Einrichten von Enterprise-Sign-On mit AD FS 3.0 - GoToMeeting - LogMeIn

Hier finden Sie Antworten auf Ihre Fragen

Durchsuchen Sie GoToMeeting -Artikel, -Videos und -Benutzerhandbücher   Ihr Suchbegriff muss aus mindestens 2 Zeichen bestehen

Artikel durchsuchen

Einrichten von Enterprise-Sign-On mit AD FS v3.0

LogMeIn bietet administrative Optionen für die einfache Verwaltung von Tausenden von Benutzern und deren Produktzugriff und gewährleistet ebenso die Single-Sign-On-Anmeldung (SSO) für die Benutzer. Mithilfe von SSO wird sichergestellt, dass die Benutzer über denselben Identitätsanbieter auf die LogMeIn-Produkte zugreifen wie auf die anderen Anwendungen und Umgebungen im Unternehmen. Diese Funktionalität für LogMeIn Produkte wird als "Enterprise-Sign-On" bezeichnet.

Zurück zum Inhaltsverzeichnis von Single-Sign-On

In diesem Artikel wird erläutert, wie die Active Directory-Verbunddienste (AD FS) zur Authentifizierung mit Single-Sign-On für LogMeIn Produkte konfiguriert werden müssen. Vor der Implementierung empfiehlt es sich, die Informationen über Enterprise-Sign-On zu lesen und die einleitenden Einrichtungsschritte durchzuführen.

ADFS 3.0 ist eine erweiterte Version von AD FS 2.0. AD FS 3.0 ist eine herunterladbare Komponente für Windows Server 2012 R2. Einer der größten Vorteile von AD FS 3.0 besteht darin, dass der Server für die Microsoft Internetinformationsdienste (IIS) in der Bereitstellung inbegriffen ist und nicht separat installiert werden muss. Im Vergleich zur Vorgängerversion wurden in dieser Version die Installation geändert und die Konfiguration verbessert.

In diesem Artikel wird erläutert, wie AD FS installiert und konfiguriert und in einer SAML-Vertrauensstellung mit LogMeIn Enterprise-Sign-On eingerichtet wird. In dieser Vertrauensstellung ist AD FS der Identitätsanbieter und LogMeIn der Dienstanbieter. Nach Abschluss der Konfiguration wird AD FS von LogMeIn dazu genutzt, Benutzer für Produkte wie GoToMeeting über SAML-Assertionen von AD FS zu authentifizieren. Die Benutzer können die Authentifizierungen über den Dienstanbieter oder den Identitätsanbieter durchführen.

Anforderungen

Zu den Voraussetzungen für AD FS 3.0 gehört Folgendes:

  • Ein öffentliches vertrauenswürdiges Zertifikat für die Authentifizierung von AD FS auf den Clients. Der AD FS-Dienstname wird vom Antragstellernamen des Zertifikats bezogen, daher ist es wichtig, dass der Antragstellername des Zertifikats entsprechend zugewiesen wird.
  • Der AD FS-Server muss Mitglied einer Active Directory-Domäne sein und für die AD FS Konfiguration wird ein Domänenadministratorkonto benötigt.
  • Zum Auflösen des AD FS-Hostnamens beim Client wird ein DNS-Eintrag benötigt.

Eine umfassende und detaillierte Liste der Anforderungen finden Sie unter Übersicht über Microsoft AD FS 3.0.

Installation

1. Starten Sie die Installation von AD FS 3.0, indem Sie auf Verwaltungstools | Server-Manager | Rollen und Funktionen hinzufügen klicken.

2. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus, und klicken Sie auf Weiter.

3. Wählen Sie auf der Seite Zielserver auswählen den Server, auf dem der AD FS-Dienst installiert werden soll, und klicken Sie auf Weiter.

4. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste, und klicken Sie auf Weiter.

5. Belassen Sie unter Features auswählen die Standardeinstellungen, es sei denn, Sie möchten zusätzliche Funktionen installieren, und klicken Sie auf Weiter.

6. Überprüfen Sie die Informationen auf der Seite Active Directory-Domänendienste, und klicken Sie auf Weiter.

