Einrichten von Enterprise-Sign-On mit AD FS 2.0 - GoToMeeting

Hier finden Sie Antworten auf Ihre Fragen

Durchsuchen Sie GoToMeeting -Artikel, -Videos und -Benutzerhandbücher   Ihr Suchbegriff muss aus mindestens 2 Zeichen bestehen

Artikel durchsuchen

 

Einrichten von Enterprise-Sign-On mit AD FS v2.0

Citrix bietet administrative Optionen für die einfache Verwaltung von Tausenden von Benutzern und deren Produktzugriff und gewährleistet ebenso die Single-Sign-On-Anmeldung (SSO) für die Benutzer. Mithilfe von SSO wird sichergestellt, dass die Benutzer über denselben Identitätsanbieter auf die Citrix Mobility-Produkte zugreifen wie auf die anderen Anwendungen und Umgebungen im Unternehmen. Diese Funktionalität für Citrix Produkte wird als "Enterprise-Sign-On" bezeichnet.

Zurück zum Inhaltsverzeichnis von Single-Sign-On

In diesem Artikel wird erläutert, wie die Active Directory-Verbunddienste (AD FS) zur Authentifizierung mit Single-Sign-On für Citrix Produkte konfiguriert werden müssen. Vor der Implementierung empfiehlt es sich, die Informationen über Enterprise-Sign-On zu lesen und die einleitenden Einrichtungsschritte durchzuführen.

AD FS 2.0 ist eine herunterladbare Komponente für Windows Server 2008 und 2008 R2. Sie ist einfach zu implementieren, aber für einige Konfigurationsschritte werden bestimmte Zeichenfolgen, Zertifikate, URLs usw. benötigt. AD FS 3.0 wird für Enterprise-Sign-On ebenfalls unterstützt. AD FS 3.0 bietet mehrere Verbesserungen, vor allem die, dass der Server für die Microsoft Internetinformationsdienste (IIS) in der Bereitstellung inbegriffen ist und nicht separat installiert werden muss.

Hinweis: Wird AD FS 2.0 bereits bereitgestellt, können Sie mit Schritt 4 fortfahren.

Schritt 1: Verbunddienstzertifikat

Jede AD FS-Bereitstellung wird durch einen DNS-Namen (z. B. “adfs.mydomain.com) identifiziert. Bevor Sie beginnen, benötigen Sie ein Zertifikat, das auf diesen Antragstellernamen ausgestellt ist. Hierbei handelt es sich um einen extern sichtbaren Namen, wählen Sie daher einen Namen, der Ihr Unternehmen den Partnern gegenüber deutlich kennzeichnet. Außerdem darf dieser Name nicht als Serverhostname verwendet werden, da dadurch Probleme mit der Registrierung von Dienstprinzipalnamen (SPN) entstehen.

Es gibt viele Methoden zum Generieren von Zertifikaten. Am einfachsten ist die Verwendung der IIS 7-Verwaltungskonsole, vorausgesetzt, Ihre Domäne verfügt über eine Zertifizierungsstelle:

  • Öffnen Sie das Webserver(IIS)-Verwaltungs-Snap-In.
  • Wählen Sie den Serverknoten in der Navigationsstruktur und dann die Option Serverzertifikate aus.
  • Wählen Sie Domänenzertifikat erstellen aus.
  • Geben Sie Ihren Verbunddienstnamen unter "Allgemeiner Name" ein (z. B. adfs.mydomain.com).
  • Wählen Sie die Active Directory-Zertifizierungsstelle aus.
  • Geben Sie einen Anzeigenamen für das Zertifikat ein (beliebig).

Hinweis: Wenn das Zertifikat nicht mit der IIS-Konsole erstellt wurde, überprüfen Sie, ob das Zertifikat in den Servern, die für die Installation von AD FS vorgesehen sind, an den IIS-Dienst gebunden ist. Setzen Sie den Vorgang dann fort.

