HELP FILE

Configurare Enterprise Sign-In con ADFS 3.0

La tua organizzazione può gestire con facilità migliaia di utenti e l'accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere ai loro prodotti LogMeIn usando lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.

Il presente documento tratta la configurazione delle tue istanze di Active Directory Federation Service (ADFS) per supportare l'autenticazione Single Sign-On dei prodotti LogMeIn. Tuttavia, prima dell'implementazione assicurati di informarti ulteriormente su Enterprise Sign-In e di completare i passaggi di configurazione iniziali.

ADFS 3.0 è una versione migliorata di ADFS 2.0. È un componente scaricabile per Windows Server 2012 R2. Un enorme vantaggio della versione 3.0 è l'inclusione del server Microsoft Internet Information Services (IIS) Server nell'implementazione anziché come installazione separata. I potenziamenti variano leggermente l'installazione e la configurazione rispetto alla versione precedente.

Questo articolo tratta la modalità di installazione e configurazione di ADFS, e la configurazione di ADFS in una relazione di trust SAML con Enterprise Sign-In. In questa relazione di trust, ADFS è il provider di identità e LogMeIn è il provider di servizi. Alla fine dell'operazione, LogMeIn sarà in grado di usare ADFS per autenticare gli utenti a prodotti come GoToMeeting usando le asserzioni SAML servite da ADFS. Gli utenti saranno in grado di avviare le autenticazioni dal lato del provider di servizi o dal lato del provider di identità.

Argomenti in questo articolo:

Requisiti

Installazione

Configurazione

Stabilire la relazione di trust

Provare la configurazione

 

Requisiti

I prerequisiti per ADFS 3.0 includono:

  • Un certificato pubblicamente attendibile per autenticare ADFS ai propri client. Il nome del servizio ADFS verrà presupposto dal nome del soggetto del certificato quindi è importante che il nome del soggetto del certificato sia assegnato di conseguenza.
  • Il server ADFS dovrà essere membro di un dominio Active Directory e sarà necessario un account di amministratore di dominio per la configurazione di ADFS.
  • Sarà necessaria una voce DNS per risolvere il nome host ADFS dal client

Un elenco completo e dettagliato dei requisiti è disponibile nella panoramica di Microsoft ADFS 3.0.

 

Installazione

  1. Avvia l'installazione di ADFS 3.0 selezionando Strumenti di amministrazione | Server Manager | Aggiungi ruoli e funzionalità.
  2. Nella pagina Seleziona tipo di installazione, seleziona Installazione basata su ruoli o basata su funzionalità e fai clic su Avanti.
  3. Nella pagina Selezione server di destinazione, seleziona il server su cui installare il servizio ADFS e fai clic su Avanti.
  4. Nella pagina Selezione ruoli server, seleziona Active Directory Federation Services e quindi Avanti.
  5. Nella pagina Seleziona funzionalità, lascia selezionate le impostazioni predefinite, a meno che non ci siano alcune funzionalità aggiuntive che desideri installare, quindi fai clic su Avanti.
  6. Controlla le informazioni nella pagina Active Directory Domain Services e fai clic su Avanti.
  7. Avvia l'installazione nella pagina Conferma selezioni per l'installazione.
 

Configurazione

  1. In Notifiche sarà presente una notifica che ti avvisa della presenza di un'attività rimanente di Configurazione post-distribuzione. Aprila e fai clic sul collegamento per avviare l'installazione guidata.
  2. Nella pagina iniziale, seleziona Crea il primo server federativo in una server farm federativa (a meno che non vi sia una farm esistente che stai aggiungendo anche a questo server ADFS).
  3. Nella pagina Collegati ad ADFS (Connect to ADFS), seleziona l'account dell'amministratore di dominio per eseguire questa configurazione.
  4. In Impostazione proprietà del servizio, specifica il certificato SSL creato dai prerequisiti. Imposta il Nome servizio federativo e Nome visualizzato del servizio federativo.
  5. In Impostazione account del servizio, seleziona l'account che verrà utilizzato da ADFS.
  6. In Impostazione database di configurazione, seleziona il database da usare.
  7. Controlla le informazioni in Controlli dei prerequisiti e fai clic su Configura.
 

Stabilire la relazione di trust

Sarà necessario configurare ogni parte (ADFS e LogMeIn) in modo che consideri attendibile l'altra parte. Perciò, la configurazione della relazione di trust è un processo in due passaggi.

1: Configura ADFS affinché consideri attendibile SAML LogMeIn

  1. Apri Strumenti di amministrazione | Gestione ADFS (ADFS Management).
  2. In Gestione ADFS, apri il menu a discesa Azione e seleziona Aggiungi trust relying party. Verrà avviata la procedura guidata Aggiungi trust relying party.
  3. In Seleziona origine dati, seleziona Importa dati della relying party pubblicata online o in una rete LAN e nella casella di testo sotto l'opzione selezionata incolla l'URL dei metadati:

    https://authentication.logmeininc.com/saml/sp.

