Määrittäminen AD FS:n avulla

Näissä ohjeissa oletetaan, että käytät Microsoft Active Directory Federated Service -tunnistekehystä (AD FS) 2.0. Mikäli käytät uudempaa versiota, varmista, että Intranet-kaavaketodennus on käytössä (Todennuskäytännöt > Ensisijainen todennus > Intranet-kaavaketodennus).

AD FS:n määrittäminen

  1. Kirjaudu sisään omaan AD FS -hallintakonsoliisi.
  2. Valitse vasemmanpuoleisesta navigointipaneelista Luottavan osapuolen varmenne. Napsauta oikeassa navigointipaneelissa Lisää luottavan osapuolen varmenne.
  3. Napsauta Aloita.
  4. Valitse kohdassa 'Valitse tietojen lähde' vaihtoehto Syötä tiedot luottavasta osapuolesta manuaalisesti.
  5. Syötä kohdassa 'Määritä näytettävä nimi' jokin nimi (esimerkiksi Lifesize Cloud) sille luottavalle osapuolelle, jota olet luomassa (sekä mahdollisia huomautuksia).
  6. Valitse AD FS 2.0 -profiili.
  7. Siirry kohtaan Huolto > Varmenteet.
  8. Valitse tunnuksen allekirjoitusvarmenne ja avaa ominaisuudet napsauttamalla hiiren kakkospainikkeella. Valitse varmenteen tietoruudussa vienti Base-64 CER -tiedostoon.
  9. Avaa Base-64 CER -tiedosto tekstinkäsittelyohjelmassa ja liitä sisältö järjestelmänvalvojan paneelin X.509-osioon. Varmista, että otat mukaan Alku- ja Loppu-osiot.
  10. Kopioi ja tallenna Lifesize X.509-tietoturvavarmenne tiedostoon nimeltä lifesize.crt.

    -----VARMENTEEN ALKU-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----VARMENTEEN LOPPU-----

  11. Käytä AD FS > Määritä varmenne -kohdassa Selaa-painiketta etsiäksesi varmenteen ja ladataksesi sen. Napsauta sitten Seuraava.
  12. Valitse kohdassa 'Määritä URL' Ota käyttöön tuki SAML 2.0 -standardin WebSSO-protokollalle ja syötä tämä URL:

    https://login.lifesizecloud.com/ls/?acs

  13. Syötä kohdassa 'Määritä tunnistimet' tämä URL kohtaan Luottavan osapuolen varmenteen tunnistin. Muista sisällyttää lopussa oleva vinoviiva /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Napsauttamalla Lisää siirrät tunnistimen näytettävien listalle. Napsauta sitten Seuraava.
  15. Valitse kohdassa 'Valitse myönnön valtuutuksen säännöt' Salli kaikille käyttäjille pääsy tähän luottavaan osapuoleen. Napsauta sitten Seuraava.
  16. Tarkista asetukset kohdassa 'Valmiina lisäämään varmenteen' ja napsauta Seuraava lisätäksesi luottavan osapuolen varmenteen AD FS -määritystietokantaan.

Olet luonut ja määrittänyt luottavan osapuolen. Luo seuraavaksi väitesääntö, joka määrittää, kuinka tämä luottava osapuoli kommunikoi Active Directory -hakemistopalvelun kanssa.

 

