Konfigurowanie za pomocą AD FS

Niniejsze instrukcje zakładają, że używasz schematu tożsamości Microsoft Active Directory Federated Service (AD FS) 2.0. W przypadku używania późniejszej wersji należy się upewnić, że funkcja Uwierzytelnianie formularzy intranetowych jest włączona (Zasady uwierzytelniania > Główne uwierzytelnianie > Uwierzytelnianie formularzy intranetowych).

Skonfiguruj AD FS

  1. Zaloguj się do konsoli zarządzania AD FS.
  2. W oknie nawigacji po lewej wybierz pozycję Zaufania jednostek zależnych. W oknie nawigacji po prawej kliknij pozycję Dodaj zaufanie jednostki zależnej.
  3. Kliknij przycisk Rozpocznij.
  4. W pozycji Wybierz źródło danych wybierz opcję Ręcznie wprowadź dane jednostki zależnej.
  5. W pozycji Określ wyświetlaną nazwę wprowadź nazwę (np. Lifesize Cloud) jednostki zależnej, którą tworzysz (oraz wszelkie notatki).
  6. Wybierz Profil AD FS 2.0.
  7. Przejdź do pozycji Usługi > Certyfikaty.
  8. Wybierz pozycję Certyfikat podpisywania za pomocą tokena i kliknij prawym przyciskiem myszy, aby otworzyć okno Właściwości. W oknie szczegółów certyfikatu wykonaj eksport do pliku Base-64 CER.
  9. Otwórz plik Base-64 CER w edytorze tekstu i wklej zawartość do sekcji certyfikatu X.509 w oknie administratora. Dopilnuj, aby skopiować też sekcje -Początek- i -Koniec-.
  10. Skopiuj certyfikat bezpieczeństwa Lifesize X.509 i zapisz go w pliku o nazwie lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. W menu AD FS > Skonfiguruj certyfikat wybierz przycisk Przeglądaj, aby zlokalizować certyfikat i go przesłać, a następnie kliknij przycisk Dalej.
  12. W pozycji Skonfiguruj URL wybierz opcję Włącz obsługę protokołu SAML 2.0 WebSSO i wprowadź następujący adres URL:

    https://login.lifesizecloud.com/ls/?acs

  13. W menu Skonfiguruj identyfikatory wprowadź ten adres URL w pozycji Identyfikator zaufania jednostki zależnej:, pamiętając o ukośniku końcowym /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Kliknij przycisk Dodaj, aby przenieść ten identyfikator do listy, a następnie kliknij przycisk Dalej.
  15. W pozycji Wybierz reguły autoryzacji wystawiania wybierz pozycję Zezwalaj wszystkim użytkownikom na dostęp do tej jednostki zależnej, a następnie kliknij przycisk Dalej.
  16. W oknie Gotowość do dodania zaufania sprawdź ustawienia, a następnie kliknij przycisk Dalej, aby dodać zaufanie jednostki zależnej bazy danych konfiguracji aplikacji AD FS.

Strona zależna została utworzona i zdefiniowana. Teraz utwórz regułę dotyczącą oświadczeń, która określa sposób komunikacji strony zależnej z usługą Active Directory.

 

