Configurer l'authentification unique d'entreprise à l'aide d'ADFS v2.0 - GoToMeeting

Trouver une réponse

Rechercher les articles, vidéos et guides d'utilisateurs GoToMeeting .   Votre critère de recherche doit contenir au moins 2 caractères.

Consultez les articles

 

Configurer Enterprise Sign-In à l'aide d'ADFS v2.0

Citrix offre des options d’administration qui permettent de gérer en toute facilité des milliers d'utilisateurs et leur accès aux produits tout en mettant également à leur disposition l'authentification unique (SSO). SSO permet de s'assurer que vos utilisateurs peuvent accéder à leurs produits Citrix Mobility à l'aide du même fournisseur d'identité que pour d'autres applications et environnements d'entreprise. Ces fonctionnalités conçues pour les produits Citrix sont appelées Enterprise Sign-In.

Retour à Single Sign-On

Ce document décrit la configuration de vos services ADFS (Active Directory Federation Services) afin de prendre en charge l'authentification unique pour les produits Citrix. Avant de procéder à la mise en œuvre, apprenez-en davantage sur Enterprise Sign-In et complétez les étapes de configuration initiales.

ADFS 2.0 est un composant téléchargeable pour Windows Server 2008 et 2008 R2. Il est facile à déployer, mais plusieurs étapes de configuration nécessitent des chaînes, des certificats, des URL spécifiques, etc. ADFS 3.0 est également pris en charge pour Enterprise Sign-In. Plusieurs améliorations ont été apportées à ADFS 3.0, dont la plus importante réside dans le fait que les services Internet (IIS) de Microsoft sont inclus dans le déploiement plutôt que dans une installation séparée.

Remarque : vous pouvez passer directement à l'étape 4 si vous avez déjà déployé AD FS 2.0.

Étape 1 : Certificat du service de fédération

Chaque déploiement ADFS est identifié par un nom DNS (par exemple, « adfs.mondomaine.com). Vous aurez besoin d'un certificat émis pour ce nom du sujet avant de commencer. Cet identificateur étant un nom visible en externe, assurez-vous d’utiliser une appellation appropriée pour représenter votre société auprès de partenaires. De plus, n’utilisez pas ce nom en tant que nom d'hôte du serveur ; cela entraînerait des problèmes avec l’enregistrement des noms principaux de service (SPN).

Il existe plusieurs méthodes pour générer des certificats. La solution la plus simple, si vous disposez d'une autorité de certification dans votre domaine, est d'utiliser la console de gestion IIS 7 :

  • Ouvrez le composant logiciel enfichable Serveur Web (IIS).
  • Sélectionnez le nœud du serveur dans l'arborescence de navigation, puis l'option Certificats de serveur.
  • Sélectionnez Créer un certificat de domaine.
  • Entrez le nom de votre service de fédération de nom commun dans Nom commun (par ex., adfs.mondomaine.com).
  • Sélectionnez votre autorité de certification Active Directory.
  • Entrez un nom convivial pour le certificat (un identificateur quelconque fera l’affaire).

Remarque : si vous n'utilisez pas la console IIS pour générer le certificat, vérifiez que le certificat est lié au service IIS dans les serveurs sur lesquels vous allez installer ADFS avant de continuer.

Étape 2 : Créer un compte d'utilisateur de domaine

Les serveurs ADFS nécessitent la création d’un compte d’utilisateur de domaine pour exécuter leurs services (aucun groupe spécifique n’est requis).

Étape 3 : Installer le premier serveur ADFS

  • Téléchargez ADFS 2.0 et exécutez le programme d'installation. Vérifiez que vous exécutez le programme d'installation en tant qu'administrateur de domaine ; cela va créer des noms principaux de service et d’autres conteneurs dans Active Directory.
  • Dans Rôle du serveur, sélectionnez Serveur de fédération.
  • Cochez la case Démarrer le composant logiciel enfichable AD FS 2.0 gestion lorsque l'Assistant se ferme à la fin de l'Assistant.
  • Dans le composant logiciel enfichable ADFS gestion, cliquez sur Créer un nouveau service de fédération.
  • Sélectionnez Nouvelle batterie de serveurs de Fédération.
  • Sélectionnez le certificat que vous avez créé à l'étape précédente.
  • Sélectionnez l’utilisateur de domaine que vous avez créé dans les étapes précédentes.

Étape 4 : Configurer la partie de confiance

Dans cette étape, vous allez indiquer à ADFS le type de jetons SAML acceptés par le système Citrix. Dans la console MMC ADFS 2.0 :

