignorati.
  5. Nella pagina Specifica nome visualizzato, digita LogMeInTrust e quindi Avanti.
  6. Nella schermata Scegli regole di autorizzazione rilascio (Choose Issuance Authorization Rules), scegli Consenti a tutti gli utenti l'accesso a questa relying party (Permit all users to access this relying party) a meno che non desideri selezionare un'altra opzione.
  7. Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.

Aggiungi quindi 2 regole attestazione procedendo come segue:

  1. Fai clic sulla nuova voce dell'endpoint e quindi su Modifica regole attestazione sulla destra.
  2. Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
  3.  Seleziona Inviare attributi LDAP come attestazioni dal menu a discesa e fai clic su Avanti. Usa le seguenti impostazioni per la regola:
    • Nome regola attestazione - E-mail AD
    • Archivio attributi - Active Directory
    • Attributo LDAP - Indirizzi e-mail
    • Tipo di attestazione in uscita - Indirizzo e-mail
  4. Fai clic su Fine.
  5. Fai nuovamente clic su Aggiungi regola.
  6. Seleziona Trasforma attestazione in ingresso nel menu a discesa e fai clic su Avanti. Usa le seguenti impostazioni per la regola:
    • Nome regola attestazione - ID nome
    • Tipo di attestazione in ingresso - Indirizzo e-mail
    • Tipo di attestazione in uscita - ID nome
    • Formato ID nome in uscita - E-mail
  7. Seleziona Pass-through di tutti i valori attestazione.
  8. Fai clic su Fine.

Completa la configurazione procedendo come segue:

  • Fai clic con il pulsante destro del mouse sul nuovo trust della relying party nella cartella Trust relying party e seleziona Proprietà.
  • In Avanzate, seleziona SHA-1 e fai clic su OK.
  • Per impedire ad ADFS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt di comando Windows Power Shell ed esegui il seguente comando:

set-ADFSRelyingPartyTrust –TargetName"" –EncryptClaims $False

 

5: Configura trust

L'ultimo passaggio della configurazione è l'accettazione dei token SAML generati dal nuovo servizio ADFS.

  • Usa la sezione "Provider di identità" nel Centro organizzativo per aggiungere i dettagli necessari.
  • Per ADFS 2.0, seleziona la configurazione “Automatica” e immetti il seguente URL – sostituendo "server" con il nome dell'host accessibile esternamente del tuo server ADFS:
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

6: Esegui un test della configurazione del server

A questo punto dovresti essere in grado di testare la configurazione. Devi creare una voce DNS per l'identità del servizio AD FS, puntando al server AD FS appena configurato, o a un servizio di bilanciamento del carico della rete se ne utilizzi uno.

  • Per eseguire un test dell'accesso avviato dal provider di identità, vai all'URL del provider di identità personalizzato (ad esempio: https://adfs./adfs/ls/ = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l'identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
  • Per eseguire il test dell'accesso avviato dalla relying party, vai alla pagina di accesso del prodotto a cui desideri accedere (come www.gotomeeting.com) e nella pagina di accesso fai clic sull'opzione "Usa ID aziendale". Dopo avere immesso l'indirizzo e-mail, dovresti essere reindirizzato al server ADFS dove ti verrà richiesto di accedere (oppure, se viene usato Windows Integrated Auth, dovresti essere automaticamente connesso a GoToMeeting, GoToWebinar, GoToTraining o OpenVoice).