Konfigurer ved hjelp av AD FS

Disse instruksjonene forutsetter at du bruker identitetsrammeverket Microsoft Active Directory Federated Service (AD FS) 2.0. Hvis du bruker en nyere versjon, sørg for at  Godkjenning av Intranett-skjemaer er aktivert (Retningslinjer for godkjenning > Primær godkjenning > Godkjenning av Intranett-skjemaer).

Konfigurere AD FS

  1. Logg inn på AD FS-administrasjonskonsollen.
  2. I venstre navigeringsvindu velger du Beroende part. I høyre navigeringsvindu velger du  Legg til beroende part.
  3. Klikk på Start.
  4. I Velg datakilde velger du  Oppgi data om den beroende parten manuelt.
  5. I Angi visningsnavn oppgir du et navn (for eksempel,  Lifesize Cloud) på den beroende parten du oppretter (i tillegg til alle merknader).
  6. Velg  AD FS 2.0 profil.
  7. Naviger til Service > Sertifikater.
  8. Velg Signeringssertifikat og høyreklikk for å åpne Egenskaper. I detaljer-vinduet i sertifikatet, eksporter til en Base-64 CER-fil.
  9. Åpne Base-64 CER-filen i et tekstredigeringsprogram og lim innholdet inn i X.509-sertifikatdelen i admin-vinduet. Påse at både -Start- og -Slutt- delene er tatt med.
  10. Kopier og lagre Lifesize X.509 sikkerhetssertifikatet til en fil med navn   lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. I AD FS > Konfigurer sertifikat, bruk knappen Bla til å finne sertifikatet og laste det opp, klikk deretter på Neste.
  12. I Konfigurer URL, velger du  Aktiver støtte for SAML 2.0 WebSSO-protokoll  og oppgir denne URL-adressen:

    https://login.lifesizecloud.com/ls/?acs

  13. I Konfigurer identifikatorer, oppgi denne URL-adressen i  identifikatoren Beroende part, og sørg for å inkludere skråstreken til slutt /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Klikk på  Legg til  for å flytte identifikatoren i displaylisten og klikk deretter på  Neste.
  15. I Velg regler for godkjenning av utstedelse, velger du  Tillat at alle brukere får tilgang til denne beroende partog trykk deretter på  Neste.
  16. I Klar til å legge til klarering, gå gjennom innstillingene og klikk deretter på  Neste  for å legge til beroende part til AD FS-konfigurasjonsdatabasen.

Du har opprettet og definert en beroende part. Neste trinn er å opprette en kravregel som bestemmer hvordan denne beroende parten kommuniserer med Active Directory.

 

Legg til en kravregel

  1. Hvis  Rediger regler for krav -vinduet ikke er åpent, høyreklikker du på den beroende parten du opprettet (Klareringsrelasjoner > Beroende parter)) og velger  Rediger regler for krav.
  2. Velg  fanen Regler for endring av utstedelse  og klikk deretter på  Legg til regel.
  3. I Velg regelmal, velger du  Send LDAP-attributter som krav  i nedtrekkslistemenyen Kravregelmal, og klikk så på  Neste.
  4. I Konfigurer regel gir du navn til kravregelen. Bruk et navn som beskriver formålet med den, for eksempel Hent e-postattributter fra AD.)
  5. Velg  Aktiv katalog  i nedtrekkslistemenyen for attributtlageret.
  6. Kartlegg dine lokale LDAP-attributter til matchende verdier for Utgående kravtyper . Attributtnavn eller -uttalelser (FornavnEtternavn,  E-postadresse) må være de samme som i Lifesize Cloud.
  7. Klikk på  Fullfør.
  8. I  Rediger regler for krav, velger du fanen  Regler for endring av utstedelser  og klikk deretter på LLegg til Regel.
  9. I Velg regelmal,  velg  Send krav med Egendefinert regel, og klikk deretter på  Neste.
  10. Tildel et navn, og legg deretter inn denne definisjonen i  Egendefinert regel  -feltet:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
    Utsteder = c.Utsteder, Opprinneligutsteder = c.Opprinneligutsteder, Verdi = c.Verdi, TypeVerdi = c.TypeVerdi
    Egenskaper["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Egenskaper ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Klikk på Fullfør, klikk deretter på OK eller Bruk for å lagre regelen.
  12. I hovedvinduet for AD FS, velg  Beroende part  i venstre navigeringsvindu.
  13. Høyreklikk på  beroende partklareringen  du nettopp la til og velg  Egenskaper.
  14. Velg  Signatur  fanen, og klikk deretter på  Legg til...
  15. Bla til  lifesize.crt sertifikatfilen du lagret tidligere, og last den opp til AD FS.
  16. Velg  fanen  Avansert og still inn  Sikker hash-algoritme  til SHA-1.
  17. Klikk OK når du er ferdig.

Konfigurer, test og aktiver SSO i Lifesize-appen

Konfigurasjon av AD FS på din Windows-server oppretter automatisk en XML-basert metadatafil på:

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

Disse metadataene utveksles mellom AD FS og Lifesize-appen når en bruker blir godkjent, og utgjør grunnlaget for en beroende klarering.

Finn først filen FederationMetadata.xml på din Windows-server. Åpne den med et  hvilket som helst  standard tekstredigeringsprogram.

  1. Logg inn på Lifesize admin-konsollen.
  2. Klikk på ditt profil navn og velg  Avanserte innstillinger.
  3. Gå til SSO-integrering > SSO-konfigurasjon og fyll ut disse feltene med innholdet i din AD FS-metadatafil:
    • Utstederen av identitetsleverandør: Kopier  <entityID> -attributten fra din metadatafil og lim inn URL-adressen i dette  feltet.
      Hvis for eksempel din  <entityID> -attributt ser slik ut:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Din oppføring for dette feltet er:

      http://your_domain/adfs/services/trust

    • Påloggings-URL: Kopier  <SingleSignOnService Location> attributten fra din metadatafil  og lim inn URL-adressen i dette feltet.
      Hvis for eksempel din  <SingleSignOnService Location> -attributt ser slik ut:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Din oppføring for dette feltet er:

      https://your_domain/adfs/ls

    • SertifikatKopier sikkerhetssertifikatet X.509 fra  <Signatur>  -definisjonen av din metadatafil, og lim det så inn i dette feltet.

    MERK: Ikke bruk sertifikatet som står i <KeyDescriptor> -definisjonen.

  4.  I  SAML attributtkartlegging, oppgi URL-verdiene fra din metadatafil for følgende kartleggingsattributter:
    • Fornavn: Hvis din metadatafil inneholder en type krav som beskriver fornavn slik:

      <auth:ClaimType smins:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Fornavn</auth:DisplayName> <auth:Description>Brukerens fornavn</auth:Description></auth:ClaimType>

      Din oppføring i feltet Fornavn er:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Etternavn: Følg den samme metoden for etternavn-attributten. I dette eksemplet er din oppføring:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-post: Følg samme metode for e-postadresse -attributten. I dette eksemplet er din oppføring:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Klikk på  Test  for å validere innstillingene dine med  AD FS identitetsleverandørserver.
  6. Etter vellykket testing, velg  Aktiver SSO og klikk deretter på  Oppdater.
  7. Klikk på Lagre.