HELP FILE

Configurar o Logon empresarial usando ADFS 3.0

Sua organização pode gerenciar facilmente milhares de usuários e seu acesso a produtos enquanto também oferece login único (SSO). O SSO garante que seus usuários possam acessar seus produtos LogMeIn usando o mesmo provedor de identidade de seus outros aplicativos empresariais e ambientes. Esses recursos são chamados de Logon empresarial.

Este documento abrange a configuração do Active Directory Federation Services (ADFS) para aceitar autenticação com Logon empresarial para produtos LogMeIn. Antes de implementar, no entanto, lembre-se de ler mais sobre o Logon empresarial e concluir as etapas iniciais.

O ADFS 3.0 é uma versão aprimorada do ADFS 2.0. Ele é um componente baixável para Windows Server 2012 R2. Uma das grandes vantagens do 3.0 é a inclusão do Internet Information Services (IIS) Server, da Microcosoft, na implantação, e não em uma instalação separada. As melhorias variam a instalação e a configuração em relação ao seu predecessor.

Este artigo descreve como instalar e configurar o ADFS e como configurar o ADFS em uma relação de confiança SAML com Logon empresarial. Nesta relação de confiança, o ADFS é o Provedor de Identidade e o LogMeIn é o Provedor de Serviço. Ao fim, o LogMeIn será capaz de usar o ADFS para autenticar os usuários em produtos como o GoToMeeting usando asserções SAML oferecidas pelo ADFS. Os usuários poderão iniciar autenticações do lado do Provedor de Serviço ou do lado do Provedor de Identidade.

Tópicos neste artigo:

Requisitos

Instalação

Configuração

Estabelecer relação de confiança

Testar a configuração

 

Requisitos

Entre os pré-requisitos do ADFS 3.0 estão:

  • Um certificado publicamente confiável para autenticar o ADFS para seus clientes. O nome de serviço do ADFS será suposto a partir do nome da entidade do certificado, por isso é importante que o nome da entidade do certificado seja atribuído adequadamente.
  • O servidor ADFS precisará ser membro de um domínio do Active, e será necessária uma conta de administrador de domínio para a configuração do ADFS.
  • Uma entrada DNS será necessária para resolver o nome de host do ADFS por seu cliente

Uma lista completa e detalhada dos requisitos pode ser encontrada em visão geral do Microsoft ADFS 3.0.

 

Instalação

  1. Comece a instalação do ADFS 3.0 selecionando Ferramentas Administrativas | Gerenciador de Servidores | Adicionar funções e recursos.
  2. Na página Selecionar tipo de instalação, selecione Instalação baseada em função ou recurso e clique em Avançar.
  3. Na página Selecionar servidor de destino, selecione o servidor no qual será instalado o serviço ADFS e clique em Avançar.
  4. Na página Selecionar funções de servidor, selecione Active Directory Federation Services e clique em Avançar.
  5. Em Selecionar recursos, a menos que haja alguns recursos adicionais que você deseje instalar, deixe os padrões e clique em Avançar.
  6. Releia as informações da página Active Directory Domain Services e clique em Avançar.
  7. Inicie a instalação na página Confirmar seleções de instalação.
 

Configuração

  1. Nas suas Notificações, haverá uma notificação alertando que você tem uma tarefa de Configuração Pós-implantação… restante. Abra-a e clique no link para iniciar o assistente.
  2. Na página Boas-vindas, selecione Criar o primeiro servidor de federação em um farm de servidores de federação (salvo se já houver um ao qual que você também está adicionando este servidor ADFS).
  3. Na página Conectar ao ADFS, selecione a conta de administrador do domínio para realizar essa configuração.
  4. Em Especificar Propriedades do Serviço, especifique o Certificado SSL criado dos pré-requisitos. Defina o Nome do Serviço de Federação e o Nome para exibição do Serviço de Federação.
  5. Em Especificar Conta de Serviço, selecione a conta que será usada pelo ADFS.
  6. Em Especificar Banco de Dados de Configuração, selecione o banco de dados a ser usado.
  7. Releia as informações de Verificações de Pré-requisitos e clique em configurar.
 

Estabelecer relação de confiança

Cada parte (ADFS e LogMeIn) precisará ser configurada para confiar na outra parte. Portanto, a configuração da relação de confiança é um processo de duas vias.