7. Starten Sie die Installation auf der Seite Installationsauswahl bestätigen.

Konfiguration

1. Unter Benachrichtigungen erhalten Sie eine Benachrichtigung mit dem Hinweis, dass eine nachträgliche Konfigurationsaufgabe aussteht. Öffnen Sie die Benachrichtigung, und klicken Sie auf den Link, um den Assistenten zu starten.

2. Wählen Sie auf der Seite Willkommen die Option Ersten Verbundserver in einer Verbundserverfarm erstellen aus (es sei denn, es gibt bereits eine Farm, für die Sie diesen Server zu AD FS hinzufügen).

3. Klicken Sie auf die Seite Mit AD FS verbinden, und wählen Sie das Domänenadministratorkonto für diese Konfiguration aus.

4. Geben Sie unter Diensteigenschaften angeben das SSL-Zertifikat an, das Sie zuvor bezogen haben (siehe Anforderungen oben). Geben Sie den Verbunddienstnamen und den Verbunddienstanzeigenamen ein.

5. Wählen Sie unter Dienstkonto angeben das Konto aus, das von AD FS verwendet werden soll.

6. Wählen Sie unter Konfigurationsdatenbank angeben die Datenbank aus, die Sie verwenden möchten.

7. Prüfen Sie die Informationen unter Überprüfen von Voraussetzungen, und klicken Sie auf Konfigurieren.

Einrichten der Vertrauensstellung

Jede Seite (AD FS und LogMeIn) muss für die gegenseitige Vertrauensstellung konfiguriert werden. Deshalb wird die Vertrauensstellung in zwei Schritten konfiguriert.

Schritt 1: Konfigurieren der Vertrauensstellung von AD FS für LogMeIn SAML

1. Öffnen Sie Verwaltungstools | AD FS-Verwaltung.

2. Klicken Sie unter AD FS-Verwaltung auf die Dropdownliste Aktion, und wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Seite wird gestartet.

3. Wählen Sie auf der Seite Datenquelle auswählen des Assistenten Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren und geben Sie in das Textfeld unterhalb der ausgewählten Option die Metadaten-URL von LogMeIn ein:
           https://login.citrixonline.com/saml/sp.

4. Klicken Sie auf Weiter.

5. Überspringen Sie die Seite Mehrstufige Authentifizierung jetzt konfigurieren?

6. Klicken Sie unter Regeln für Ausstellungsautorisierung wählen auf Allen Benutzern Zugriff auf diese vertrauende Seite gewähren, es sei denn, es wird eine andere Option gewünscht.

7. Gehen Sie die übrigen Anweisungen zum Abschließen dieser Seite der Vertrauensstellung durch.

8. Fügen Sie nun zwei Anspruchsregeln hinzu.

  • Klicken Sie auf den neuen Endpunkteintrag, und klicken Sie rechts auf Anspruchsregeln bearbeiten.

    Öffnen Sie die Registerkarte Ausstellungstransformationsregeln, und klicken Sie auf Regel hinzufügen.

    Wählen Sie LDAP-Attribute als Ansprüche senden aus der Dropdownliste aus,und klicken Sie auf Weiter.

    • Verwenden Sie die folgenden Einstellungen für die Regel:
      • Name der Anspruchsregel:
                    AD Email.
      • Attributspeicher:
                    Active Directory.
      • LDAP-Attribut:
                    E-mail-Addresses.
      • Typ des ausgehenden Anspruchs:
                    E-mail Address.
    • Klicken Sie auf Fertig stellen.
  • Klicken Sie erneut auf Regel hinzufügen.
  • Wählen Sie Transformieren eines eingehenden Anspruchs aus der Dropdownliste aus, und klicken Sie auf Weiter.
    • Verwenden Sie die folgenden Einstellungen:
      • Name der Anspruchsregel:
                     Name ID.
      • Typ des eingehenden Anspruchs:
                     E-Mail Address.
      • Typ des ausgehenden Anspruchs:
                    Name ID.
      • Ausgehendes ID-Format des Namens:
                     Email.
      • Wählen Sie Alle Anspruchswerte zulassen aus.
    • Klicken Sie auf Fertig stellen.

