HELP FILE

使用 ADFS v3.0 设置企业登录

LogMeIn 提供用于轻松管理成千上万个用户及其产品访问权限的管理选项,同时还向您的用户提供单点登录 (SSO)。SSO 确保您的用户能够使用与其他企业应用程序和环境相同的身份提供程序访问其 LogMeIn 产品。LogMeIn 产品的这些功能称为企业登录。

返回到 单点登录

本文档介绍如何配置您的 Active Directory 联合身份验证服务 (ADFS) 以支持对 LogMeIn 产品进行单点登录身份验证。但是,在实施之前,请务必阅读与 企业登录有关的更多信息并完成初始设置步骤。

ADFS 3.0 是 ADFS 2.0 的增强版本。ADFS 3.0 是 Windows Server 2012 R2 的一个 可下载组件。将 Microsoft 的 Internet Information Services (IIS) 服务器包含在部署中,不再单独安装,这是 3.0 的一大优势。与之前的功能相比,增强功能在安装和配置方面都有所差别。

本文介绍如何安装和配置 ADFS 以及如何在与 LogMeIn 企业登录之间的 SAML 信任关系中设置 ADFS。在此信任关系中,ADFS 为身份提供程序,LogMeIn 为服务提供程序。完成时,LogMeIn 将能够使用 ADFS 对用户进行身份验证,使其使用 ADFS 提供服务的 SAML 断言登录到 GoToMeeting 等产品。用户将能够从服务提供程序端或身份提供程序端启动身份验证。

要求

ADFS 3.0 的先决条件包括:

  • 用于对 ADFS 进行身份验证使其登录客户端的公共可信证书。ADFS 服务名称是基于证书的使用者名称推测的,因此,相应地分配证书的使用者名称非常重要。
  • ADFS 服务器需要加入 Active Directory 域,并且配置 ADFS 需要使用域管理员帐户。
  • 需要 DNS 条目才能按客户端解析 ADFS 主机名。

可以在 Microsoft ADFS 3.0 概述中查看完整、详细的要求列表。

安装

1. 通过选择 管理工具 | 服务器管理器 | 添加角色和功能启动 ADFS 3.0 的安装。

2. 在 选择安装类型页面上,选择 基于角色或基于功能的安装并单击 下一步

3. 在 选择目标服务器页面上,选择要在上面安装 ADFS 服务的服务器,然后单击 下一步

4. 在 选择服务器角色页面上,选择 Active Directory 联合身份验证服务,然后单击 下一步

5. 在 选择功能上,除非存在要安装的一些其他功能,否则请保留默认设置,然后单击 下一步

6. 检查 Active Directory 域服务页面上的信息,然后单击 下一步

7. 在 确认安装所选内容页面上启动安装。

配置

1. 在 通知中,您将看到一条警告您还未执行 后期部署配置… 任务的通知。打开该通知并单击链接以启动向导。

2. 在 欢迎页面上,选择 Create the first federation server in a new federation server farm(在新联合服务器场中创建第一个联合服务器)(除非存在您同时要将此 ADFS 服务器添加到的现有场)。

3. 在 Connect to ADFS(连接到 ADFS)页面上,选择用于执行此配置的域管理员帐户。

4. 在 指定服务属性中,指定基于先决条件创建的 SSL 证书。设置 联合身份验证服务名称联合身份验证服务显示名称

5. 在 指定服务帐户中,选择 ADFS 要使用的帐户。

6. 在 指定配置数据库中,选择要使用的数据库。

7. 检查 先决条件检查并单击配置。

建立信任关系

需要将每一方(ADFS 和 LogMeIn)都配置为信任另一方。因此,信任关系配置是一个两步过程。

步骤 1:将 ADFS 配置为信任 LogMeIn SAML

1. 打开 管理工具 | ADFS 管理

2. 在 ADFS 管理中,单击 操作下拉菜单,然后选择 Add Relying Party Trust(添加信赖方信任)。这将启动“Add Relying Party Trust Wizard”(添加信赖方信任向导)。

3. 在向导的 Select Data Source(选择数据源)页面上,选择 Import data about the relying party published online or on a local area network(导入与联机发布或在局域网中发布的信赖方有关的数据),并在所选选项下的文本框中粘贴 LogMeIn 的元数据 URL:
           https://login.citrixonline.com/saml/sp