  • Sélectionnez Relations d'approbation | Approbations de la partie de confiance dans l'arborescence de navigation.
  • Sélectionnez Ajouter une approbation de partie de confiance et cliquez sur Démarrer.
  • Dans Sélectionner une source de données, sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
  • Entrez un identificateur de nom d'affichage (par exemple, Citrix GoToMeeting) et cliquez sur Suivant.
  • Sélectionnez Profil AD FS 2.0 et cliquez sur Suivant.
  • Dans Configurer le certificat, cliquez sur Suivant sans entrer aucune donnée.
  • Cochez la case Activer la prise en charge du protocole WebSSO SAML 2.0 et utilisez l'une des URL ci-dessous en tant qu’URL du service SSO de la partie de confiance SAML 2.0 :
    • GoToMeeting
                https://login.citrixonline.com/saml/global.gotomeeting.com/acs
    • GoToWebinar
                https://login.citrixonline.com/saml/global.gotowebinar.com/acs
    • GoToTraining
                https://login.citrixonline.com/saml/global.gototraining.com/acs
    • OpenVoice
                 https://login.citrixonline.com/saml/global.openvoice.com/acs
    • GoToAssist (Remote Support/Service Desk/Monitoring)
                 https://login.citrixonline.com/saml/app.gotoassist.com/acs
  • Cliquez sur Suivant.
  • Sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance et cliquez sur Suivant.
  • Passez en revue les détails et cliquez sur Suivant.
  • Décochez la case Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l’Assistant et cliquez sur Fermer.

Vous devriez voir la nouvelle entrée de la partie de confiance sous Approbations de la partie de confiance.

  • Cliquez avec le bouton droit sur votre nouvelle partie de confiance et sélectionnez Propriétés.
  • Cliquez sur Avancé et sélectionnez SHA-1 dans le menu déroulant Algorithme de hachage sécurisé.
  • Sélectionnez l'onglet Signature et cliquez sur Ajouter.
  • Téléchargez le certificat depuis :
                https://citrix.sharefile.com/d-s4ce11571a4c444f8
  • Accédez au certificat téléchargé et sélectionnez-le.
  • Sélectionnez l'onglet Point de terminaison et cliquez sur Ajouter.
  • Utilisez les paramètres suivants pour le nouveau point de terminaison :
    • Type de point de terminaison :
      SAML Assertion Consumer
    • Liaison :
                 POST
    • Index :
                  1
    • URL :
                  https://login.citirixonline.com/saml/acs
  • Cliquez sur OK pour l’enregistrer.

Vous ajoutez maintenant deux règles de revendication.

  • Cliquez sur la nouvelle entrée de point de terminaison et cliquez sur Modifier les règles de revendications sur la droite.
  • Sélectionnez l'onglet Règles de transformation d'émission et cliquez sur Ajouter une règle.
  • Sélectionnez Envoyer les attributs LDAP en tant que revendications dans le menu déroulant et cliquez sur Suivant.
  • Utilisez les paramètres suivants pour la règle :
    • Nom de la règle de revendication :
      AD Email.
    • Magasin d’attributs :
                  Active Directory.
    • Attribut LDAP :
      E-mail-Addresses.
    • Type de revendication sortante :
                  E-mail Address.
  • Cliquez sur Terminer.
  • Cliquez de nouveau sur Ajouter une règle.
  • Sélectionnez Transformer une revendication entrante dans le menu déroulant et cliquez sur Suivant.
  • Utilisez les paramètres suivants :
    • Nom de la règle de revendication :
                   Name ID.
    • Type de revendication entrante :
      E-Mail Address.
    • Type de revendication sortante :
                  Name ID.
    • Format d'ID de nom sortant :
                   Email.
    • Sélectionnez Accepter toutes les valeurs de revendication.
  • Cliquez sur Terminer.

Vous pouvez ensuite vérifier ou créer une règle pour autoriser l'accès de l'utilisateur.

  • Sélectionnez l'onglet Règles d'autorisation d’émission.
  • Vérifiez qu’une règle appelée Autoriser l'accès à tous les utilisateurs existe. Si ce n'est pas le cas, utilisez Ajouter une règle pour créer la règle.

Étape 5 : Configurer l’approbation

La dernière étape de configuration consiste à indiquer à Citrix d’accepter les jetons SAML générés par votre nouveau service AD FS.

  • Utilisez la section « fournisseur d'identité » dans le Organization Center pour ajouter les détails nécessaires.
  • Pour ADFS 2.0, sélectionnez la configuration « Automatique » et entrez l'adresse URL suivante, en remplaçant « serveur » avec le nom d'hôte accessible en externe de votre serveur ADFS :
                    https://server/FederationMetadata/2007-06/FederationMetadata.xml

Étape 6 : Tester la configuration d’un serveur

À ce stade, vous devez être en mesure de tester la configuration. Vous devez créer une entrée DNS pour l'identité du service ADFS, qui pointe vers le serveur ADFS que vous avez configuré, ou vers un programme d'équilibrage de la charge réseau, si vous en utilisez un.

  • Pour tester l’authentification initiée par le fournisseur d'identité, accédez à https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx. L’identificateur de la partie de confiance devrait s’afficher dans une zone de liste déroulante sous « Sign in to one to the following sites ».
  • Pour tester l’authentification initiée par la partie de confiance, accédez à la page de connexion du produit Citrix auquel vous souhaitez vous connecter (telle que www.gotomeeting.com) et sur la page de connexion, cliquez sur l'option Utiliser mon identifiant d'entreprise (Use my company ID). Après avoir entré votre adresse e-mail, vous serez redirigé vers le serveur ADFS et invité à ouvrir une session (ou si l'authentification Windows intégrée est utilisée, vous serez automatiquement connecté à GoToMeeting, GoToWebinar, GoToTraining ou OpenVoice).