20. Klicken Sie mit der rechten Maustaste auf die neue Vertrauensstellung der vertrauenden Seite im Ordner Vertrauensstellungen der vertrauenden Seite und wählen Sie Eigenschaften aus.

21. Wählen Sie unter Erweitert die Option SHA-1 aus, und klicken Sie auf OK.

22. Um zu verhindern, dass AD FS standardmäßig verschlüsselte Assertionen sendet, öffnen Sie ein Windows PowerShell-Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl aus:

set-ADFSRelyingPartyTrust –TargetName"<relyingPartyTrustDisplayName>" –EncryptClaims $False

Schritt 2. Konfigurieren der Vertrauensstellung von LogMeIn für AD FS

1. Navigieren Sie zum LogMeIn Organization Center und verwenden Sie das Identitätsanbieter-Webformular.

2. AD FS veröffentlicht die Metadaten unter einer standardmäßigen URL: https://<hostname>/federationmetadata/2007-06/federationmetadata.xml.

2 a. Wenn diese URL öffentlich im Internet verfügbar ist, klicken Sie auf die Registerkarte Identity Provider im Organization Center, wählen Sie die Option für die automatische Konfiguration aus, und fügen Sie die URL in das Textfeld ein. Klicken Sie auf Speichern (Save).

2 b. Wenn die Metadaten-URL nicht öffentlich verfügbar ist, beziehen Sie die Single-Sign-On-URL und ein Zertifikat (für die Signaturüberprüfung) von AD FS, und senden Sie sie über die manuelle Konfigurationsoption auf der Registerkarte Identity Provider des Organization Center. Gehen Sie im Einzelnen wie folgt vor:

  • Single-Sign-On-URL: Öffnen Sie das Fenster "AD FS-Verwaltung", und wählen Sie den Ordner Endpunkte, um eine Liste der AD FS-Endpunkte anzuzeigen. Suchen Sie den Endpunkt SAML 2.0/WS-Verbundtyp, und ermitteln Sie die URL aus den Eigenschaften. Alternative: Wenn Sie den Zugriff auf die Standard-Metadaten-URL haben, zeigen Sie den Inhalt der URL in einem Browser an, und suchen Sie nach der Single-Sign-On-URL.
  • Zertifikat für die Signaturüberprüfung: Öffnen Sie die AD FS-Verwaltungskonsole, und wählen Sie den Ordner Zertifikate, um die Zertifikate anzuzeigen. Suchen Sie nach dem Tokensignaturzertifikat, klicken Sie mit der rechten Maustaste darauf und wählen Sie Zertifikat anzeigen aus. Öffnen Sie die Registerkarte Details, und wählen Sie dann die Option In Datei kopieren aus. Wählen Sie mit dem Assistenten für den Zertifikatexport die Option Base-64 Encoded X.509 (.Cer) aus. Geben Sie einen Namen für die Datei ein, um den Export des Zertifikats in eine Datei abzuschließen.

3. Geben Sie diese Felder im Organization Center ein und klicken Sie auf Speichern.

Testen der Konfiguration

Wechseln Sie zum Testen der Anmeldung über den Identitätsanbieter zu
       https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx.

Der Bezeichner der vertrauenden Seite wird in einem Kombinationsfeld unter Melden Sie sich bei einer der folgenden Sites an angezeigt.

Wechseln Sie zum Testen der Anmeldung über die vertrauende Seite zur Produktanmeldeseite des LogMeIn Produkts, für das Sie sich anmelden möchten (z. B. www.gotomeeting.com), und klicken Sie auf der Anmeldeseite auf Meine Firmen-ID verwenden.

Geben Sie Ihre E-Mail-Adresse ein. Sie werden an den AD FS-Server weitergeleitet und aufgefordert, sich anzumelden (bzw. bei Verwendung der integrierten Windows-Authentifizierung erfolgt dies automatisch), und dann direkt zum gewünschten Produkt geleitet.

.