Schritt 2: Erstellen eines Domänenbenutzerkontos

Zur Verwendung von AD FS-Servern muss ein Domänenbenutzerkonto erstellt werden, unter dem die Dienste ausgeführt werden (es sind keine bestimmten Gruppen erforderlich).

Schritt 3: Installieren des ersten AD FS-Servers

  • Laden Sie AD FS 2.0 herunter, und führen Sie das Installationsprogramm aus. Stellen Sie sicher, dass Sie das Installationsprogramm als Domänenadministrator ausführen, damit SPN und andere Container in AD erstellt werden.
  • Wählen Sie als In Serverrolle die Option Verbundserver.
  • Aktivieren Sie die Option AD FS 2.0 Verwaltungs-Snap-In starten, wenn dieser Assistent geschlossen wird.
  • Klicken Sie im AD FS Verwaltungs-Snap-In auf Neuen Verbunddienst erstellen.
  • Wählen Sie Neue Verbundserverfarm aus.
  • Wählen Sie das Zertifikat aus, die Sie im vorherigen Schritt erstellt haben.
  • Wählen Sie den Domänenbenutzer aus, den Sie im vorherigen Schritt erstellt haben.

Schritt 4: Konfigurieren einer vertrauenden Seite

In diesem Schritt teilen Sie AD FS mit, welche Art von SAML-Token vom Citrix System akzeptiert werden. AD FS 2.0 MMC:

  • Wählen Sie die Vertrauensstellungen | Vertrauensstellung der vertrauende Seite in der Navigationsstruktur aus.
  • Wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus, und klicken Sie auf Starten.
  • Wählen Sie unter Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben, und klicken Sie auf Weiter.
  • Geben Sie einen Anzeigenamen ein (z. B. Citrix GoToMeeting) und klicken Sie auf Weiter.
  • Klicken Sie auf AD FS 2.0-Profil, und klicken Sie auf Weiter.
  • Klicken Sie unter Zertifikat konfigurieren auf Weiter ohne etwas einzugeben.
  • Aktivieren Sie Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren und verwenden Sie eine der unten aufgeführten URLs für Vertrauende Seite SAML 2.0 SSO-Dienst-URL:
    • GoToMeeting
                https://login.citrixonline.com/saml/global.gotomeeting.com/acs
    • GoToWebinar
                https://login.citrixonline.com/saml/global.gotowebinar.com/acs
    • GoToTraining
                https://login.citrixonline.com/saml/global.gototraining.com/acs
    • OpenVoice
                 https://login.citrixonline.com/saml/global.openvoice.com/acs
    • GoToAssist (Remote Support/Service Desk/Monitoring)
                 https://login.citrixonline.com/saml/app.gotoassist.com/acs
  • Klicken Sie auf Weiter.
  • Wählen Sie Allen Benutzern Zugriff auf diese vertrauende Seite gewähren aus, und klicken Sie auf Weiter.
  • Überprüfen Sie die Angaben und klicken Sie auf Weiter.
  • Deaktivieren Sie die Option Öffnen des Dialogfelds zum Bearbeiten der Anspruchsregeln für diese Vertrauensstellung der vertrauenden Seite, wenn der Assistent geschlossen wird, und klicken Sie auf Schließen.

Der Eintrag für die neue vertrauende Seite wird unter Vertrauensstellung der vertrauenden Seite angezeigt.

  • Klicken Sie mit der rechten Maustaste auf die neue vertrauende Seite und wählen Sie Eigenschaften aus.
  • Klicken Sie auf Erweitert, und wählen Sie SHA-1 aus der Dropdownliste Sicherer Hashalgorithmus aus.
  • Öffnen Sie die Registerkarte Signatur, und klicken Sie auf Hinzufügen.
  • Laden Sie das Zertifikat herunter:
                https://citrix.sharefile.com/d-s4ce11571a4c444f8
  • Navigieren Sie zu dem heruntergeladenen Zertifikat und wählen Sie es aus.
  • Öffnen Sie die Registerkarte Endpunkt, und klicken Sie auf Hinzufügen.
  • Verwenden Sie die folgenden Einstellungen für den neuen Endpunkt:
    • Endpunkttyp:
      SAML Assertion Consumer
    • Bindung:
                 POST
    • Index:
                  1
    • URL:
                  https://login.citirixonline.com/saml/acs
  • Klicken Sie zum Speichern auf OK.