Väitesäännön lisääminen

  1. Mikäli Muokkaa väitesääntöjä -ikkuna ei ole avoin, napsauta hiiren oikealla painikkeella luomaasi luottavaa osapuolta (Varmennesuhteet > Luottavan osapuolen varmenteet) ja valitse Muokkaa väitesääntöjä.
  2. Valitse Myönnön muuntosäännöt -välilehti ja napsauta sitten Lisää sääntö.
  3. Valitse kohdassa 'Valitse sääntömallinne' väitesääntömallinteen pudotusvalikosta kohta Lähetä LDAP-määritteet väitteinä ja napsauta sitten Seuraava.
  4. Nimeä väitesääntö kohdassa 'Määritä sääntö' käyttämällä nimeä, joka kuvaa sen tarkoitusta, esim. Hae sähköpostimääritteet AD:stä.
  5. Valitse Active Directory määritesäilön pudotusvalikosta.
  6. Yhdistä omat paikalliset LDAP-määritteet vastaaviin lähtevien väitetyyppien arvoihin. Määritenimien ja lausekkeiden (etunimisukunimi, sähköposti) tulee vastata Lifesize Cloudissa olevia tietoja.
  7. Napsauta Valmis.
  8. Valitse kohdassa 'Muokkaa väitesääntöjä' Myönnön muutoksen säännöt -välilehti ja napsauta sitten Lisää sääntö.
  9. Valitse kohdassa 'Valitse sääntömallinne' Lähetä väitteet muokattua sääntöä käyttäen ja napsauta sitten Seuraava.
  10. Anna nimi ja syötä sitten tämä määritys Mukautettu sääntö -kenttään:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Napsauta Lopeta ja tallenna sen jälkeen sääntö napsauttamalla OK tai Käytä.
  12. Valitse AD FS -pääikkunassa Luottavan osapuolen varmenteet vasemmasta selausvalikosta.
  13. Napsauta hiiren oikealla painikkeella juuri lisäämääsi kohtaa Luottavan osapuolen varmenne ja valitse Ominaisuudet.
  14. Valitse Allekirjoitus-välilehti ja napsauta Lisää...
  15. Selaa aiemmin tallentamaasi lifesize.crt-varmennetiedostoon ja lataa se AD FS:ään.
  16. Valitse Lisäasetukset -välilehti ja aseta kohtaan SHA (Secure hash algorithm) arvoksi SHA-1.
  17. Napsauta OK, kun toiminto on suoritettu.

Kertakirjautumisen määrittäminen, testaus ja käyttöönotto Lifesize-sovelluksessa

AD FS:n asettaminen Windows-palvelimellesi luo automaattisesti XML-perusteisen metatietotiedoston osoitteeseen:

https://Oma_verkkotunnuksesi/FederationMetadata/2007-06/FederationMetadata.xml

Näitä metatietoja vaihdetaan AD FS:n ja Lifesize-sovelluksen välillä, kun käyttäjä on todennettu, muodostaen näin perustan luottavalle varmenteelle.

Paikanna ensin FederationMetadata.xml -tiedosto Windows-palvelimeltasi. Avaa se millä tahansa normaalilla tekstinkäsittelyohjelmalla.

  1. Kirjaudu sisään Lifesizen hallintakonsoliin.
  2. Napsauta omaa profiilinimeäsi ja valitse Lisäasetukset.
  3. Siirry kohtaan  Kertakirjautumisen integrointi > Kertakirjautumisen määrittäminen ja täytä nämä kentät käyttäen AD FS -metatietotiedoston sisältöä:
    • Tunnistuspalvelun toimittaja: Kopioi <entityID> -määrite metatietotiedostostasi ja liitä URL tähän kenttään.
      Jos <entityID>-määritteesi näyttää esimerkiksi tältä:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Syötteesi tähän kenttään on:

      http://oma_verkkotunnuksesi/adfs/services/trust

    • Sisäänkirjautumisen URL: Kopioi <SingleSignOnService Location> -määrite metatietotiedostostasi ja liitä URL tähän kenttään.
      Jos <SingleSignOnService Location> -määritteesi näyttää esimerkiksi tältä:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Syötteesi tähän kenttään on:

      https://oma_verkkotunnus/adfs/ls

    • Varmenne: Kopioi X.509-tietoturvavarmenne <Allekirjoitus>-määrityksestä metatietotiedostossasi ja liitä se sitten tähän kenttään.

    HUOMAUTUS: Älä käytä <KeyDescriptor>-määrityksessä olevaa varmennetta.

  4.  Syötä kohdasta SAML-määritteen yhdistäminen metatietotiedostossasi oleva URI-arvo seuraaville yhdistämismääritteille:
    • Etunimi: Jos metatietotiedostosi esimerkiksi sisältää väitetyypin, joka kuvaa etunimen näin:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      Syötteesi Etunimi-kenttään on:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Sukunimi: Noudata samaa menetelmää sukunimen määritteessä. Tässä esimerkissä syötteesi on:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • Sähköposti: Noudata samaa menetelmää sähköpostiosoitemääritteessä. Tässä esimerkissä syötteesi on:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Napsauttamalla Testaa vahvistat AD FS -tunnistuspalvelupalvelimen asetukset.
  6. Kun testaus onnistuu, valitse Ota SSO käyttöön ja napsauta Päivitä.
  7. Napsauta Tallenna.