Etapa 1: Configurar o ADFS para confiar no SAML LogMeIn

  1. Abra Ferramentas Administrativas | Gerenciamento do ADFS.
  2. Em Gerenciamento do ADFS, clique no menu suspenso Ação e selecione Adicionar Confiança da Terceira Parte Confiável. Isso iniciará o Assistente para Adicionar Confiança da Terceira Parte Confiável.
  3. Na página Selecionar Fonte de Dados do assistente, selecione Importar dados sobre a terceira parte confiável publicados online ou em uma rede local e, na caixa de texto abaixo da opção selecionada, cole a URL de metadados:
               https://authentication.logmeininc.com/saml/sp.
  4. Clique em Avançar.
  5. Pule a página Configurar a Autenticação Multi-fator Agora?.
  6. Na tela Escolher Regras de Autorização de Emissão, escolha Permitir que todos os usuários acessem esta terceira parte confiável, a menos que outra opção seja desejada.
  7. Siga as instruções das próximas telas para concluir este lado da relação de confiança.
  8. Agora você adiciona duas regras de declaração.
  9. Clique na nova entrada de ponto de extremidade e clique em Editar Regras de Declaração à direita.
  10. Selecione a guia Regras de Transformação de Emissão e clique em Adicionar Regra.
  11. Selecione Enviar Atributos LDAP como Declarações no menu suspenso e clique em Avançar.
  12. Use as seguintes configurações para a regra:
    • Nome da regra de declaração:
                  Email do AD.
    • Repositório de atributos:
                  Active Directory.
    • Atributo LDAP:
                  Endereços de email.
    • Tipo de Declaração de Saída:
                  Endereços de email.
  13. Clique em Concluir.
  14. Clique em Adicionar Regra novamente.
  15. Selecione Transformar uma Declaração de Entrada no menu suspenso e clique em Avançar.
  16. Use as seguintes configurações:
    • Nome da regra de declaração:
                   ID do nome.
    • Tipo de Declaração de Entrada:
                   Endereços de email.
    • Tipo de Declaração de Saída:
                  ID do nome.
    • Formato de ID do nome de saída:
                   Email.
    • Selecione Passar por todos os valores da declaração.
    • Clique em Concluir.
  17. Clique com o botão direito do mouse na nova terceira parte confiável na pasta Confianças da Terceira Parte Confiável e selecione Propriedades.
  18. Em Avançado, select SHA-1 e clique em OK.
  19. Para evitar que o ADFS envie asserções criptografadas por padrão, abra uma janela do prompt de comando do Windows Power Shell e execute o seguinte comando:

    set-ADFSRelyingPartyTrust –TargetName "

Etapa 2: configurar o LogMeIn para confiar no ADFS

  1. Navegue para o Centro de Organização e use o formulário da Web do Provedor de Identidade.
  2. O ADFS publica seus metadados em uma URL padrão: https:// .
    1. Se essa URL estiver publicamente disponível, na guia Provedor de Identidade do Centro de Organização selecione a opção Configuração automática e cole a URL na caixa de texto. Clique em Salvar.
    1. Se a URL de metadados não estiver disponível publicamente, colete a URL de login único e um certificado (para validação da assinatura) do ADFS e envie tudo usando a opção de configuração Manual da guia Provedor de Identidade do Centro da Organização.
  3. Para coletar os itens necessários, faça o seguinte:
    • Para coletar a URL do serviço de login único, abra a janela do ADFS Management e selecione a pasta Endpoints para exibir uma lista dos pontos de extremidade do ADFS. Procure o ponto de extremidade Tipo de federação SAML 2.0/WS e colete a URL de suas propriedades. Como alternativa, se você tem acesso à URL de metadados, exiba o conteúdo da URL em um navegador e procure a URL do login único no conteúdo XML.
    • Para coletar o certificado de validação da assinatura, abra o Console de Gerenciamento do ADFS e selecione a pasta Certificados para exibir os certificados. Procure o Certificado de autenticação de tokens, clique nele com o botão direito do mouse e selecione Exibir Certificado. Selecione a guia Detalhes e, em seguida, a opção Copiar para arquivo. Usando o assistente de exportação de certificados, selecione X.509 codificado na base 64 (*.cer). Atribua um nome ao arquivo para concluir a exportação do certificado para um arquivo.
  4. Insira esses campos no Centro da Organização e clique em Salvar.
 

Testar a configuração

Para testar o login iniciado por Provedor de Identidade, vá para a
       https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

Você deve ver o identificador da terceira parte confiável em uma caixa de combinação em Fazer login em um dos seguintes sites.

Para testar o login iniciado por terceira parte confiável, vá para a página de login na Web do produto LogMeIn no qual deseja fazer login (como www.gotomeeting.com) e, na página de login, clique em Usar ID da minha empresa.

Insira seu endereço de email. Você deverá ser redirecionado para o servidor ADFS e solicitado a fazer login (ou, se estiver sendo usado o Windows Integrated Auth, isso pode ser feito automaticamente), após o qual será enviado diretamente para o seu produto desejado.