Configurar con AD FS

En estas instrucciones se da por hecho que está usando el marco de identidades Servicios de federación de Active Directory (AD FS) 2.0 de Microsoft. Si está usando una versión posterior, asegúrese de que Intranet Forms Authentication (Autenticación mediante formularios de intranet) esté activada (Authentication Policies > Primary Authentication > Intranet Forms Authentication [Directivas de autenticación > Autenticación principal > Autenticación mediante formularios de intranet]).

Configurar AD FS

  1. Inicie sesión en la consola de administración de AD FS.
  2. En el panel de navegación izquierdo, seleccione Relying Party Trust (Relación de confianza para usuario autenticado). En el panel de navegación derecho, haga clic en Add Relying Party Trust (Añadir relación de confianza de usuario autenticado).
  3. Haga clic en Start (Iniciar).
  4. En Select Data Source (Seleccionar origen de datos), seleccione Enter data about the relying party manually (Introducir datos sobre el usuario de confianza manualmente).
  5. En Specify Display Name (Especificar nombre para mostrar), introduzca un nombre (por ejemplo, Lifesize Cloud) para el usuario de confianza que está creando (junto con cualquier nota necesaria).
  6. Seleccione AD FS 2.0 profile (Perfil de AD FS 2.0).
  7. Vaya a Service > Certificates (Servicio > Certificados).
  8. Seleccione Token Signing Certificate (Certificado de firma de tokens) y haga clic con el botón derecho para abrir Properties (Propiedades). En el panel de detalles del certificado, exporte a un archivo CER en Base64.
  9. Abra el archivo CER en Base64 en un editor de texto y pegue el contenido en la sección de certificados X.509 en el panel de administración, asegurándose de incluir las secciones -Inicio- y -Final-.
  10. Copie el certificado de seguridad X.509 de Lifesize y guárdelo en un archivo llamado lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. En AD FS > Configure Certificate (Configurar certificado), use el botón Browse (Examinar) para localizar el certificado y cárguelo; después haga clic en Next (Siguiente).
  12. En Configure URL (Configurar URL), seleccione Enable support for the SAML 2.0 WebSSO protocol (Habilitar soporte para el protocolo WebSSO SAML 2.0) e introduzca esta URL:

    https://login.lifesizecloud.com/ls/?acs

  13. En Configure Identifiers (Configurar identificadores), introduzca esta URL en Relying party trust identifier (Identificador de relación de confianza para usuario autenticado), asegurándose de incluir la barra diagonal de cierre (/):

    https://login.lifesizecloud.com/ls/metadata/

  14. Haga clic en Add (Añadir) para mover el identificador en la lista y, posteriormente, haga clic en Next (Siguiente).
  15. En Choose Issuance Authorization Rules (Seleccionar reglas de autorización de emisión), seleccione Permit all users to access this relying party (Permitir que todos los usuarios accedan a este usuario de confianza) y, a continuación, haga clic en Next (Siguiente).
  16. En Ready to Add Trust (Listo para añadir relación de confianza), revise la configuración y haga clic en Next (Siguiente) para añadir la relación de confianza de usuario autenticado a la base de datos de configuración de AD FS.

De este modo habrá creado y definido un usuario de confianza. A continuación, cree una regla de notificación que determine cómo se comunica este usuario de confianza con Active Directory.

 

Añadir una regla de notificación

  1. Si no se abre la ventana Edit Claims Rules (Editar reglas de notificación), haga clic con el botón derecho del ratón en el usuario de confianza que ha creado (Trust Relationships Relying Party Trusts [Relaciones de confianza - Relación de confianza para usuario autenticado]) y seleccione Edit Claim Rules (Editar reglas de notificación).
  2. Seleccione la pestaña Issuance Transform Rules (Reglas de transformación de emisión) y haga clic en Add Rule (Añadir regla).
  3. En Select Rule Template (Seleccionar plantilla de regla), seleccione Send LDAP Attributes as Claims (Enviar atributos LDAP como notificaciones) en el menú desplegable de plantillas de reglas de notificación y, después, haga clic en Next (Siguiente).
  4. En Configure Rule (Configurar regla), asigne a la regla de notificación un nombre que describa su finalidad, por ejemplo Obtener atributos de correo electrónico desde AD.
  5. Seleccione Active Directory en el menú desplegable de almacenamiento de atributos.
  6. Asigne sus LDAP Attributes (Atributos LDAP) locales a los correspondientes valores de Outgoing Claim Types (Tipos de notificación saliente).Nombres de atributo o declaraciones (nombre, apellido, correo) que deben coincidir con los de Lifesize Cloud.
  7. Haga clic en Finish (Finalizar).
  8. En Edit Claim Rules (Editar reglas de notificación), seleccione la pestaña Issuance Transform Rules (Reglas de transformación de emisión) y haga clic en Add Rule (Añadir regla).
  9. En Select Rule Template (Seleccionar plantilla de regla), seleccione Send Claims Using a Custom Rule (Enviar notificaciones usando una regla personalizada) y haga clic en Next (Siguiente).
  10. Asigne un nombre e introduzca esta definición en el campo Custom rule (Regla personalizada):

