Konfigurere enkel pålogging ved bruk av AD FS

Disse instruksjonene forutsetter at du bruker identitetsrammeverket Microsoft Active Directory Federated Service (AD FS) 2.0. Hvis du bruker en nyere versjon, sørg for at Godkjenning av Intranett-skjemaer er aktivert (Retningslinjer for godkjenning > Primær godkjenning > Godkjenning av Intranett-skjemaer).

Konfigurere AD FS

  1. Logg inn på AD FS-administrasjonskonsollen.
  2. I venstre navigeringsvindu, velger du Beroende part. I høyre navigeringsvindu, velger du Legg til beroende part.
  3. Klikk på Start.
  4. I Velg datakilde velger du Oppgi data om den beroende parten manuelt.
  5. I Angi visningsnavn, oppgir du et navn (for eksempel, Lifesize Cloud) på den beroende parten du oppretter (i tillegg til alle merknader).
  6. Velg profilen AD FS 2.0.
  7. Naviger til Tjeneste > Sertifikater
  8. Velg Signeringssertifikat og høyreklikk for å åpne Egenskaper. I vinduet Detaljer i sertifikatet, eksporter til en Base-64 CER-fil.
  9. Åpne Base-64 CER-filen i et tekstredigeringsprogram og lim innholdet inn i X.509-sertifikatdelen i admin-vinduet. Påse at både -Start- og -Slutt- delene er tatt med.
  10. Kopier og lagre Lifesize X.509 sikkerhetssertifikatet til en fil med navn lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. I AD FS > Konfigurer sertifikat, bruker du Bla- knappen til å finne sertifikatet og laste det opp. Klikk deretter på Neste.
  12. I Konfigurer URL, velger du: Aktiver støtte for SAML 2.0 WebSSO-protokoller og oppgir denne URL-adressen:

    https://login.lifesizecloud.com/ls/?acs

  13. I Konfigurer identifikatorer, oppgi denne URL-adressen i identifikatoren Beroende part, og sørg for å inkludere skråstreken til slutt /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Klikk på Legg til for å flytte identifikatoren i displaylisten og klikk deretter på Neste.
  15. I Velg regler for godkjenning av utstedelse, velger du Tillat at alle brukere får tilgang til denne beroende partog trykk deretter på Neste.
  16. I Klar til å legge til klarering, gå gjennom innstillingene og klikk deretter på Neste for å legge til beroende part til AD FS-konfigurasjonsdatabasen.

Du har opprettet og definert en beroende part. Neste trinn er å opprette en kravregel som bestemmer hvordan denne beroende parten kommuniserer med Active Directory.

 

Legg til en kravregel

  1. Hvis Rediger regler for krav -vinduet ikke er åpent, høyreklikker du på den beroende parten du opprettet (Klareringsrelasjoner > Beroende parter)) og velger Rediger regler for krav.
  2. Velg fanen Regler for endring av utstedelse og klikk deretter på Legg til regel.
  3. I Velg regelmal, velger du Send LDAP-attributter som krav i nedtrekkslistemenyen Kravregelmal, og klikk så på Neste.
  4. I Konfigurer regel, gi navn til kravregelen. Bruk et navn som beskriver formålet med den, for eksempel Hent e-postattributter fra AD.)
  5. Velg Aktiv katalog i nedtrekkslistemenyen for attributtlageret.
  6. Kartlegg dine lokale LDAP-attributter til matchende Typer utgående krav -verdier Attributtnavn eller -uttalelser (Fornavn, EEtternavn, E-postadresse) må være de samme som i Lifesize Cloud.
  7. Klikk på Fullfør.
  8. I  Rediger regler for krav, velger du fanen  Regler for endring av utstedelser og klikk deretter på LLegg til Regel.
  9. I Velg regelmal,  velg . Send krav med Egendefinert regel, og klikk deretter på Neste.
  10. Tildel et navn, og legg deretter inn denne definisjonen i Egendefinert regel -feltet:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
    Utsteder = c.Utsteder, Opprinneligutsteder = c.Opprinneligutsteder, Verdi = c.Verdi, TypeVerdi = c.TypeVerdi
    Egenskaper["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Egenskaper ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Klikk på Fullfør, klikk deretter OK eller Bruk for å lagre regelen.
  12. I hovedvinduet for AD FS, velg Beroende part i venstre navigeringsvindu.
  13. Høyreklikk på beroende partklareringen du nettopp la til og velg Egenskaper.
  14. Velg Signatur fanen, og klikk deretter på Legg til...
  15. Bla til lifesize.crt sertifikatfilen du lagret tidligere, og last den opp til AD FS.
  16. Velg fanen Avansert og still inn Sikker hash-algoritme til SHA-1.
  17. Klikk OK når du er ferdig.

Konfigurere, teste og aktivere SSO i Lifesize Cloud

Konfigurasjon av AD FS på din Windows-server oppretter automatisk en XML-basert metadatafil på:

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

Denne metadatafilen utveksles mellom AD FS og Lifesize Cloud når en bruker blir godkjent, og utgjør grunnlaget for en beroende klarering.

Finn først filenFederationMetadata.xml på din Windows-server. Åpne den med  et hvilket som helst standard tekstredigeringsprogram.

  1. Logg deg inn på  Lifesize Cloud nettkonsoll.Logg deg inn på  Lifesize Cloud nettkonsoll.
  2. Klikk på ditt profil navn og velg Avanserte innstillinger.
  3. Gå til  SSO-integrering > SSO-konfigurasjon og fyll ut disse feltene med innholdet i din AD FS metadatafil:
    • Utstederen av identitetsleverandør: Kopier  <entityID> -attributten fra din metadatafil og lim inn URL-adressen i dette  feltet.
      Hvis for eksempel din <entityID>-attributt ser slik ut:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Din oppføring for dette feltet er:

      http://your_domain/adfs/services/trust

    • Påloggings-URL: Kopier  <SingleSignOnService Location> attributten fra din metadatafil  og lim inn URL-adressen i dette feltet.
      Hvis for eksempel din <SingleSignOnService Location> -attributt ser slik ut:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Din oppføring for dette feltet er:

      https://your_domain/adfs/ls

    • SertifikatKopier sikkerhetssertifikatet X.509 fra <Signatur> -definisjonen av din metadatafil, og lim det så inn i dette feltet.

    MERK: Ikke bruk sertifikatet som står i <KeyDescriptor> -definisjonen.

  4.  I SAML attributtkartlegging, oppgi URL-verdiene fra din metadatafil for følgende kartleggingsattributter:
    • Fornavn: Hvis din metadatafil inneholder en type krav som beskriver fornavn slik:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      Din oppføring i Fornavn -feltet er:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Etternavn: Følg den samme metoden for etternavn-attributten. I dette eksemplet er din oppføring:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-post: Følg samme metode for e-postadresse -attributten. I dette eksemplet er din oppføring:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Klikk på Test for å validere innstillingene dine med  AD FS identitetsleverandørserver.
  6. Etter vellykket testing, velg  Aktiver SSO og klikk deretter på Oppdater.
  7. Klikk på Lagre.