Fügen Sie nun zwei Anspruchsregeln hinzu.

  • Klicken Sie auf den neuen Endpunkteintrag, und klicken Sie rechts auf Anspruchsregeln bearbeiten.
  • Öffnen Sie die Registerkarte Ausstellungstransformationsregeln, und klicken Sie auf Regel hinzufügen.
  • Wählen Sie LDAP-Attribute als Ansprüche senden aus der Dropdownliste aus, und klicken Sie auf Weiter.
  • Verwenden Sie die folgenden Einstellungen für die Regel:
    • Name der Anspruchsregel:
      AD Email.
    • Attributspeicher:
                  Active Directory.
    • LDAP-Attribut:
      E-mail-Addresses.
    • Typ des ausgehenden Anspruchs:
                  E-mail Address.
  • Klicken Sie auf Fertig stellen.
  • Klicken Sie erneut auf Regel hinzufügen.
  • Wählen Sie Transformieren eines eingehenden Anspruchs aus der Dropdownliste aus, und klicken Sie auf Weiter.
  • Verwenden Sie die folgenden Einstellungen:
    • Name der Anspruchsregel:
                   Name ID.
    • Typ des eingehenden Anspruchs:
      E-Mail Address.
    • Typ des ausgehenden Anspruchs:
                  Name ID.
    • Ausgehendes ID-Format des Namens:
                   Email.
    • Wählen Sie Alle Anspruchswerte zulassen aus.
  • Klicken Sie auf Fertig stellen.

Überprüfen Sie dann eine Regel zur Gewährung des Benutzerzugriffs bzw. erstellen sie diese.

  • Öffnen Sie die Registerkarte Ausstellungsautorisierungsregeln.
  • Stellen Sie sicher, dass eine Regel vorhanden ist, die den Zugriff für alle Benutzer gewährleistet. Falls nicht, müssen Sie diese Regel mit Regel hinzufügen erstellen.

Schritt 5: Konfigurieren der Vertrauensstellung

Als letzten Schritt müssen Sie gewährleisten, dass Citrix die von Ihrem neuen AD FS-Dienst generierten SAML-Token akzeptiert.

  • Verwenden Sie den Abschnitt "Identitätsanbieter" im Organization Center, um die Details anzugeben.
  • Wählen Sie für AD FS 2.0 die automatische Konfiguration und geben Sie folgende URL ein – ersetzen Sie dabei "server" durch den extern bekannten Hostnamen Ihres AD FS-Servers:
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

Schritt 6: Testen der Einzelserverkonfiguration

Es sollte nun möglich sein, die Konfiguration zu testen. Sie müssen einen DNS-Eintrag für die AD FS-Dienstidentität erstellen und dabei auf den AD FS-Server verweisen, den Sie soeben konfiguriert haben, oder auf ein Lastenausgleichsmodul, falls vorhanden.

  • Wechseln Sie zum Testen der Anmeldung über den Identitätsanbieter zu https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx. Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter "Melden Sie sich bei einer der folgenden Sites an" angezeigt.
  • Wechseln Sie zum Testen der Anmeldung über die vertrauende Seite zur Produktanmeldeseite des Citrix Produkts, für das Sie sich anmelden möchten (z. B. www.gotomeeting.com), und klicken Sie auf der Anmeldeseite auf "Meine Firmen-ID verwenden". Nachdem Sie Ihre E-Mail-Adresse eingegeben haben, werden Sie an den AD FS-Server geleitet und aufgefordert, sich anzumelden (bzw. bei Verwendung der integrierten Windows-Authentifizierung werden Sie automatisch bei GoToMeeting, GoToWebinar, GoToTraining oder OpenVoice angemeldet).