HELP FILE

使用 ADFS v2.0 设置企业登录

LogMeIn 提供用于轻松管理成千上万个用户及其产品访问权限的管理选项,同时还向您的用户提供单点登录 (SSO)。SSO 确保您的用户能够使用与其他企业应用程序和环境相同的身份提供程序访问其 LogMeIn 产品。LogMeIn 产品的这些功能称为企业登录。

返回到“单点登录”

本文档介绍如何配置您的 Active Directory 联合身份验证服务 (ADFS) 以支持对 LogMeIn 产品进行单点登录身份验证。但是,在实施之前,请务必阅读与 企业登录有关的更多信息并完成初始设置步骤。

ADFS 2.0 是 Windows Server 2008 和 2008 R2 的一个 可下载组件。此组件易于部署,但是有多个配置步骤需要特定字符串、证书或 URL 等。企业登录还支持 ADFS 3.0。ADFS 3.0 具有多种改进功能,最大的改进功能是将 Microsoft 的 Internet Information Services (IIS) 服务器包含在部署中,不再单独安装。

注意:如果已部署 ADFS 2.0,可以跳至 步骤 4

步骤 1:联合身份验证服务证书

每个 ADFS 部署都是通过 DNS 名称标识的(例如,adfs.mydomain.com)。您需要在开始之前为此使用者名称颁发一个证书。此标识符是一个外部可见的名称,因此,请务必选取恰当的、能够向合作伙伴展示贵公司的名称。此外,请勿使用此名称作为服务器主机名,否则会导致服务主体名称 (SPN) 注册出现问题。

可以通过多种方法生成证书。如果您的域中包含证书颁发机构,则使用 IIS 7 管理控制台是最简单的一种方法:

  • 打开 Web 服务器 (IIS) 管理管理单元。
  • 在导航树中选择服务器节点,然后选择服务器证书选项。
  • 选择创建域证书
  • 在“公用名”中输入您的联合身份验证服务名称(例如 adfs.mydomain.com)。
  • 选择 Active Directory 证书颁发机构。
  • 输入证书的“友好名称”(任何标识符都可以)。

注意:如果未使用 IIS 控制台生成证书,请务必在继续操作之前将证书绑定到要安装 ADFS 的服务器中的 IIS 服务。

步骤 2:创建域用户帐户

ADFS 服务器要求您创建一个域用户帐户以运行其服务(不需要特定的组)。

步骤 3:安装第一个 AD FS 服务器

  • 下载 ADFS 2.0 并运行安装程序。请务必以域管理员身份运行安装程序,这将在 AD 中创建 SPN 及其他容器。
  • 在“服务器角色”中,选择联合服务器
  • 在向导结束时选中 Start the ADFS 2.0 Management snap-in when this wizard closes(在此向导关闭时启动 ADFS 2.0 管理管理单元)。
  • 在“ADFS Management”(ADFS 管理)管理单元中,单击 Create new Federation Service(创建新联合身份验证服务)。
  • 选择 New Federation Server farm(新建联合服务器场)。
  • 选择在上一步中创建的证书。
  • 选择在上一步中创建的域用户。

步骤 4:配置信赖方

在此步骤中,您会将 LogMeIn 系统接受的 SAML 令牌类型告知 ADFS。在 ADFS 2.0 MMC 中:

  • 在导航树中选择信任关系 | 信赖方信任
  • 选择 Add Relying Party Trust(添加信赖方信任)并单击 Start(开始)。
  • Select Data Source(选择数据源)中,选择 Enter data about the relying party manually(手动输入与信赖方有关的数据)并单击 Next(下一步)。
  • 输入 Display name identifier(显示名称标识符)(例如,LogMeIn GoToMeeting)并单击 Next(下一步)。
  • 选择 AD FS 2.0 profile (AD FS 2.0 配置文件)并单击 Next(下一步)。
  • Configure Certificate(配置证书)上,单击 Next(下一步)但不输入任何内容。
  • 选中 Enable support for the SAML 2.0 WebSSO protocol(启用对 AML 2.0 WebSSO 协议的支持),并使用下面的其中一个 URL 作为 Relying party SAML 2.0 SSO Service URL(信赖方 SAML 2.0 SSO 服务 URL):
    • GoToMeeting
                https://login.citrixonline.com/saml/global.gotomeeting.com/acs
    • GoToWebinar
                https://login.citrixonline.com/saml/global.gotowebinar.com/acs
    • GoToTraining
                https://login.citrixonline.com/saml/global.gototraining.com/acs
    • OpenVoice
                 https://login.citrixonline.com/saml/global.openvoice.com/acs
    • GoToAssist (Remote Support/Service Desk/Monitoring)
                 https://login.citrixonline.com/saml/app.gotoassist.com/acs
  • 单击 Next(下一步)。
  • 选择 Permit all users to access this relying party(允许所有用户访问此信赖方)并单击 Next(下一步)。
  • 检查详细信息并单击 Next(下一步)。
  • 取消选中 Open the the Edit Claim Rules dialog for this relying party trust when the wizard closes(在向导关闭时打开此信赖方信任的“编辑声明规则”对话框),然后单击 Close(关闭)。

