HELP FILE


Como usar o ADFS com o Central

Como integrar Central com os Serviços de Federação do Microsoft Active Directory.

Importante: Você só pode efetuar login com o logon único no site. O aplicativo Client não é compatível com o login do logon único.

Pré-requisito: Configurar o ADFS

Configure o ADFS na rede do seu servidor interno antes de seguir adiante.

Um ambiente de federação ao vivo com um servidor com encaminhamento externo do Microsoft Active Directory Federation Services (ADFS) deve ser configurado antes de implementar A autenticação federado do host usando ADFS.

O ADFS é um módulo de software baixado e instalado em sistemas operacionais Windows Server que oferece aos usuários o acesso por logon único a sistemas e aplicativos localizados além dos limites da organização. Para obter mais informações, consulte:

Após a instalação, acesse Iniciar > Ferramentas administrativas > Gerenciamento do AD FS 2.0.
Importante: Confirme se o servidor ADFS está configurado antes de prosseguir com as tarefas restantes.
Importante: Quando os usuários são removidos do Active Directory, eles são não removida do Central.

Tarefa 1: Fornecer informações ao GoTo

Forneça as informações relevantes para GoTo e realizamos ajustes em sua conta. Entre em contato com seu gerente de conta para iniciar o processo do ADFS.

  1. Verificar a propriedade do domínio

    Você deve provar ser o proprietário do domínio antes que o ADFS possa ser ativado em sua conta. Há dois métodos de verificação: Registro HTML e registro DNS.

    Opção Procedimento
    Verificar a propriedade do domínio por Upload HTML
    1. Crie um arquivo HTML com o nome logmein-domain-confirmation.html e carregue-o no site em que você planeja usar seu domínio ADFS.
    2. No arquivo logmein-domain-confirmation.html, inclua uma cadeia de caracteres aleatória. Exemplo: logmein-domain-confirmation jska7893279jkdhkkjdhask
    3. Após criar o logmein-domin-confirmation.html arquivo contendo a sequência de caracteres aleatória, e-mail seu gerente de conta com a sequência de caracteres e confirmará a logmein-domin-confirmation.html está visível e contém as informações corretas.
    Verificar a propriedade do domínio por registro DNS
    1. Crie um registro TXT para a entrada DNS do domínio com o valor logmein-domain-confirmation.
    2. No arquivo logmein-domain-confirmation.txt, inclua uma cadeia de caracteres aleatória. Exemplo: logmein-domain-confirmation jska7893279jkdhkkjdhask
    3. Após criar o logmein-confirmação arquivo contendo a string aleatória, e-mail seu gerente de conta e ele confirmará o logmein-confirmação o arquivo está visível e contém as informações corretas.
    Dica: Se você não tiver um Gerente de Conta, pode contato com o suporte.
  2. Informe o URL do servidor ADFS.

    Você precisa fornecer o URL do terminal do seu servidor proxy ADFS para seu gerente de conta. Para encontrar o URL do ponto de extremidade:

    1. Iniciar o gerenciamento do AD FS 2.0 para Iniciar > Ferramentas administrativas > Gerenciamento do AD FS 2.0.
    2. Acesse Serviço > Propriedades de Editar Serviço de Federação.
    3. Copie o Nome do Serviço de Federação e anexe a /adfs/ls.
  3. Informe os domínios de e-mail.

    Você precisa informar seu gerente de conta qual domínio de e-mail você usará com o login do ADFS. Se você tiver vários domínios, precisa especificar isso para seu gerente de conta.

    Importante: Não altere seu endereço de domínio. Entre em contato com seu gerente de conta se precisar alterar seu endereço de domínio.

  4. Informe seu certificado de autenticação de tokens.

    Você precisa fornecer seu certificado de assinatura de token e fornecer essas informações ao seu gerente de conta. É possível obter informações sobre certificados de autenticação de tokens no site TechNet da Microsoft.

Tarefa 2: Estabelecer um relacionamento com a confiança

Adicione o software host como uma confiança de parceiro de confiança no gerenciamento do AD FS 2.0.

  1. No AD FS 2.0 Management, abra o assistente Adicionar confiança de parceiro de confiança acessando Ação > Adicionar confiança de parceiro de confiança.
  2. Defina os dados da seguinte maneira:
    Tab Entrada ou Ação
    Selecionar fonte de dados Selecione Inserir dados sobre a terceira parte confiável manualmente
    especificar um nome de exibição Informe o Nome de exibição como Autenticação do LogMeIn
    Escolher perfil Selecione Perfil AD FS 2.0
    Configurar URL Informe o URL do ponto de extremidade do Consumidor de Asserção SAML: https://accounts.logme.in/federated/saml2.aspx
    Configurar identificadores O URL a seguir deve ser adicionado à lista de Identificadores da terceira parte confiável: https://accounts.logme.in
    Escolher regras de autorização de emissão Selecione Permitir que todos os usuários acessem esta terceira parte confiável
    Preparar-se para adicionar confiança Selecione Abrir Editar Regras de Declaração
    Concluir Selecione Fechar

Tarefa 3: Permitir que os dados sejam enviados ao GoTo

Adicione uma regra de declaração de transformação para GoTo.

  1. No AD FS 2.0 Management, abra o Assistente de Adicionar regra de declaração de transformação acessando Ação > Editar regras de declaração > Regras de transformação de emissão > Adicionar regra.
  2. Defina os dados da seguinte maneira:
    Tab Entrada ou Ação
    Escolher tipo de regra Em Modelo de regra de declaração, selecione Enviar Atributos LDAP como Declarações
    Configurar regra de declaração Configure o Nome da regra de declaração como E-mail e nome
    Configurar regra de declaração Configure Repositório de atributos como Active Directory
    Configurar regra de declaração Configure os atributos LDAP como:
    • Endereços de E-Mail: Endereço de E-Mail
    • Nome do usuário: Nome de usuário
    • Apelido: Sobrenome
  3. Clique Concluir.

Tarefa 4: Configuração do navegador (opcional)

Descubra o que fazer caso os navegadores não redirecionem automaticamente.

Quando os usuários que já se conectaram ao domínio tentaram efetuar login em um serviço host pelo Internet Explorer e Chrome, o navegador deve reconhecer automaticamente o URL da intranet e usar o NTLM para autenticação do servidor FS. Se o endereço não for reconhecido como parte da intranet, é possível adicionar o FQDN do seu ADFS à zona de intranet local. Esse procedimento pode ser implantado em vários computadores por meio de uma política de grupo. Isso garante que os usuários que já efetuaram login no domínio possam efetuar login em serviços com seu endereço de e-mail de domínio. Eles não precisarão inserir uma senha, pois já estarão autenticados.

Em Internet Explorer, defina o site da Intranet Local em Configurações > Opções da Internet > Segurança > Intranet Local.

No Firefox:

  1. Tipo sobre:configuração na barra de URL e pressione Insira.
  2. Modificar o network.automatically-ntl-auth.trusted-urs para incluir o site da Intranet Local.
  3. Clique em OK.