4. 单击 下一步


5. 跳过 Configure Multi-factor Authentication Now?(立即配置多重身份验证?) 页面。

6. 在 Choose Issuance Authorization Rules(选择颁发授权规则)屏幕中,除非需要其他选项,否则请选择 Permit all users to access this relying party(允许所有用户访问此信赖方)。

7. 逐步完成其余的提示以完成信任关系的这一端。

8. 您现在添加了两条声明规则。

  • 单击新端点条目,然后单击右侧的 Edit Claim Rules(编辑声明规则)。
    选择 Issuance Transform Rules(颁发转换规则)选项卡,然后单击 Add Rule(添加规则)。
    从下拉菜单中选择 Send LDAP Attributes as Claims(发送 LDAP 属性作为声明),然后单击 Next(下一步)。
    • 对规则使用以下设置:
      • 声明规则名称:
                    AD Email(AD 电子邮件)。
      • 属性存储:
                    Active Directory
      • LDAP 属性:
                    E-mail-Addresses(电子邮件地址)。
      • 传出声明类型:
                    E-mail Address(电子邮件地址)。
    • 单击 Finish(完成)。
  • 再次单击 Add Rule(添加规则)。
  • 从下拉菜单中选择“Transform an Incoming Claim”(转换传入声明),然后单击“Next”(下一步)。
    • 使用以下设置:
      • 声明规则名称:
                     Name ID(名称 ID)。
      • 传入声明类型:
                     E-Mail Address(电子邮件地址)。
      • 传出声明类型:
                    Name ID(名称 ID)。
      • 传出名称 ID 格式:
                     Email(电子邮件)。
      • 选择 Pass through all claim values(传递所有声明值)。
    • 单击 Finish(完成)。

20. 右键单击 Relying Party Trusts(信赖方信任)文件夹中的新信赖方信任,然后选择 Properties(属性)。

21. 在 Advanced(高级)中,选择 SHA-1 并单击 OK(确定)。

22. 要默认阻止 ADFS 发送加密断言,请打开 Windows Power Shell 命令提示符并运行以下命令:

set-ADFSRelyingPartyTrust –TargetName"<relyingPartyTrustDisplayName>" –EncryptClaims $False

步骤 2: 将 LogMeIn 配置为信任 ADFS

1. 导航到 LogMeIn 组织中心并使用 身份提供程序 Web 窗体

2. ADFS 默认将其元数据发布为标准 URL: https://<hostname>/federationmetadata/2007-06/federationmetadata.xml

2 a.如果此 URL 已在 Internet 上公开发布,请在组织中心中的 身份提供程序选项卡上选择 自动配置选项并在文本框中粘贴该 URL。单击 保存

2 b.如果元数据 URL 公开发布,请从 ADFS 中收集单点登录 URL 和证书(用于签名验证)并使用组织中心中的 身份提供程序选项卡中的“手动配置”选项进行提交。要收集必要的项目,请执行以下操作:

  • 要收集单点登录服务 URL,请打开“ADFS 管理”窗口并选择终结点文件夹以显示 ADFS 终结点列表。查找 SAML 2.0/WS 联盟类型终结点并从其属性中收集 URL。或者,如果您能够访问标准元数据 URL,请在浏览器中显示 URL 的内容并在 XML 内容中查找单点登录 URL。
  • 要收集证书以用于签名验证,请打开 ADFS 管理控制台并选择证书选项卡以显示这些证书。查找令牌签名证书,右键单击该证书并选择查看证书。选择详细信息选项卡,然后选择复制到文件选项。使用“证书导出向导”,选择 Base-64 编码 X.509 (.Cer)。向文件分配名称以完成将证书导出到文件的操作。

3. 将这些字段导出到组织中心并单击 保存

测试配置

要测试身份提供程序发起的登录,请转至
        https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

您应在 Sign in to one to the following sites(将一个身份提供程序登录到以下站点)下的组合框中看到信赖方标识符。

要测试新来访发起的登录,请转至要登录的 LogMeIn 产品的 Web 登录页面(例如 www.gotomeeting.com),然后在登录页面上单击 使用我的公司 ID 选项。

输入您的电子邮件地址。您应被重定向到 ADFS 服务器,并且系统会提示您登录(或者,如果使用 Windows 集成身份验证,甚至可能会自动将您登录),之后,您将被直接发送到所需的产品。