Configureren met AD FS

Deze instructies gaan ervan uit dat u het identiteitsframework van Microsoft Active Directory Federated Service (AD FS) 2.0 gebruikt. Als u een latere versie gebruikt, controleer dan of Verificatie intranetformulieren is ingeschakeld (Verificatiebeleid > Primaire verificatie > Verificatie intranetformulieren).

AD FS configureren

  1. Meld u aan bij uw AD FS-beheerconsole.
  2. Selecteer in het linkernavigatiepaneel Vertrouwensrelatie van de relying party. Selecteer in het rechternavigatiepaneel Vertrouwensrelatie van de relying party toevoegen.
  3. Klik op Start.
  4. In Gegevensbron selecteren kiest u Gegevens over de relying party handmatig invoeren.
  5. Voer in Weergavenaam opgeven een naam in (bijvoorbeeld Lifesize Cloud) voor de relying party die u aanmaakt (plus eventuele notities).
  6. Kies AD FS 2.0-profiel.
  7. Ga naar Service > Certificaten.
  8. Selecteer Certificaat voor tokenondertekening en klik met de rechtermuisknop om Eigenschappen te openen. Exporteer in het detailvenster van het certificaat naar een Base-64 CER-bestand.
  9. Open het Base-64 CER-bestand in een teksteditor en plak de inhoud in het X.509-certificaatgedeelte van het beheervenster, inclusief de gedeeltes -Begin- en -End-.
  10. Kopieer het Lifesize X.509-beveiligingscertificaat en sla het op in een bestand met de naam lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. Gebruik in AD FS > Certificaat configureren de knop Bladeren om het certificaat te vinden en te uploaden, en klik op Volgende.
  12. In URL configureren selecteert u Ondersteuning voor het SAML 2.0 WebSSO-protocol inschakelen en voert u deze URL in:

    https://login.lifesizecloud.com/ls/?acs

  13. Voer in Identificators configureren deze URL in Identificator vertrouwensrelatie van de relying party in, waarbij u de schuine streep / op het eind niet vergeet:

    https://login.lifesizecloud.com/ls/metadata/

  14. Klik op Toevoegen om de identificator naar de weergavelijst te verplaatsen en klik op Volgende.
  15. In Autorisatieregels voor uitgifte kiezen selecteert u Alle gebruikers toegang tot deze relying party toestaan en klikt u op Volgende.
  16. Controleer de instellingen in Klaar om vertrouwensrelatie toe te voegen en klik op Volgende om de vertrouwensrelatie van de relying party toe te voegen aan de AD FS-configuratiedatabase.

U heeft nu een relying party aangemaakt en gedefinieerd. Maak vervolgens een claimregel aan die bepaalt hoe deze relying party communiceert met Active Directory.

 

Een claimregel toevoegen

  1. Als het ventster Claimsregels bewerken niet geopend is, klikt u met de rechtermuisknop op de relying party die u heeft aangemaakt (Vertrouwensrelaties > Vertrouwensrelaties van de relying party) en selecteert u Claimregels bewerken.
  2. Selecteer het tabblad Transformatieregels voor uitgifte en klik op Regel toevoegen.
  3. In Regelsjabloon selecteren kiest u LDAP-kenmerken als claims versturen in de vervolgkeuzelijst voor claimregels en klikt u op Volgende.
  4. In Regel configureren geeft u de claimregel een naam die het doel ervan beschrijft, zoals E-mailkenmerken ophalen uit AD.)
  5. Selecteer Active Directory in de vervolgkeuzelijst kenmerkarchief.
  6. Wijs uw lokale LDAP-kenmerken toe aan de overeenkomende waarden voor Typen uitgaande claim. Kenmerknamen of -instructies (VoornaamAchternaamE-mailadres) moeten overeenkomen met die in Lifesize Cloud.
  7. Klik op Voltooien.
  8. Selecteer in Claimregels bewerken het tabblad Transformatieregels voor uitgifte en klik op Regel toevoegen.
  9. In Regelsjabloon selecteren kiest u Claims verzenden met een aangepaste regel en klikt u op Volgende.
  10. Wijs een naam toe en voer deze definitie in in het veld Aangepaste regel :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Klik op Voltooienen klik dan op OK of Toepassen om de regel op te slaan.
  12. In het AD FS-hoofdvenster selecteert u Vertrouwensrelaties van de relying party in de linkernavigatie.
  13. Klik met de rechtermuisknop op de Vertrouwensrelatie van de relying party die u zojuist heeft toegevoegd en selecteer Eigenschappen.
  14. Selecteer het tabblad Handtekening en klik op Toevoegen...
  15. Zoek het certificaatbestand lifesize.crt dat u eerder heeft opgeslagen en upload het naar AD FS.
  16. Selecteer het tabblad Geavanceerd en stel Veilig hashalgoritme in op SHA-1.
  17. Klik als u klaar bent op OK.

SSO configureren, testen en inschakelen in de Lifesize-app

Bij het installeren van AD FS op uw Windows-server wordt automatisch een XML-metagegevensbestand aangemaakt op:

https://Uw_Domeinnaam/FederationMetadata/2007-06/FederationMetadata.xml

Deze metagegevens worden uitgewisseld tussen AD FS en de Lifesize-app wanneer een gebruiker wordt geverifieerd en vormt de basis voor een vertrouwensrelatie.

Zoek eerst het bestand FederationMetadata.xml op uw Windows-server. Open het met een standaard teksteditor.

  1. Meld u aan bij de Lifesize-beheerconsole.
  2. Klik op uw profielnaam en kies Geavanceerde instellingen.
  3. Ga naar SSO-integratie > SSO-configuratie en vul deze velden in met behulp van de inhoud van uw AD FS-metagegevensbestand:
    • Identiteitsuitgever: kopieer het <entityID>-kenmerk uit uw metagegevensbestand en plak de URL in dit veld.
      Als uw <entityID>-kenmerk er bijvoorbeeld zo uitziet:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://uw_domein/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Dan is uw invoer voor dit veld:

      http://uw_domein/adfs/services/trust

    • Inlog-URL: kopieer het kenmerk <SingleSignOnService Location> uit uw metagegevensbestand en plak de URL in dit veld.
      Als uw kenmerk <SingleSignOnService Location> er bijvoorbeeld zo uitziet:

      <SingleSignOnService Location="https://uw_domein/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Dan is uw invoer voor dit veld:

      https://uw_domein/adfs/ls

    • Certificaat: kopieer het X.509-beveiligingscertificaat van de <Signature>-definitie van uw metagegevensbestand en plak het in dit veld.

    OPMERKING: Gebruik niet het certificaat in de <KeyDescriptor>-definitie.

  4.  Voer in Toewijzen SAML-kenmerken de URI-waarden in uit uw metagegevensbestand voor de volgende toewijzingskenmerken:
    • Voornaam: als uw metagegevensbestand een claimtype bevat dat voornaam als volgt beschrijft:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Voornaam</auth:DisplayName> <auth:Description>De voornaam van de gebruiker</auth:Description></auth:ClaimType>

      Dan is uw invoer in het veld Voornaam:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Achternaam: volg dezelfde methode voor het kenmerk achternaam. In dit voorbeeld wordt uw invoer:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-mail: volg dezelfde methode voor het kenmerk e-mailadres. In dit voorbeeld wordt uw invoer:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Klik op Testen om uw instellingen te valideren bij de AD FS-identiteitsuitgeverserver.
  6. Als de test geslaagd is, selecteert u SSO inschakelen en klikt u op Updaten.
  7. Klik op Opslaan.