Konfigurace pomocí služby AD FS

Tyto pokyny předpokládají, že používáte architekturu Microsoft Active Directory Federated Service Identity (AD FS) 2.0. Pokud používáte novější verzi, ujistěte se, že je povoleno Ověřování formulářů intranetu (Zásady ověřování > Primární ověřování > Ověřování formulářů intranetu).

Konfigurace pomocí služby AD FS

  1. Přihlaste se ke konzole správy služby AD FS.
  2. V levém navigačním podokně vyberte Důvěryhodnost předávající strany. V pravém navigačním podokně klikněte na Přidat důvěryhodnost předávající strany.
  3. Klikněte na Start.
  4. Včásti Vybrat zdroj dat vyberte  Zadat data o předávající straně ručně.
  5. V části Specifikovat název zobrazení zadejte název (například Lifesize Cloud) pro předávající stranu, kterou právě vytváříte (plus případné poznámky).
  6. Vyberte Profil AD FS 2.0.
  7. Přejděte na Služba > Certifikáty.
  8. Vyberte Token pro podpisový certifikát a kliknutím pravým tlačítkem myši otevřete Vlastnosti. V podokně podrobností certifikátu proveďte export do souboru CER Base-64.
  9. Otevřete soubor CER Base-64 v textovém editoru a vložte obsah do části pro certifikát X.509 v panelu správce, přičemž nezapomeňte uvést -Začátek- a -Konec- sekce.
  10. Zkopírujte a uložte certifikát zabezpečení Lifesize X.509 do souboru s názvem lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. V nabídce AD FS > Konfigurovat certifikát pomocí tlačítka Procházet vyhledejte certifikát a uložte jej, poté klikněte na Další.
  12. V Konfiguraci adresy URL vyberte Povolit podporu protokolu SAML 2.0 WebSSO a zadejte následující adresu URL:

    https://login.lifesizecloud.com/ls/?acs

  13. V části Konfigurace identifikátorů do pole Identifikátor důvěryhodnosti předávající strany zadejte tuto adresu URL a nezapomeňte zadat uzavírací lomítko /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Kliknutím na Přidat přesuňte identifikátor v seznamu zobrazení a klikněte na Další.
  15. V části Zvolit autorizační pravidla vystavování vyberte Povolit všem uživatelům přístup k této předávající straně a klikněte na Další.
  16. V části Připraven k přidání důvěryhodnosti zkontrolujte nastavení a klikněte na Další, čímž přidáte důvěryhodnost předávající strany do konfigurační databáze AD FS.

Vytvořili a definovali jste předávající stranu. Dále vytvořte pravidlo deklarací, které bude určovat, jak tato předávající strana komunikuje se službou Active Directory.

 

Přidání pravidla deklarací

  1. Jestliže okno Upravit pravidla deklarací není otevřené, klikněte pravým tlačítkem na předávající stranu, kterou jste vytvořili (Vztahy důvěryhodnosti > Důvěryhodnost předávající strany) a zvolte Upravit pravidla deklarací.
  2. Vyberte kartu Pravidla transformace vystavování a klikněte na Přidat pravidlo.
  3. V části Vybrat šablonu pravidla zvolte Odesílat atributy LDAP jako deklarace v rozevírací nabídce pravidel deklarací a klikněte na Další.
  4. V části Konfigurovat pravidlo pojmenujte pravidlo deklarací pomocí názvu, který popisuje jeho účel, například Získat atributy emailu z AD.)
  5. Z rozevírací nabídky vlastností úložiště vyberte Aktivní adresář.
  6. Mapujte místní atributy LDAP na odpovídající hodnoty Odchozích typů deklarací . Názvy atributů nebo příkazy  (křestní jménoPříjmeníe-mailová adresa ) musí odpovídat názvům v Lifesize Cloud.
  7. Klikněte na Dokončit.
  8. V Upravit pravidla deklarací vyberte kartu Pravidla transformace vystavování a klepněte na Přidat pravidlo.
  9. V části Vybrat šablonu pravidla vyberte Odesílat deklarace pomocí vlastního pravidla a klikněte na Další.
  10. Přiřaďte název, pak do pole Vlastní pravidlo zadejte tuto definici:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Klikněte na Dokončit a poté uložte pravidlo kliknutím na OK nebo Použít.
  12. V hlavním okně AD FS vyberte Důvěryhodnost předávající strany v levém navigačním panelu.
  13. Klikněte pravým tlačítkem myši na položku Důvěryhodnost předávající strany, kterou jste právě přidali a vyberte Vlastnosti.
  14. Vyberte kartu Podpis a klikněte na Přidat...
  15. Přejděte na soubor certifikátu lifesize.crt, který jste předtím uložili a nahrajte na AD FS.
  16. Vyberte kartu Upřesnit a nastavte Zabezpečení algoritmu hash na SHA-1.
  17. Po dokončení klikněte na OK .

Konfigurace, testování a povolení SSO v aplikaci Lifesize

Při nastavení AD FS v systému Windows server automaticky vytvoří metadatový soubor XML v tomto umístění:

https://Název_vaší_domény/FederationMetadata/2007-06/FederationMetadata.xml

Tato metadata se vyměňují mezi AD FS a aplikací Lifesize po ověření uživatele, což tvoří základ důvěryhodnosti předávající strany.

Nejprve vyhledejte soubor FederationMetadata.xml na vašem Windows Serveru. Otevřete jej v libovolném standardním textovém editoru.

  1. Přihlaste se ke konzole správce Lifesize.
  2. Klikněte na název profilu a zvolte Upřesnit nastavení.
  3. Přejděte na Integrace SSO > Konfigurace SSO a vyplňte tato pole pomocí obsahu souboru metadat služby AD FS:
    • Vystavitel poskytovatele identity: Zkopírujte  atribut  <entityID> ze souboru metadat a vložte adresu URL do tohoto pole.
      Například pokud atribut <entityID> vypadá takto:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://vaše_doména/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Vaše položka pro toto pole je:

      http://vaše doména/adfs/services/trust

    • Přihlašovací adresa URL: Zkopírujte atribut  <SingleSignOnService Location> ze souboru metadat  a vložte adresu URL do tohoto pole.
      Například pokud atribut <SingleSignOnService Location> vypadá takto:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Vaše položka pro toto pole je:

      https://vaše_doména/adfs/ls

    • Certifikát: Zkopírujte certifikát zabezpečení X.509 z definice <Podpis> souboru metadat a potom vložte do tohoto pole.

    POZNÁMKA: Nepoužívejte certifikát obsažený v definici <KeyDescriptor>

  4.  Do pole Mapování atributů SAML zadejte hodnoty URI ze souboru metadat pro následující atributy mapování:
    • Křestní jméno: Pokud soubor metadat obsahuje typ deklarace popisující křestní jméno jako je tento:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Celé jméno</auth:DisplayName> <auth:Description>Celé jméno uživatele</auth:Description></auth:ClaimType>

      Do pole Křestní jméno jste zadali:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Příjmení: Postupujte stejným způsobem pro atribut příjmení. V tomto příkladu je zadáno:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-mail: Postupujte stejným způsobem pro atribut e-mailové adresy . V tomto příkladu je zadáno:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Kliknutím na Test ověřte nastavení na serveru poskytovatele identity AD FS.
  6. Po úspěšném testování vyberte Povolit SSO, pak klikněte na Aktualizovat.
  7. Klikněte na Uložit.