HELP FILE

Configurar o Logon empresarial usando ADFS 2.0

Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos enquanto também oferece login único (SSO). O SSO garante que seus usuários possam acessar seus produtos LogMeIn usando o mesmo provedor de identidade de seus outros aplicativos empresariais e ambientes. Esses recursos são chamados de Logon empresarial.

Este documento abrange a configuração do Active Directory Federation Services (ADFS) para aceitar autenticação com Logon empresarial para produtos LogMeIn. Antes de implementar, no entanto, lembre-se de ler mais sobre o Logon empresarial e concluir as etapas iniciais.

O ADFS 2.0 é um componente baixável para Windows Server 2008 e 2008 R2. É simples de implantar, mas existem várias etapas de configuração que precisam de cadeias de caracteres, cerfificados e URLs etc. específicas. Também há suporte para Logon empresarial no ADFS 3.0. O ADFS 3.0 possui vários aprimoramentos, sendo o principal deles a inclusão do Internet Information Services (IIS) Server, da Microcosoft, na implantação, e não em uma instalação separada.

Observação: você pode pular a Etapa 4 se já tem o ADFS 2.0 implantado.

Etapa 1: Certificado do Federation Service

Cada implantação do ADFS é identificada por um nome DNS (por exemplo, “adfs.mydomain.com). Você vai precisar de um Certificado emitido para esse Nome de Entidade antes de começar. Esse identificador é um nome visível externamente; por isso, assegure-se de escolher algo adequado para representar sua empresa perante os parceiros. Além disso, não use esse nome também como nome de host de servidor, pois isso pode causar problemas com o registro SPN.

Há vários métodos para gerar certificados. O mais fácil, se você tiver uma Autoridade de Certificado no seu Domínio, é usar o console de gerenciamento IIS 7:

  1. Abra o snap-in de gerenciamento Open Web Server (IIS).
  2. Selecione o nó do servidor na árvore de navegação e a opção Certificados de Servidor.
  3. Selecione Criar Certificado de Domínio.
  4. Insira seu Nome do Serviço de Federação em Nome Comum (por exemplo, adfs.mydomain.com).
  5. Selecione sua Autoridade de Certificado do Active Directory.
  6. Insira um “Nome Amigável” para o Certificado (qualquer identificador serve).

Observação: se você não usou o console do IIS para gerar o certificado, assegure-se de que o certificado tem como destino o serviço IIS nos servidores nos quais você instalará o ADFS antes de prosseguir.

Etapa 2: criar uma conta de usuário do domínio

Os servidores ADFS exigem que você crie uma conta de usuário de domínio para executar seus serviços (nenhum grupo específico é exigido).

Etapa 3: instalar seu primeiro servidor ADFS

  1. Baixe o ADFS 2.0 e execute o instalador. Assegure-se de executar o instalador como Administrador do Domínio – isso criará SPNs e outros contêineres no AD.
  2. Em Função do Servidor, selecione Servidor de Federação.
  3. Marque Iniciar o snap-in ADFS 2.0 Management quando este assistente fechar ao fim do Assistente.
  4. Em snap-in ADFS 2.0 Management, clique em Criar novo Federation Service.
  5. Selecione Farm de novo servidor de federação.
  6. Selecione o Certificado que você criou na etapa anterior.
  7. Selecione o usuário do Domínio que você criou nas etapas anteriores.
 

Etapa 4: configurar sua terceira parte confiável

Nesta etapa, você informará ao ADFS o tipo de tokens SAML aceitos pelo sistema.

Configure a relação de confiança da seguinte forma:

  1. No ADFS 2.0 MMC, selecione Relações de Confiança | Confianças da Terceira Parte Confiável na árvore de navegação.
  2. Escolha Adicionar Confiança da Terceira Parte Confiável e clique em Iniciar.
  3. Em Selecionar Fonte de Dados, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local e, na caixa de texto abaixo da opção selecionada, cole a URL de metadados: https://authentication.logmeininc.com/saml/sp. Clique em Avançar.
  4. Clique em OK para reconhecer que alguns metadados que o ADFS 2.0 não entende serão ignorados.
  5. Na página Especificar Nome para Exibição, digite LogMeInTrust e clique em Avançar.
  6. Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
  7. Siga as instruções das próximas telas para concluir este lado da relação de confiança.

Em seguida, adicione duas regras de declaração, da seguinte forma:

  1. Clique na nova entrada de ponto de extremidade e clique em Editar Regras de Declaração à direita.
  2. Selecione a guia Regras de Transformação de Emissão e clique em Adicionar Regra.
  3. Selecione Enviar Atributos LDAP como Declarações no menu suspenso e clique em Avançar. Use as seguintes configurações para a regra:
    • Nome da regra de declaração - Email do AD
    • Repositório de atributos - Active Directory
    • Atributo LDAP - Endereços de email
    • Tipo de Declaração de Saída - Endereços de email
  4. Clique em Concluir.
  5. Clique em Adicionar Regra novamente.
  6. Selecione Transformar uma Declaração de Entrada no menu suspenso e clique em Avançar. Use as seguintes configurações para a regra:
    • Nome da regra de declaração - ID do nome
    • Tipo de Declaração de Entrada - Endereços de email
    • Tipo de Declaração de Saída - ID do nome
    • Formato de ID do nome de saída - Email
  7. Selecione Passar por todos os valores da declaração.
  8. Clique em Concluir.

Complete a configuração da seguinte forma:

  • Clique com o botão direito do mouse na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
  • Em Avançado, select SHA-1 e clique em OK.
  • Para evitar que o ADFS envie asserções criptografadas por padrão, abra uma janela do prompt de comando do Windows Power Shell e execute o seguinte comando:

set-ADFSRelyingPartyTrust –TargetName"

 

Etapa 5: Configurar confiança

A última etapa da configuração é aceitar os tokens SAML gerados por seu novo serviço ADFS.

  • Use a seção "Provedor de Identidade" do Centro de Organização para adicionar os detalhes necessários.
  • Para o ADFS 2.0, selecione a configuração “Automática” e insira a seguinte URL – substituindo "servidor" pelo nome de host acessível externamente do seu servidor ADFS:
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

Etapa 6: Testar configuração de servidor único

A esta altura, você deve ser capaz de testar a configuração. Você deve criar uma entrada DNS para a identidade do serviço ADFS, apontando para o servidor ADFS que acabou de configurar, ou um balanceador de carga de rede, se estiver usando um.

  • Para testar o login iniciado por Provedor de Identidade, vá para a URL IdP personalizada (exemplo: https://adfs. https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em “Fazer login em um dos seguintes sites”.
  • Para testar o login iniciado por terceira parte confiável, vá para a página de login do produto no qual deseja fazer login (como www.gotomeeting.com) e, na página de login, clique em “Usar ID da minha empresa. Após inserir seu endereço de email, você deverá ser redirecionado para o servidor ADFS e ser solicitado a fazer login (ou, se for usado o Windows Integrated Auth, você deve ser conectado automaticamente no GoToMeeting, GoToWebinar, GoToTraining ou OpenVoice).