  4. Fai clic su Avanti.
  5. Salta la pagina Configurare l'autenticazione a più fattori?.
  6. Nella schermata Scegli regole di autorizzazione rilascio (Choose Issuance Authorization Rules), scegli Consenti a tutti gli utenti l'accesso a questa relying party (Permit all users to access this relying party) a meno che non desideri selezionare un'altra opzione.
  7. Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.
  8. Aggiungi ora due regole di attestazione.
  9. Fai clic sulla nuova voce dell'endpoint e quindi su Modifica regole attestazione sulla destra.
  10.  Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
  11.  Seleziona Inviare attributi LDAP come attestazioni dal menu a discesa e fai clic su Avanti.
  12. Usa le seguenti impostazioni per la regola:
Nome regola attestazione E-mail AD
Archivio attributi Active Directory
Attributo LDAP Indirizzi e-mail
Tipo di attestazione in uscita Indirizzo e-mail
  1. Fai clic su Fine.
  2. Fai nuovamente clic su Aggiungi regola.
  3. Seleziona Trasforma attestazione in ingresso nel menu a discesa e fai clic su Avanti.
  4. Usa le seguenti impostazioni: 
Nome regola attestazione ID nome
Tipo di attestazione in ingresso Indirizzo e-mail
Tipo di attestazione in uscita ID nome
Formato ID nome in uscita E-mail
  1. Seleziona Pass-through di tutti i valori attestazione.
  2. Fai clic su Fine.
  3. Fai clic con il pulsante destro del mouse sul nuovo trust della relying party nella cartella Attendibilità componente e selezionare Proprietà.
  4. In Avanzate, seleziona SHA-1 e fai clic su OK.
  5. Per impedire ad ADFS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt di comando Windows Power Shell ed esegui il seguente comando:

    set-ADFSRelyingPartyTrust –TargetName"" –EncryptClaims $False

2. Configura LogMeIn affinché consideri attendibile ADFS

  1. Vai al Centro organizzativo e usa il modulo Web del provider di identità.
  2. ADFS pubblica i suoi metadati in un URL standard per impostazione predefinita: https:///federationmetadata/2007-06/federationmetadata.xml.
    1. Se tale URL è disponibile pubblicamente su Internet, nella scheda Provider di identità del Centro organizzativo seleziona l'opzione Configurazione automatica e incolla l'URL nella casella di testo. Fai clic su Salva.
    1. Se l'URL di metadati non è disponibile pubblicamente, raccogli l'URL single-sign-on e un certificato (per la convalida della firma) da ADFS e inviali usando l'opzione di configurazione manuale nella scheda Provider di identità nel Centro organizzativo.
  3. Per ricevere le voci necessarie, procedi come segue:
    • Per ricevere l'URL del servizio single-sign-on, apri la finestra di gestione ADFS e seleziona la cartella Endpoint per visualizzare un elenco degli endpoint di ADFS. Cerca l'endpoint SAML 2.0/tipo federativo WS e acquisici l'URL dalle sue proprietà. In alternativa, se hai accesso all'URL standard dei metadati, visualizza i contenuti dell'URL in un browser e cerca l'URL del single-sign-on nei contenuti XML.
    • Per acquisire il certificato per la convalida della firma, apri la ADFS Management Console e seleziona la cartella Certificati per visualizzare i certificati. Cerca il certificato per la firma di token, fai clic su di esso con il pulsante destro del mouse e seleziona Visualizza certificato. Seleziona la scheda Dettagli e quindi l'opzione Copia su file. Utilizzando la procedura guidata di esportazione dei certificati, seleziona Base-64 Encoded X.509 (.Cer). Assegna un nome al file per completare l'esportazione del certificato in un file.
  4. Inserisci questi campi nel Centro organizzativo e fai clic su Salva.
 

Provare la configurazione

Per eseguire un test dell'accesso avviato dal provider di identità, passa a

https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

Dovresti vedere l'identificatore della relying party in una casella combinata in Accedi a uno dei seguenti siti.

Per eseguire il test dell'accesso avviato dalla relying party, vai alla pagina di accesso Web del prodotto LogMeIn a cui desideri accedere (come www.gotomeeting.com) e nella pagina di accesso fai clic sull'opzione Usa ID aziendale.

Immetti l'indirizzo e-mail. Dovresti essere reindirizzato al server ADFS, dove ti verrà richiesto di accedere (o ciò potrebbe avvenire automaticamente se è utilizzato il metodo di autenticazione integrata di Windows) e quindi verrai indirizzato direttamente al prodotto desiderato.