Configurer l'authentification unique d'entreprise à l'aide d'ADFS v3.0 - GoToWebinar - LogMeIn

Trouver une réponse

Rechercher les articles, vidéos et guides d'utilisateurs GoToWebinar .   Votre critère de recherche doit contenir au moins 2 caractères.

Consultez les articles

Configurer Enterprise Sign-In à l'aide d'ADFS v3.0

LogMeIn offre des options d’administration qui permettent de gérer en toute facilité des milliers d'utilisateurs et leur accès aux produits tout en mettant également à leur disposition l'authentification unique (SSO). SSO permet de s'assurer que vos utilisateurs peuvent accéder à leurs produits LogMeIn à l'aide du même fournisseur d'identité que pour d'autres applications et environnements d'entreprise. Ces fonctionnalités conçues pour les produits LogMeIn sont appelées Enterprise Sign-In.

Retour à Single Sign-On

Ce document décrit la configuration de vos services ADFS (Active Directory Federation Services) afin de prendre en charge l'authentification unique pour les produits LogMeIn. Avant de procéder à la mise en œuvre, apprenez-en davantage sur Enterprise Sign-In et complétez les étapes de configuration initiales.

ADFS 3.0 est une version améliorée d’ADFS 2.0. Il s'agit d'un composant téléchargeable pour Windows Server 2012 R2. Un des avantages principaux de la version 3.0 réside dans le fait que les services Internet (IIS) de Microsoft sont inclus dans le déploiement plutôt que dans une installation séparée. Les améliorations modifient quelque peu l'installation et la configuration par rapport à la version précédente.

Cet article décrit comment installer et configurer ADFS, et comment définir ADFS dans une relation d’approbation SAML avec LogMeIn Enterprise Sign-In. Dans cette relation d’approbation, ADFS est le fournisseur d'identité et LogMeIn est le fournisseur de services. Une fois l’implémentation terminée, LogMeIn sera en mesure d'utiliser ADFS pour authentifier les utilisateurs dans des produits tels que GoToMeeting à l'aide des assertions SAML servies par ADFS. Les utilisateurs pourront initier des authentifications du côté du fournisseur de services ou du fournisseur d’identité.

Configuration requise

Conditions préalables requises pour ADFS 3.0 :

  • Un certificat approuvé publiquement pour authentifier ADFS auprès de ses clients. Le nom du service ADFS sera basé sur le nom du sujet du certificat, il est donc important que le nom du sujet du certificat soit attribué en conséquence.
  • Le serveur ADFS doit être membre d'un domaine Active Directory et un compte d'administrateur de domaine est nécessaire pour la configuration des services ADFS.
  • Une entrée DNS est nécessaire pour que le client puisse résoudre le nom de l'hôte ADFS

Une liste complète et détaillée des spécifications est disponible dans la Vue d’ensemble des services ADFS.

Installation

1. Démarrez l’installation d’ADFS 3.0 en sélectionnant Outils d'administration | Gestionnaire de serveur | Ajouter des rôles et fonctionnalités.

2. Sur la page Sélectionner le type d'installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité et cliquez sur Suivant.

3. Sur la page Sélectionner le serveur de destination, sélectionnez le serveur sur lequel vous souhaitez installer le service ADFS et cliquez sur Suivant.

4. Sur la page Sélectionner des rôles de serveurs, sélectionnez Services AD FS (Active Directory Federation Services) et cliquez sur Suivant.

5. Dans Sélectionner des fonctionnalités, laissez les valeurs par défaut, sauf si vous voulez installer d’autres fonctionnalités, et cliquez sur Suivant.

6. Consultez les informations de la page Services AD FS (Active Directory Federation Services) et cliquez sur Suivant.

7. Lancez l'installation sur la page Confirmer les sélections d’installation.

Configuration

1. Dans vos Notifications, une notification vous informera qu’il vous reste une tâche de Configuration post-déploiement… à effectuer. Ouvrez-la et cliquez sur le lien pour démarrer l'assistant.

2. Dans la page Bienvenue, sélectionnez Créer le premier serveur de fédération dans une batterie de serveurs de fédération (à moins qu'il s'agisse d'une batterie de serveurs existante à laquelle vous ajoutez également ce serveur ADFS).

3. Dans la page Connexion à ADFS, sélectionnez le compte d'administrateur de domaine à utiliser pour effectuer cette configuration.

4. Dans Spécifier les propriétés de service, spécifiez le certificat SSL créé à partir des conditions préalables. Définissez le Nom du service FS (Federation Service) et le Nom complet du service FS.

5. Dans Spécifier un compte de service, sélectionnez le compte qu’ADFS utilisera.

6. Dans Spécifier une base de données de configuration, sélectionnez la base de données à utiliser.

7. Passez en revue les informations dans Vérifications des conditions préalables et cliquez sur Configurer.

Établir une relation d’approbation

Chaque partie (ADFS et LogMeIn) doit être configurée de manière à approuver l’autre partie. Par conséquent, la configuration de la relation d'approbation est un processus en deux étapes.

Étape 1 : Configurez ADFS pour approuver le service SAML LogMeIn

1. Ouvrez Outils d’administration | Gestion AD FS.

2. Dans Gestion AD FS , sélectionnez Ajouter une approbation de partie de confiance dans le menu déroulant Action. Cela va lancer l’assistant Ajouter une approbation de partie de confiance.

