Configurar el inicio de sesión empresarial mediante AD FS 3.0 - GoToWebinar - LogMeIn

Buscar respuesta

Buscar artículos, vídeos y guías de usuario de GoToWebinar .   El término de búsqueda debe contener 2 o más caracteres.

Examinar artículos

Configurar Enterprise Sign-In con ADFS v3.0

Citrix ofrece opciones administrativas para administrar fácilmente miles de usuarios y su acceso a los productos, ofreciendo también la capacidad de inicio de sesión único o Single Sign-on (SSO) para los usuarios. SSO garantiza que los usuarios puedan acceder a sus productos Citrix utilizando el mismo proveedor de identidades que para el resto de las aplicaciones y los entornos de la empresa. Estas capacidades de movilidad de los productos Citrix se denominan Enterprise Sign-In o inicio de sesión empresarial.

Volver a Single Sign-on

Este documento describe la configuración de los servicios de federación de Active Directory (ADFS) para dar respaldo a la autenticación Single Sign-on para los productos Citrix. Antes de la implementación, asegúrese de consultar más información sobre Enterprise Sign-In y complete los pasos de configuraciones iniciales.

ADFS 3.0 es una versión mejorada de ADFS 2.0. Es un componente descargable de Windows Server 2012 R2. Una gran ventaja de la versión 3.0 es que Microsoft Internet Information Services (IIS) Server está incluido en la implementación, en lugar de ser una instalación independiente. Las mejoras han cambiado en parte la instalación y la configuración, en comparación con la versión anterior.

Este artículo describe cómo instalar y configurar ADFS, y establecer ADFS en una relación de confianza de SAML con Citrix Enterprise Sign-In. En esta relación de confianza, ADFS es el proveedor de identidades y Citrix es el proveedor de servicios. Al finalizar, Citrix podrán utilizar ADFS para autenticar usuarios en productos como GoToMeeting usando aserciones SAML presentadas por ADFS. Los usuarios podrán iniciar autenticaciones desde el lado del proveedor de servicios o desde el lado del proveedor de identidades.

Requisitos

Entre los requisitos previos de ADFS 3.0 están los siguientes:

  • Un certificado de confianza pública para la autenticación de ADFS a sus clientes. El nombre de servicio de ADFS se tomará del nombre de sujeto del certificado, por lo que es importante que el nombre de sujeto del certificado se asigne de la forma correspondiente.
  • El servidor ADFS debe ser miembro de un dominio de Active Directory y se necesitará una cuenta de administrador de dominio para la configuración de ADFS.
  • Se necesitará una entrada DNS para que el cliente resuelva el nombre de host de ADFS

Se puede consultar una lista completa y detallada de los requisitos en Microsoft ADFS 3.0 overview.

Instalación

1. Inicie la instalación de ADFS 3.0, seleccionando Herramientas administrativas | Administrador del servidor | Agregar roles y características.

2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles y haga clic en Siguiente.

3. En la página Seleccionar servidor de destino, seleccione el servidor donde instalar el servicio ADFS y haga clic en Siguiente.

4. En la página Seleccionar roles de servidor, seleccione Servicios de federación de Active Directory y haga clic en Siguiente.

5. En Seleccionar características, a menos que haya otras características adicionales que desee instalar, acepte los valores predeterminados y haga clic en Siguiente.

6. Revise la información en los Servicios de dominio de Active Directory y haga clic en Siguiente.

7. Inicie la instalación en la página Confirmar selecciones de instalación.

Configuración

1. En las Notificaciones, tendrá una notificación de alerta para avisarle de que tiene una tarea que una tarea de Configuración posterior a la implementación pendiente. Abra el archivo y haga clic en el enlace para iniciar el asistente.

2. En la página de Bienvenida, seleccione Crear el primer servidor de federación de una granja de servidores de federación (a menos que ya haya una granja de servidores existente a la que esté agregando este servidor ADFS).

3. En la página Conectarse a ADFS, seleccione cuenta de administrador de dominio para llevar a cabo la configuración.

4. En Especificar propiedades del servicio, especifique el certificado SSL creado en los requisitos previos. Defina el Nombre del servicio de federación y Nombre para mostrar del servicio de federación.

5. En Especificar cuenta de servicio, seleccione la cuenta que usará ADFS.

6. En Especificar base de datos de configuración, seleccione la base de datos que desea usar.

7. Revise la información de comprobación de requisitos previos y haga clic en Configurar.

Establecimiento de la relación de confianza

Cada una de las partes (ADFS y Citrix) debe estar configurada para confiar en la otra parte. Por lo tanto, la configuración de la relación de confianza es un proceso de dos pasos.

Paso 1: Configurar ADFS para que confíe en Citrix SAML

1. Abra Herramientas administrativas | ADFS Management.

2. En ADFS Management, abra el menú Acción y seleccione Add Relying Party Trust. Esto iniciará el asistente Add Relying Party Trust.

