Configurar el inicio de sesión empresarial mediante AD FS 2.0 - GoToMeeting

Buscar respuesta

Buscar artículos, vídeos y guías de usuario de GoToMeeting .   El término de búsqueda debe contener 2 o más caracteres.

Examinar artículos

 

Configurar Enterprise Sign-In con ADFS v2.0

Citrix ofrece opciones administrativas para administrar fácilmente miles de usuarios y su acceso a los productos, ofreciendo también la capacidad de inicio de sesión único o Single Sign-on (SSO) para los usuarios. SSO garantiza que los usuarios puedan acceder a sus productos de Citrix Mobility utilizando el mismo proveedor de identidades que para el resto de las aplicaciones y los entornos de la empresa. Estas capacidades de los productos Citrix se denominan Enterprise Sign-In o inicio de sesión empresarial.

Volver a Single Sign-on

Este documento describe la configuración de los servicios de federación de Active Directory (ADFS) para dar respaldo a la autenticación Single Sign-on para los productos Citrix. Antes de la implementación, asegúrese de consultar más información sobre Enterprise Sign-In y complete los pasos de configuraciones iniciales.

ADFS 2.0 es un componente descargable de Windows Server 2008 y 2008 R2. Es sencillo de implementar, pero hay varios pasos de configuración que necesitan cadenas, certificados, direcciones URL, etc. específicos. ADFS 3.0 también recibe respaldo para usar Enterprise Sign-In. ADFS 3.0 incluye varias mejoras, entre las cuales destaca que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente.

Nota: Puede pasar directamente al paso 4 si ya tiene implementado ADFS 2.0.

Paso 1: Certificado del servicio de federación

Cada implementación de ADFS se identifica mediante un nombre DNS (por ejemplo, “adfs.miDominio.com). Necesitará contar con un certificado emitido para este nombre de sujeto antes de empezar. Este identificador es un nombre visible externamente, por lo tanto, asegúrese de seleccionar algo adecuado para representar a su empresa ante sus socios. No use ese nombre como nombre de host también, ya que esto causaría problemas con el registro de nombres principales de servicio (SPN).

Existen varios métodos para generar certificados. La manera más fácil, si dispone de una entidad de certificación en su dominio, es usar la consola de administración de IIS 7:

  • Abra el complemento de administración de servidor Web (IIS).
  • Seleccione el nodo de servidor en el árbol de navegación y, a continuación, seleccione la opción Certificados de servidor.
  • Seleccione Crear certificado de dominio.
  • Introduzca el Nombre del servicio de federación en Nombre común (por ejemplo: adfs.miDominio.com).
  • Seleccione la entidad de certificación de Active Directory.
  • Introduzca el nombre simplificado o "nombre para mostrar" del certificado” (cualquier identificador vale).

Nota: Si no utilizó la consola de IIS para generar el certificado, antes de continuar, asegúrese de que el certificado está vinculado al servicio IIS en los servidores donde va a instalar ADFS.

Paso 2: Crear una cuenta de usuario de dominio

Los servidores ADFS requieren la creación de una cuenta de usuario de dominio para ejecutar sus servicios (no se requieren grupos específicos).

Paso 3: Instalar primero el servidor ADFS

  • Descargue ADFS 2.0 y ejecute el programa de instalación. Asegúrese de ejecutar el programa de instalación como administrador de dominio. Esto creará los nombres SPN y otros contenedores de AD.
  • En el rol de Servidor, seleccione Federation Server.
  • Marque la casilla para Start the ADFS 2.0 Management snap-in when this wizard closes
  • En el complemento de administración de ADFS, haga clic en Create new Federation Service.
  • Seleccione New Federation Server farm.
  • Seleccione el certificado que ha creado en el paso anterior.
  • Seleccione el usuario de dominio que ha creado en los pasos anteriores.

Paso 4: Configuración del usuario de la relación de confianza

En este paso se indica a ADFS el tipo de tokens de SAML que acepta el sistema de Citrix. En el complemento de AD FS 2.0 en la consola MMC:

  • Seleccione Trust Relationships | Relying Party Trusts
  • Seleccione Add Relying Party Trust y haga clic en Start.
  • En Select Data Source, seleccione Enter data about the relying party manually y haga clic en Next.
  • Escriba un Display name identifier (por ejemplo, Citrix GoToMeeting) y haga clic en Next.
  • Seleccione AD FS 2.0 profile perfil y haga clic en Next.
  • En Configure Certificate, haga clic en Next sin introducir nada.
  • Marque la opción Enable support for the SAML 2.0 WebSSO protocol y use una de las direcciones URL más abajo como Relying party SAML 2.0 SSO Service URL:
    • GoToMeeting
                https://login.citrixonline.com/saml/global.gotomeeting.com/acs
    • GoToWebinar
                https://login.citrixonline.com/saml/global.gotowebinar.com/acs
    • GoToTraining
                https://login.citrixonline.com/saml/global.gototraining.com/acs
    • OpenVoice
                 https://login.citrixonline.com/saml/global.openvoice.com/acs
    • GoToAssist (Remote Support/Service Desk/Monitoring)
                 https://login.citrixonline.com/saml/app.gotoassist.com/acs
  • Haga clic en Next.
  • Seleccione Permit all users to access this relying party y haga clic en Next.
  • Revise los datos y haga clic en Next.
  • Deje sin marcar la casilla Open the the Edit Claim Rules dialog for this relying party trust when the wizard closes y haga clic en Close.

Puede ver la nueva entrada de usuario de confianza en Relying Party Trusts.

  • Haga clic con el botón secundario en el nuevo usuario de confianza y seleccione Properties.
  • Haga clic en Advanced y seleccione SHA-1 en el menú desplegable Secure hash algorithm.
  • Seleccione la ficha Signature y haga clic en Add.
  • Descargue el certificado desde:
                https://citrix.sharefile.com/d-s4ce11571a4c444f8
  • Busque el certificado descargado y selecciónelo.
  • Seleccione la ficha Endpoint y haga clic en Add.
  • Usar la siguiente configuración para el nuevo punto final (endpoint):
    • Endpoint type:
      SAML Assertion Consumer
    • Binding:
                 POST
    • Index:
                  1
    • URL:
                  https://login.citirixonline.com/saml/acs
  • Haga clic en OK para guardarla.

Ahora debe agregar dos reglas de notificaciones.

  • Haga clic en la nueva entrada de punto final (endpoint) y, a la derecha, haga clic en Edit Claim Rules.
  • Seleccione la pestaña Issuance Transform Rules y haga clic en Add Rule.
  • Seleccione Send LDAP Attributes as Claims desde el menú desplegable y haga clic en Next.
  • Use la siguiente configuración para la regla:
    • Claim rule name:
      AD Email.
    • Attribute store:
                  Active Directory.
    • LDAP Attribute:
      E-mail-Addresses.
    • Outgoing Claim Type:
                  E-mail Address.
  • Haga clic en Finalizar.
  • Haga clic de nuevo en Add Rule.
  • Seleccione Transform an Incoming Claim en el menú desplegable y haga clic en Next.
  • Use la siguiente configuración:
    • Claim rule name:
                   Name ID.
    • Incoming claim type:
      E-Mail Address.
    • Outgoing claim type:
                  Name ID.
    • Outgoing name ID Format:
                   Email.
    • Seleccione Pass through all claim values.
  • Haga clic en Finish.

A continuación hay que verificar o crear una regla para permitir el acceso de usuarios.

  • Seleccione la pestaña Issuance Authorization Rules.
  • Verifique si existe una regla llamada Permit Access to All Users. Si no, use Add Rule para crear la regla.

Paso 5: Configuración de la confianza

El último paso de configuración consiste en indicar a Citrix que debe aceptar los tokens SAML generados por su nuevo servicio de ADFS.

  • Use la sección “Identity Provider” en Organization Center para agregar los detalles necesarios.
  • Para ADFS 2.0, seleccione una configuración “Automática” e introduzca la siguiente URL (sustituyendo "server" por el nombre de host accesible externamente dl servidor ADFS):
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

Paso 6: Prueba de la configuración en un solo servidor

En este punto, debe poder probar la configuración. Debe crear una entrada DNS para la identidad de servicio de ADFS, que haga referencia al servidor ADFS que acaba de configurar, o a un equilibrador de carga de red, o si está usando uno.

  • Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx. Si todo es correcto, verá el identificador del usuario de la relación de confianza en un cuadro combinado bajo "Sign in to one to the following sites".
  • Para comprobar si funcionan los inicios de sesión iniciados por el usuario de la relación de confianza, vaya a la página web de inicio de sesión del producto Citrix donde quiere iniciar sesión (por ejemplo, www.gotomeeting.com) y en la página de inicio de sesión, haga clic en Usar el ID de mi empresa. Después de introducir la dirección de correo electrónico, se le redirigirá al servidor ADFS y se le pedirá que inicie sesión (o, si utiliza Autenticación integrada de Windows, se conectará automáticamente con GoToMeeting, GoToWebinar, GoToTraining u OpenVoice).