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Haga clic primero en Finish (Finalizar) y, posteriormente, en OK (Aceptar) o Apply (Aplicar) para guardar la regla.
  12. En la ventana principal de AD FS, seleccione Relying Party Trust (Relación de confianza para usuario autenticado) en el área de navegación izquierda.
  13. Haga clic con el botón derecho del ratón en el Relying Party Trust (Relación de confianza para usuario autenticado) que acaba de añadir y seleccione Properties (Propiedades).
  14. Seleccione la pestaña Signature (Firma) y haga clic en Add (Añadir).
  15. Localice el archivo de certificado lifesize.crt que guardó anteriormente y cárguelo en AD FS.
  16. Seleccione la pestaña Advanced (Avanzado) y configure Secure hash algorithm (Algoritmo hash seguro) como SHA-1.
  17. Haga clic en OK (Aceptar) cuando termine.

Configurar, probar y activar SSO en la aplicación de Lifesize

Al configurar AD FS en su sistema Windows Server, se crea automáticamente un archivo de metadatos basado en XML en:

https://Su_nombre_de_dominio/FederationMetadata/2007-06/FederationMetadata.xml

Estos metadatos se intercambian entre AD FS y Lifesize cuando se autentica un usuario, creando la base para una relación de confianza.

En primer lugar, localice el archivo FederationMetadata.xml en su sistema Windows Server. Ábralo con cualquier editor de texto estándar.

  1. Inicie sesión en la consola del administrador de Lifesize.
  2. Haga clic en su nombre de perfil y seleccione Configuración avanzada.
  3. Vaya a Integración de SSO > Configuración de SSO y rellene estos campos con el contenido de su archivo de metadatos de AD FS:
    • Emisor proveedor de identidades: copie el atributo <entityID> de su archivo de metadatos y pegue la URL en este campo.
      Por ejemplo, si su atributo <entityID> tiene el siguiente aspecto:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://su_dominio/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      La entrada que debe usar en este campo es:

      http://su_dominio/adfs/services/trust

    • URL de inicio de sesión: copie el atributo <SingleSignOnService Location> de su archivo de metadatos y pegue la URL en este campo.
      Por ejemplo, si su atributo <SingleSignOnService Location> tiene este aspecto:

      <SingleSignOnService Location="https://su_dominio/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      La entrada que debe usar en este campo es:

      https://su_dominio/adfs/ls

    • Certificado: copie el certificado de seguridad X.509 de la definición <Signature> de su archivo de metadatos y, posteriormente, péguela en este campo.

    NOTA: No use el certificado que aparece en la definición <KeyDescriptor>.

  4. En Asignación de atributos de SAML, introduzca los valores de URI que aparecen en su archivo de metadatos para los siguientes atributos de asignación:
    • Nombre: por ejemplo, si su archivo de metadatos contiene un tipo de notificación que describe el nombre del siguiente modo:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Nombre dado</auth:DisplayName> <auth:Description>El nombre del usuario dado</auth:Description></auth:ClaimType>

      La entrada correcta para el campo Nombre es:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Apellidos: siga el mismo método para el atributo de los apellidos. En este ejemplo, la entrada correcta es:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • Correo electrónico: siga el mismo método para el atributo de la dirección de correo electrónico. En este ejemplo, la entrada correcta es:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Haga clic en Probar para validar la configuración con el servidor del proveedor de identidades de AD FS.
  6. Cuando la prueba sea correcta, seleccione Activar SSO y haga clic en Actualizar.
  7. Haga clic en Guardar.