Configurazione dell'autenticazione singola con AD FS

Queste istruzioni si basano sull'uso dell'identity framework Microsoft Active Directory Federated Service (AD FS) 2.0. Se stai usando una versione successiva, verifica che l'opzione Autenticazione moduli Intranet sia attivata (Criteri di autenticazione > Autenticazione primaria > Autenticazione moduli Intranet).

Configura AD FS

  1. Accedi alla tua console di gestione AD FS.
  2. Nel pannello di navigazione a sinistra, seleziona attendibilità del relying party. Nel pannello di navigazione a destra, fai clic su Aggiungi attendibilità del relying party.
  3. Fai clic su Inizia.
  4. In Seleziona fonte dei dati, scegli Inserisci manualmente i dati del relying party.
  5. In Specifica nome visualizzato, digita un nome (per esempio Lifesize Cloud) per il relying party che stai creando (con eventuali note).
  6. Seleziona Profilo AD FS 2.0.
  7. Vai su Servizi > Certificati.
  8. Seleziona Certificato per la firma di token e fai clic con il tasto destro del mouse per aprire la sezione Proprietà. Nel riquadro dei dettagli del certificato, esporta il file in formato CER Base-64.
  9. Apri il file in formato CER Base-64 in un editor di testo e incolla il contenuto nella sezione del certificato X.509, all'interno del riquadro di amministrazione. Accertati di includere le sezioni -Inizio- e -Fine-.
  10. Copia il certificato di sicurezza Lifesize X.509 e salvalo in un file chiamato lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. In AD FS > Configura certificato, usa il pulsante Naviga per individuare il certificato e caricarlo, quindi fai clic su Successivo.
  12. In Configura URL, seleziona Abilita supporto per il protocollo SAML 2.0 WebSSO e digita questo URL:

    https://login.lifesizecloud.com/ls/?acs

  13. In Configura identificatori, digita questo URL in Identificatore dell'attendibilità del relying party, ricordandoti di includere la barra di chiusura "/":

    https://login.lifesizecloud.com/ls/metadata/

  14. Fai clic su Aggiungi per spostare l'identificatore nell'elenco di visualizzazione, quindi fai clic su Successivo.
  15. In Scegli regole di autorizzazione rilascio, seleziona Consenti a tutti gli utenti di accedere a questo relying party, quindi fai clic su Successivo.
  16. In Pronto per aggiungere attendibilità, revisiona le impostazioni, quindi fai clic su Successivo per aggiungere l'attendibilità del relying party nel database di configurazione AD FS.

In questo modo hai creato e definito un relying party. A questo punto, crea una regola di attestazione che stabilisca in che modo il relying party comunica con la Active Directory.

 

Aggiungi una regola attestazioni

  1. Se la finestra Modifica regole di attestazione non è aperta, fai clic con il tasto destro del mouse sul relying party che hai creato (Relazioni di attendibilità > Attendibilità del relying party) e seleziona Modifica regole di attestazione.
  2. Seleziona la scheda Regole di trasformazione del rilascio, poi fai clic su Aggiungi regola.
  3. In Seleziona template regola, seleziona Invia attributi LDAP come attestazioni dal menu a discesa del template delle regole di attestazione, quindi fai clic su Successivo.
  4. In Configura regola, assegna un nome alla regola di attestazione usando un termine che ne descriva la finalità, per esempio Ottieni attributi e-mail da AD.
  5. Seleziona Active Directory nel menu a discesa dell'archivio di attributi.
  6. Mappa i tuoi Attributi LDAP locali con i corrispondenti valori Tipi di attestazioni in uscita.  I nomi o le dichiarazioni di attributo (nomecognome, e-mail) devono corrispondere a quelli presenti in Lifesize Cloud.
  7. Fai clic su Fine.
  8. In Modifica regole di attestazione, seleziona la scheda Regole di trasformazione rilascio, quindi fai clic su Aggiungi regola.
  9. In Seleziona template regola, scegli Invia attestazioni usando una regola personalizzata, quindi fai clic su Successivo.
  10. Assegna un nome, poi digita la seguente definizione nel campo Regola personalizzata:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Fai clic su Fine, quindi fai clic su OK o Applica per salvare la regola.
  12. Nella finestra AD FS principale, seleziona attendibilità del relying party dal menu di navigazione sulla sinistra.
  13. Fai clic con il tasto destro del mouse sul attendibilità del relying party appena aggiunto e seleziona Proprietà.
  14. Seleziona la scheda Firma, quindi fai clic su Aggiungi…
  15. Naviga fino al file di certificato lifesize.crt precedentemente salvato e caricalo in AD FS.
  16. Seleziona la scheda Impostazioni avanzate e imposta Algoritmo di hash sicuro su SHA-1.
  17. Al termine fai clic su OK.

Configura, verifica e abilita la SSO in Lifesize Cloud

Impostando AD FS sul tuo server Windows, viene automaticamente creato un file di metadati XML in:

https://nome_tuo_dominio/FederationMetadata/2007-06/FederationMetadata.xml

Tali metadati vengono scambiati fra AD FS e Lifesize Cloud quando un utente esegue l'autenticazione, ponendo le basi per un relying trust.

Per prima cosa, individua il file FederationMetadata.xml nel tuo server Windows. Aprilo con un qualsiasi editor di testi standard.

  1. Accedi alla console web di Lifesize Cloud.
  2. Fai clic sul nome del tuo profilo e seleziona Impostazioni avanzate.
  3. Vai a Integrazione SSO > Configurazione SSO e compila questi campi usando i contenuti del tuo file di metadati AD FS.
    • Autorità di certificazione del provider di identità: copia l'attributo <entityID> dal file di metadati e incolla l'URL in questo campo.
      Per esempio, se il tuo attributo <entityID> è così:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      In questo campo devi digitare:

      http://tuo_dominio/adfs/services/trust

    • URL di accesso: copia l'attributo <SingleSignOnService Location> dal file di metadati e incolla l'URL in questo campo.
      Per esempio, se il tuo attributo <SingleSignOnService Location> è così:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      In questo campo devi digitare:

      https://tuo_dominio/adfs/ls

    • Certificato: copia il certificato di protezione X.509 dalla definizione <Signature>  del tuo file di metadati, quindi incollalo in questo campo.

    NOTA: non usare il certificato contenuto nella definizione <KeyDescriptor>.

  4.  In Mapping attributi SAML, digita il valore URI presente nel tuo file di metadati per i seguenti attributi del mapping:
    • Nome: se il tuo file di metadati contiene un tipo di attestazione che descrive il Nome così:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      Nel campo Nome devi digitare:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Cognome: usa lo stesso metodo per l'attributo cognome. In questo esempio, devi digitare:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-mail: usa lo stesso metodo per l'attributo indirizzo e-mail. In questo esempio, devi digitare:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Fai clic su Prova per convalidare le tue impostazioni con il server del provider di identità AD FS.
  6. Quando il test è stato completato correttamente, seleziona Attiva SSO, quindi fai clic su Aggiorna.
  7. Fai clic su Salva.