3. Sur la page Sélectionner une source de données de l'assistant, sélectionnez Importer les données, publiées en ligne ou sur un réseau local, sur la partie de confiance et dans la zone de texte sous l'option sélectionnée, collez l'URL des métadonnées de LogMeIn :
           https://login.citrixonline.com/saml/sp.

4. Cliquez sur Suivant.

5. Ignorez la page Configurer l'authentification Multi-factor maintenant  ?

6. Sur l’écran Choisir les règles d'autorisation d’émission, choisissez Autoriser tous les utilisateurs à accéder à cette partie de confiance, sauf si une autre option est requise.

7. Suivez le reste des invites pour terminer cette partie de la relation d’approbation.

8. Vous ajoutez maintenant deux règles de revendication.

  • Cliquez sur la nouvelle entrée de point de terminaison et cliquez sur Modifier les règles de revendications sur la droite.

    Sélectionnez l'onglet Règles de transformation d'émission et cliquez sur Ajouter une règle.

    Sélectionnez Envoyer les attributs LDAP en tant que revendications dans le menu déroulant et cliquez sur Suivant.

    • Utilisez les paramètres suivants pour la règle :
      • Nom de la règle de revendication :
                    AD Email.
      • Magasin d’attributs :
                    Active Directory.
      • Attribut LDAP :
                    E-mail-Addresses.
      • Type de revendication sortante :
                    E-mail Address.
    • Cliquez sur Terminer.
  • Cliquez de nouveau sur Ajouter une règle.
  • Sélectionnez Transformer une revendication entrante dans le menu déroulant et cliquez sur Suivant.
    • Utilisez les paramètres suivants :
      • Nom de la règle de revendication :
                     Name ID.
      • Type de revendication entrante :
                     E-Mail Address.
      • Type de revendication sortante :
                    Name ID.
      • Format d'ID de nom sortant :
                     Email.
      • Sélectionnez Accepter toutes les valeurs de revendication.
    • Cliquez sur Terminer.

20. Cliquez avec le bouton droit sur la nouvelle approbation de partie de confiance dans le dossier Approbations de partie de confiance et sélectionnez Propriétés.

21. Dans Avancé, sélectionnez SHA-1 et cliquez sur OK.

22. Pour éviter à ADFS d'envoyer des assertions cryptées par défaut, ouvrez une invite de commande PowerShell Windows et exécutez la commande suivante :

set-ADFSRelyingPartyTrust –TargetName"<nomcompletApprobationdepartiedeconfiance>" –EncryptClaims $False

Étape 2 : Configurez LogMeIn pour approuver ADFS

1. Accédez au LogMeIn Organization Center et utilisez le formulaire Web Identity Provider.

2. ADFS publie ses métadonnées sur une adresse URL standard par défaut: https://<nomhôte>/federationmetadata/2007-06/federationmetadata.xml.

2 a. Si cette URL est publiquement disponible sur Internet, sur l'onglet Identity Provider de Organization Center, sélectionnez l’option Automatic configuration et collez l'URL dans la zone de texte. Cliquez sur Enregistrer (Save).

2 b. Si l'URL des métadonnées n’est pas publiquement disponible, collectez l'URL SSO et un certificat (afin de valider la signature) d'ADFS et soumettez-les à l'aide de l'option Manual configuration dans l’onglet Identity Provider de Organization Center. Pour collecter les éléments nécessaires, procédez comme suit :

  • Pour collecter l’URL du service Single Sign-On, ouvrez la fenêtre Gestion AD FS et sélectionnez le dossier Points de terminaison pour afficher une liste des points de terminaison AD FS. Recherchez le point de terminaison SAML 2.0/WS-Federation type et collectez l’URL depuis ses propriétés. Si vous avez accès à l'URL des métadonnées, vous pouvez également afficher le contenu de l'adresse URL dans un navigateur et recherchez l'URL Single Sign-On dans le contenu XML.
  • Pour collecter le certificat afin de valider la signature, ouvrez la console de gestion AD FS, puis sélectionnez le dossier Certificats pour afficher les certificats. Recherchez le Certificat de signature de jetons, cliquez avec le bouton droit dessus et sélectionnez Afficher le certificat. Sélectionnez l'onglet Détails, puis l’option Copier dans un fichier. À l'aide de l’Assistant Exportation de certificat, sélectionnez le certificat X.509 encodé en base 64 (*.cer). Attribuez un nom au fichier pour terminer l'exportation du certificat dans un fichier.

3. Renseignez ces champs dans Organization Center, puis cliquez sur Enregistrer.

Tester la configuration

Pour tester l’authentification initiée par le fournisseur d'identité, accédez à
       https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

L’identificateur de la partie de confiance devrait s’afficher dans une zone de liste déroulante sous Sign in to one to the following sites.

Pour tester l’authentification initiée par la partie de confiance, accédez à la page de connexion Web du produit LogMeIn auquel vous souhaitez vous connecter (telle que www.gotomeeting.com) et sur la page de connexion, cliquez sur l'option Utiliser mon identifiant d'entreprise (Use my company ID).

Entrez votre adresse e-mail. Vous devriez être redirigé vers les serveurs ADFS et être invité à vous connecter (ou si l'authentification Windows intégrée est utilisée, vous serez connecté automatiquement) après quoi vous serez envoyé directement sur le produit de votre choix.

.