Tyto pokyny předpokládají, že používáte architekturu Microsoft Active Directory Federated Service Identity (AD FS) 2.0. Pokud používáte novější verzi, ujistěte se, že je povoleno Ověřování formulářů intranetu (Zásady ověřování > Primární ověřování > Ověřování formulářů intranetu).
Konfigurace pomocí služby AD FS
- Přihlaste se ke konzole správy služby AD FS.
- V levém navigačním podokně vyberte Důvěryhodnost předávající strany. V pravém navigačním podokně klikněte na Přidat důvěryhodnost předávající strany.
- Klikněte na Start.
- Včásti Vybrat zdroj dat vyberte Zadat data o předávající straně ručně.
- V části Specifikovat název zobrazení zadejte název (například Lifesize Cloud) pro předávající stranu, kterou právě vytváříte (plus případné poznámky).
- Vyberte Profil AD FS 2.0.
- Přejděte na Služba > Certifikáty.
- Vyberte Token pro podpisový certifikát a kliknutím pravým tlačítkem myši otevřete Vlastnosti. V podokně podrobností certifikátu proveďte export do souboru CER Base-64.
- Otevřete soubor CER Base-64 v textovém editoru a vložte obsah do části pro certifikát X.509 v panelu správce, přičemž nezapomeňte uvést -Začátek- a -Konec- sekce.
- Zkopírujte a uložte certifikát zabezpečení Lifesize X.509 do souboru s názvem
lifesize.crt
.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
- V nabídce AD FS > Konfigurovat certifikát pomocí tlačítka Procházet vyhledejte certifikát a uložte jej, poté klikněte na Další.
- V Konfiguraci adresy URL vyberte Povolit podporu protokolu SAML 2.0 WebSSO a zadejte následující adresu URL:
https://login.lifesizecloud.com/ls/?acs
- V části Konfigurace identifikátorů do pole Identifikátor důvěryhodnosti předávající strany zadejte tuto adresu URL a nezapomeňte zadat uzavírací lomítko /:
https://login.lifesizecloud.com/ls/metadata/
- Kliknutím na Přidat přesuňte identifikátor v seznamu zobrazení a klikněte na Další.
- V části Zvolit autorizační pravidla vystavování vyberte Povolit všem uživatelům přístup k této předávající straně a klikněte na Další.
- V části Připraven k přidání důvěryhodnosti zkontrolujte nastavení a klikněte na Další, čímž přidáte důvěryhodnost předávající strany do konfigurační databáze AD FS.
Vytvořili a definovali jste předávající stranu. Dále vytvořte pravidlo deklarací, které bude určovat, jak tato předávající strana komunikuje se službou Active Directory.
Přidání pravidla deklarací
- Jestliže okno Upravit pravidla deklarací není otevřené, klikněte pravým tlačítkem na předávající stranu, kterou jste vytvořili (Vztahy důvěryhodnosti > Důvěryhodnost předávající strany) a zvolte Upravit pravidla deklarací.
- Vyberte kartu Pravidla transformace vystavování a klikněte na Přidat pravidlo.
- V části Vybrat šablonu pravidla zvolte Odesílat atributy LDAP jako deklarace v rozevírací nabídce pravidel deklarací a klikněte na Další.
- V části Konfigurovat pravidlo pojmenujte pravidlo deklarací pomocí názvu, který popisuje jeho účel, například Získat atributy emailu z AD.)
- Z rozevírací nabídky vlastností úložiště vyberte Aktivní adresář.
- Mapujte místní atributy LDAP na odpovídající hodnoty Odchozích typů deklarací . Názvy atributů nebo příkazy (křestní jméno, Příjmení, e-mailová adresa ) musí odpovídat názvům v Lifesize Cloud.
- Klikněte na Dokončit.
- V Upravit pravidla deklarací vyberte kartu Pravidla transformace vystavování a klepněte na Přidat pravidlo.
- V části Vybrat šablonu pravidla vyberte Odesílat deklarace pomocí vlastního pravidla a klikněte na Další.
- Přiřaďte název, pak do pole Vlastní pravidlo zadejte tuto definici:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
= "https://login.lifesizecloud.com/ls/metadata/");
- Klikněte na Dokončit a poté uložte pravidlo kliknutím na OK nebo Použít.
- V hlavním okně AD FS vyberte Důvěryhodnost předávající strany v levém navigačním panelu.
- Klikněte pravým tlačítkem myši na položku Důvěryhodnost předávající strany, kterou jste právě přidali a vyberte Vlastnosti.
- Vyberte kartu Podpis a klikněte na Přidat...
- Přejděte na soubor certifikátu
lifesize.crt
, který jste předtím uložili a nahrajte na AD FS.
- Vyberte kartu Upřesnit a nastavte Zabezpečení algoritmu hash na SHA-1.
- Po dokončení klikněte na OK .
Konfigurace, testování a povolení SSO v aplikaci Lifesize
Při nastavení AD FS v systému Windows server automaticky vytvoří metadatový soubor XML v tomto umístění:
https://Název_vaší_domény/FederationMetadata/2007-06/FederationMetadata.xml
Tato metadata se vyměňují mezi AD FS a aplikací Lifesize po ověření uživatele, což tvoří základ důvěryhodnosti předávající strany.
Nejprve vyhledejte soubor FederationMetadata.xml
na vašem Windows Serveru. Otevřete jej v libovolném standardním textovém editoru.
- Přihlaste se ke konzole správce Lifesize.
- Klikněte na název profilu a zvolte Upřesnit nastavení.
- Přejděte na Integrace SSO > Konfigurace SSO a vyplňte tato pole pomocí obsahu souboru metadat služby AD FS:
- Vystavitel poskytovatele identity: Zkopírujte atribut
<entityID>
ze souboru metadat a vložte adresu URL do tohoto pole.
Například pokud atribut <entityID>
vypadá takto:
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="http://vaše_doména/adfs/services/
trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">
Vaše položka pro toto pole je:
http://vaše doména/adfs/services/trust
- Přihlašovací adresa URL: Zkopírujte atribut
<SingleSignOnService Location>
ze souboru metadat a vložte adresu URL do tohoto pole.
Například pokud atribut <SingleSignOnService Location>
vypadá takto:
<SingleSignOnService Location="https://your_domain/adfs/ls/"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
Vaše položka pro toto pole je:
https://vaše_doména/adfs/ls
- Certifikát: Zkopírujte certifikát zabezpečení X.509 z definice
<Podpis>
souboru metadat a potom vložte do tohoto pole.
POZNÁMKA: Nepoužívejte certifikát obsažený v definici <KeyDescriptor>
.
- Do pole Mapování atributů SAML zadejte hodnoty URI ze souboru metadat pro následující atributy mapování:
- Křestní jméno: Pokud soubor metadat obsahuje typ deklarace popisující křestní jméno jako je tento:
<auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<auth:DisplayName>Celé jméno</auth:DisplayName> <auth:Description>Celé jméno uživatele</auth:Description></auth:ClaimType>
Do pole Křestní jméno jste zadali:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Příjmení: Postupujte stejným způsobem pro atribut příjmení. V tomto příkladu je zadáno:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- E-mail: Postupujte stejným způsobem pro atribut e-mailové adresy . V tomto příkladu je zadáno:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Kliknutím na Test ověřte nastavení na serveru poskytovatele identity AD FS.
- Po úspěšném testování vyberte Povolit SSO, pak klikněte na Aktualizovat.
- Klikněte na Uložit.