Deze instructies gaan ervan uit dat u het identiteitsframework van Microsoft Active Directory Federated Service (AD FS) 2.0 gebruikt. Als u een latere versie gebruikt, controleer dan of Verificatie intranetformulieren is ingeschakeld (Verificatiebeleid > Primaire verificatie > Verificatie intranetformulieren).
AD FS configureren
- Meld u aan bij uw AD FS-beheerconsole.
- Selecteer in het linkernavigatiepaneel Vertrouwensrelatie van de relying party. Selecteer in het rechternavigatiepaneel Vertrouwensrelatie van de relying party toevoegen.
- Klik op Start.
- In Gegevensbron selecteren kiest u Gegevens over de relying party handmatig invoeren.
- Voer in Weergavenaam opgeven een naam in (bijvoorbeeld Lifesize Cloud) voor de relying party die u aanmaakt (plus eventuele notities).
- Kies AD FS 2.0-profiel.
- Ga naar Service > Certificaten.
- Selecteer Certificaat voor tokenondertekening en klik met de rechtermuisknop om Eigenschappen te openen. Exporteer in het detailvenster van het certificaat naar een Base-64 CER-bestand.
- Open het Base-64 CER-bestand in een teksteditor en plak de inhoud in het X.509-certificaatgedeelte van het beheervenster, inclusief de gedeeltes -Begin- en -End-.
- Kopieer het Lifesize X.509-beveiligingscertificaat en sla het op in een bestand met de naam
lifesize.crt
.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
- Gebruik in AD FS > Certificaat configureren de knop Bladeren om het certificaat te vinden en te uploaden, en klik op Volgende.
- In URL configureren selecteert u Ondersteuning voor het SAML 2.0 WebSSO-protocol inschakelen en voert u deze URL in:
https://login.lifesizecloud.com/ls/?acs
- Voer in Identificators configureren deze URL in Identificator vertrouwensrelatie van de relying party in, waarbij u de schuine streep / op het eind niet vergeet:
https://login.lifesizecloud.com/ls/metadata/
- Klik op Toevoegen om de identificator naar de weergavelijst te verplaatsen en klik op Volgende.
- In Autorisatieregels voor uitgifte kiezen selecteert u Alle gebruikers toegang tot deze relying party toestaan en klikt u op Volgende.
- Controleer de instellingen in Klaar om vertrouwensrelatie toe te voegen en klik op Volgende om de vertrouwensrelatie van de relying party toe te voegen aan de AD FS-configuratiedatabase.
U heeft nu een relying party aangemaakt en gedefinieerd. Maak vervolgens een claimregel aan die bepaalt hoe deze relying party communiceert met Active Directory.
Een claimregel toevoegen
- Als het ventster Claimsregels bewerken niet geopend is, klikt u met de rechtermuisknop op de relying party die u heeft aangemaakt (Vertrouwensrelaties > Vertrouwensrelaties van de relying party) en selecteert u Claimregels bewerken.
- Selecteer het tabblad Transformatieregels voor uitgifte en klik op Regel toevoegen.
- In Regelsjabloon selecteren kiest u LDAP-kenmerken als claims versturen in de vervolgkeuzelijst voor claimregels en klikt u op Volgende.
- In Regel configureren geeft u de claimregel een naam die het doel ervan beschrijft, zoals E-mailkenmerken ophalen uit AD.)
- Selecteer Active Directory in de vervolgkeuzelijst kenmerkarchief.
- Wijs uw lokale LDAP-kenmerken toe aan de overeenkomende waarden voor Typen uitgaande claim. Kenmerknamen of -instructies (Voornaam, Achternaam, E-mailadres) moeten overeenkomen met die in Lifesize Cloud.
- Klik op Voltooien.
- Selecteer in Claimregels bewerken het tabblad Transformatieregels voor uitgifte en klik op Regel toevoegen.
- In Regelsjabloon selecteren kiest u Claims verzenden met een aangepaste regel en klikt u op Volgende.
- Wijs een naam toe en voer deze definitie in in het veld Aangepaste regel :
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
= "https://login.lifesizecloud.com/ls/metadata/");
- Klik op Voltooienen klik dan op OK of Toepassen om de regel op te slaan.
- In het AD FS-hoofdvenster selecteert u Vertrouwensrelaties van de relying party in de linkernavigatie.
- Klik met de rechtermuisknop op de Vertrouwensrelatie van de relying party die u zojuist heeft toegevoegd en selecteer Eigenschappen.
- Selecteer het tabblad Handtekening en klik op Toevoegen...
- Zoek het certificaatbestand
lifesize.crt
dat u eerder heeft opgeslagen en upload het naar AD FS.
- Selecteer het tabblad Geavanceerd en stel Veilig hashalgoritme in op SHA-1.
- Klik als u klaar bent op OK.
SSO configureren, testen en inschakelen in de Lifesize-app
Bij het installeren van AD FS op uw Windows-server wordt automatisch een XML-metagegevensbestand aangemaakt op:
https://Uw_Domeinnaam/FederationMetadata/2007-06/FederationMetadata.xml
Deze metagegevens worden uitgewisseld tussen AD FS en de Lifesize-app wanneer een gebruiker wordt geverifieerd en vormt de basis voor een vertrouwensrelatie.
Zoek eerst het bestand FederationMetadata.xml
op uw Windows-server. Open het met een standaard teksteditor.
- Meld u aan bij de Lifesize-beheerconsole.
- Klik op uw profielnaam en kies Geavanceerde instellingen.
- Ga naar SSO-integratie > SSO-configuratie en vul deze velden in met behulp van de inhoud van uw AD FS-metagegevensbestand:
- Identiteitsuitgever: kopieer het
<entityID>
-kenmerk uit uw metagegevensbestand en plak de URL in dit veld.
Als uw <entityID>
-kenmerk er bijvoorbeeld zo uitziet:
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="http://uw_domein/adfs/services/
trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">
Dan is uw invoer voor dit veld:
http://uw_domein/adfs/services/trust
- Inlog-URL: kopieer het
kenmerk <SingleSignOnService Location>
uit uw metagegevensbestand en plak de URL in dit veld.
Als uw kenmerk <SingleSignOnService Location>
er bijvoorbeeld zo uitziet:
<SingleSignOnService Location="https://uw_domein/adfs/ls/"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
Dan is uw invoer voor dit veld:
https://uw_domein/adfs/ls
- Certificaat: kopieer het X.509-beveiligingscertificaat van de
<Signature>
-definitie van uw metagegevensbestand en plak het in dit veld.
OPMERKING: Gebruik niet het certificaat in de <KeyDescriptor>
-definitie.
- Voer in Toewijzen SAML-kenmerken de URI-waarden in uit uw metagegevensbestand voor de volgende toewijzingskenmerken:
- Voornaam: als uw metagegevensbestand een claimtype bevat dat voornaam als volgt beschrijft:
<auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<auth:DisplayName>Voornaam</auth:DisplayName> <auth:Description>De voornaam van de gebruiker</auth:Description></auth:ClaimType>
Dan is uw invoer in het veld Voornaam:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Achternaam: volg dezelfde methode voor het kenmerk achternaam. In dit voorbeeld wordt uw invoer:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- E-mail: volg dezelfde methode voor het kenmerk e-mailadres. In dit voorbeeld wordt uw invoer:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Klik op Testen om uw instellingen te valideren bij de AD FS-identiteitsuitgeverserver.
- Als de test geslaagd is, selecteert u SSO inschakelen en klikt u op Updaten.
- Klik op Opslaan.