您应在 Relying Party Trusts(信赖方信任)下看到新的信赖方条目。

  • 右键单击新信赖方并选择 Properties(属性)。
  • 单击 Advanced(高级)并从 Secure hash algorithm(安全哈希算法)下拉菜单中选择SHA-1
  • 选择 Signature(签名)选项卡,然后单击 Add(添加)。
  • 从以下网址下载证书:
               https://citrix.sharefile.com/d-sd1497acbf2f41d3b
  • 浏览到下载的证书并选择该证书。
  • 选择 Endpoint(端点)选项卡,然后单击 Add(添加)。
  • 对新端点使用以下设置:
    • 端点类型:
      SAML Assertion Consumer(SAML 断言使用者)
    • 绑定:
                 POST
    • 索引:
                  1
    • URL:
                  https://login.citirixonline.com/saml/acs
  • 单击 OK(确定)进行保存。

您现在添加了两条声明规则。

  • 单击新端点条目,然后单击右侧的 Edit Claim Rules(编辑声明规则)。
  • 选择 Issuance Transform Rules(颁发转换规则)选项卡,然后单击 Add Rule(添加规则)。
  • 从下拉菜单中选择 Send LDAP Attributes as Claims(发送 LDAP 属性作为声明),然后单击 Next(下一步)。
  • 对规则使用以下设置:
    • 声明规则名称:
      AD Email(AD 电子邮件)。
    • 属性存储:
                  Active Directory
    • LDAP 属性:
      E-mail-Addresses(电子邮件地址)。
    • 传出声明类型:
                  E-mail Address(电子邮件地址)。
  • 单击 Finish(完成)。
  • 再次单击 Add Rule(添加规则)。
  • 从下拉菜单中选择 Transform an Incoming Claim(转换传入声明),然后单击 Next(下一步)。
  • 使用以下设置:
    • 声明规则名称:
                   Name ID(名称 ID)。
    • 传入声明类型:
      E-Mail Address(电子邮件地址)。
    • 传出声明类型:
                  Name ID(名称 ID)。
    • 传出名称 ID 格式:
                   Email(电子邮件)。
    • 选择 Pass through all claim values(传递所有声明值)。
  • 单击 Finish(完成)。

您随后应验证或创建允许用户进行访问规则。

  • 选择 Issuance Authorization Rules(颁发授权规则)选项卡。
  • 验证是否存在名为 Permit Access to All Users(允许访问所有用户)的规则。如果不存在,请使用 Add Rule(添加规则)创建该规则。

步骤 5:配置信任

最后一个配置步骤为告知 LogMeIn 接受您的新 AD FS 服务生成的 SAML 令牌。

  • 使用组织中心中的“身份提供程序”部分可添加所需的详细信息。
  • 对于 ADFS 2.0,请选择“自动”配置并输入以下 URL(将 server 替换为 ADFS 服务器的外部可访问的主机名):
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

步骤 6:测试单服务器配置

此时您应能够测试配置。必须为 AD FS 服务标识创建一个 DNS 条目,指向您刚刚配置的 AD FS 服务器或网络负载平衡器(如果正在使用)。

  • 要测试身份提供程序发起的登录,请转至 https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx。您应在“Sign in to one to the following sites”(将一个身份提供程序登录到以下站点)下的组合框中看到信赖方标识符。
  • 要测试信赖方发起的登录,请转至要登录的 LogMeIn 产品的产品登录页面(例如 www.gotomeeting.com),然后在登录页面上单击“使用我的公司 ID”选项。输入您的电子邮件地址后,系统应将您重定向到 ADFS 服务器并提示您登录(或者,如果使用 Windows 集成身份验证,您应自动登录到 GoToMeeting、GoToWebinar、GoToTraining 或 OpenVoice)。