3. En la página Select Data Source del asistente, seleccione Import data about the relying party published online or on a local area network y en el cuadro de texto debajo de la opción seleccionada pegue la URL de metadatos de Citrix:
           https://login.citrixonline.com/saml/sp.

4. Haga clic en Siguiente.

5. Omita la página Configure Multi-factor Authentication Now? .

6. En la pantalla Choose Issuance Authorization Rules, elija Permit all users to access this relying party a menos que prefiera otra opción.

7. Complete el resto de los diálogos para finalizar la configuración de este lado de la relación de confianza.

8. Ahora debe agregar dos reglas de notificaciones.

  • Haga clic en la nueva entrada de punto final (endpoint) y, a la derecha, haga clic en Edit Claim Rules.

    Seleccione la pestaña Issuance Transform Rules y haga clic en Add Rule.

    Seleccione Send LDAP Attributes as Claims desde el menú desplegable y haga clic en Siguiente.

    • Use la siguiente configuración para la regla:
      • Claim rule name:
                    AD Email.
      • Attribute store:
                    Active Directory.
      • LDAP Attribute:
                    E-mail-Addresses.
      • Outgoing Claim Type:
                    E-mail Address.
    • Haga clic en Finalizar.
  • Haga clic de nuevo en Add Rule.
  • Seleccione Transform an Incoming Claim en el menú desplegable y haga clic en Siguiente.
    • Use la siguiente configuración:
      • Claim rule name:
                     Name ID.
      • Incoming claim type:
                     E-Mail Address.
      • Outgoing claim type:
                    Name ID.
      • Outgoing name ID Format:
                     Email.
      • Seleccione Pass through all claim values.
    • Haga clic en Finalizar.

20. Haga clic con el botón secundario en la nueva relación de confianza en la carpeta Relying Party Trusts y seleccione Properties.

21. En Advanced, seleccione SHA-1 y haga clic en Aceptar.

22. Para evitar que ADFS envíe aserciones cifradas de manera predeterminada, abra un símbolo del sistema de Windows PowerShell y ejecute el siguiente comando:

set-ADFSRelyingPartyTrust –TargetName"<relyingPartyTrustDisplayName>" –EncryptClaims $False

Paso 2: Configurar Citrix para que confíe en ADFS

1. Vaya al Centro de organización de Citrix y use el formulario web de proveedor de identidades

2. ADFS publica sus metadatos en una dirección URL estándar de forma predeterminada: https://<nombre de host>/federationmetadata/2007-06/federationmetadata.xml.

2 a. Si esta dirección URL está públicamente disponible en Internet y, a continuación, en la pestaña Proveedor de identidades del Centro de organización, seleccione la opción Configuración automática y pegue la dirección URL en el cuadro de texto. Haga clic en Guardar.

2 b. Si la URL de metadatos no está disponible públicamente, obtenga la URL de Single Sign-on y un certificado (para la validación de firmas) de ADFS y envíelos usando la opción Configuración manual en la pestaña Proveedor de identidades del Centro de organización. Para obtener los elementos necesarios, haga lo siguiente:

  • Para obtener la dirección URL del servicio de Single Sign-on, abra la ventana de administración de ADFS y seleccione la carpeta Endpoints para mostrar una lista de los puntos finales de ADFS. Busque el punto final SAML 2.0/WS-Federation type y obtenga la URL de sus propiedades. De forma alternativa, si tiene acceso a la dirección URL de metadatos estándar, muestre el contenido de la dirección URL en el explorador Web y busque la dirección URL de Single Sign-on en el contenido XML.
  • Para obtener el certificado para la validación de firmas, abra la consola de administración de ADFS y seleccione la carpeta Certificados para mostrar los certificados. Busque el Certificado de firma de tokens, haga clic en él con el botón secundario y seleccione Ver certificado. Seleccione la pestaña Detalles y, a continuación, la opción Copiar a archivo. En el asistente para exportar certificados, seleccione X.509 codificado base 64 (.CER). Asigne un nombre al archivo para completar la exportación del certificado a un archivo.

3. Introduzca estos campos en el Centro de organización y haga clic en Guardar.

Prueba de la configuración

Para comprobar si funcionan los inicios de sesión iniciados por el proveedor de identidades, vaya a
       https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

Si todo es correcto, verá el identificador de la parte de confianza en un cuadro combinado bajo Sign in to one to the following sites.

Para comprobar si funcionan los inicios de sesión iniciados por la parte de confianza, vaya a la página web de inicio de sesión del producto Citrix donde quiere iniciar sesión (por ejemplo, www.gotomeeting.com) y en la página de inicio de sesión, haga clic en Usar el ID de mi empresa.

Introduzca su dirección de correo electrónico. Si todo es correcto, se le redirigirá al servidor ADFS y se le pedirá que inicie sesión (o, entrará automáticamente si está configurada la autenticación integrada de Windows). Después, se le enviará directamente al producto deseado.

.