Dodaj regułę realizacji

  1. Jeśli okno Edytuj reguły dotyczące oświadczeń nie zostało otwarte, kliknij prawym przyciskiem myszy utworzoną stronę zależną (Relacje zaufania > Zaufania jednostek zależnych) i wybierz opcję Edytuj reguły dotyczące oświadczeń.
  2. Wybierz kartę Reguły transformacji wystawiania, a następnie kliknij przycisk Dodaj regułę.
  3. W oknie Wybierz szablon reguł wybierz pozycję Wysyłaj atrybuty LDAP jako oświadczenia z rozwijanego menu z szablonem reguł oświadczenia, a następnie kliknij przycisk Dalej.
  4. W oknie Konfiguruj regułę nadaj nazwę regule oświadczenia, używając nazwy, która opisuje jej cel, na przykład Pobierz atrybuty e-mail z AD).
  5. Wybierz pozycję Active Directory z rozwijanego menu z atrybutami.
  6. Zmapuj lokalne Atrybuty LDAP do odpowiadających im wartości Typów oświadczeń wychodzących.Nazwy atrybutów i instrukcje atrybutów (imięnazwisko, adres e-mail) muszą być zgodne z tymi z Lifesize Cloud.
  7. Kliknij przycisk Zakończ.
  8. W oknie Edytuj reguły dotyczące oświadczeń wybierz kartę Reguły transformacji wystawiania, a następnie kliknij przycisk Dodaj regułę.
  9. W oknie Wybierz szablon reguł wybierz pozycję Wysyłaj oświadczenia przy użyciu reguły niestandardowej, a następnie kliknij przycisk Dalej.
  10. Przypisz nazwę, a następnie wprowadź następującą definicję w polu Reguła niestandardowa:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Kliknij przycisk Zakończ, a następnie przycisk OK lub Zastosuj, aby zapisać regułę.
  12. W głównym oknie AD FS wybierz pozycję Zaufania jednostek zależnych z opcji nawigacji po lewej.
  13. Kliknij prawym przyciskiem myszy pozycję Zaufania jednostek zależnych, która właśnie została dodana, i wybierz pozycję Właściwości.
  14. Wybierz kartę Sygnatura i kliknij przycisk Dodaj.
  15. Przejdź do pliku certyfikatu lifesize.crt, który został wcześniej zapisany, i prześlij go do aplikacji AD FS.
  16. Wybierz kartę Zaawansowane i ustaw opcję Bezpieczny algorytm wyznaczania wartości skrótu na SHA-1.
  17. Po zakończeniu kliknij przycisk OK .

Skonfiguruj, przetestuj i włącz SSO w aplikacji Lifesize

Ustawienie AD FS na serwerze Windows automatycznie tworzy plik XML z metadanymi w:

https://Twoja_nazwa_domeny/FederationMetadata/2007-06/FederationMetadata.xml

Te metadane są wymieniane pomiędzy aplikacjami AD FS i Lifesize podczas uwierzytelniania użytkownika, stanowiąc podstawę do przyznania zaufania.

Zacznij od zlokalizowania pliku FederationMetadata.xml na serwerze Windows. Otwórz go w dowolnym edytorze tekstu.

  1. Zaloguj się do konsoli administratora Lifesize.
  2. Kliknij nazwę profilu i wybierz pozycję Ustawienia zaawansowane.
  3. Przejdź do menu Integracja SSO > Konfiguracja SSO i wypełnij poniższe pola za pomocą danych z pliku z metadanymi AD FS:
    • Wydawca dostawcy tożsamości: Skopiuj atrybut <entityID> z pliku z metadanymi i wklej adres URL w to pole.
      Jeśli na przykład atrybut <entityID> wygląda następująco:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://twoja_domena/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      W polu wprowadź:

      http://twoja_domena/adfs/services/trust

    • Adres URL logowania: Skopiuj atrybut <SingleSignOnService Location> z pliku z metadanymi i wklej adres URL w to pole.
      Jeśli na przykład atrybut <SingleSignOnService Location> wygląda następująco:

      <SingleSignOnService Location="https://twoja_domena/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      W polu wprowadź:

      https://twoja_domena/adfs/ls

    • Certyfikat: Skopiuj certyfikat bezpieczeństwa X.509 z definicji <Signature> w pliku z metadanymi, a następnie wklej go w to pole.

    UWAGA: Nie używaj certyfikatu zawartego w definicji <KeyDescriptor>.

  4.  W pozycji Mapowanie atrybutu SAML wprowadź wartości URI z pliku z metadanymi dla następujących atrybutów mapowania:
    • Imię: Jeśli plik z metadanymi zawiera typ oświadczenia opisujący imię w następujący sposób:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Imię</auth:DisplayName> <auth:Description>Imię użytkownika</auth:Description></auth:ClaimType>

      W polu Imię należy wpisać:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Nazwisko: w przypadku atrybutu dotyczącego nazwiska należy postępować w taki sam sposób. W tym przykładzie wpis to:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • Adres e-mail: w przypadku atrybutu adresu e-mail należy postępować w taki sam sposób. W tym przykładzie wpis to:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Kliknij przycisk Testuj, aby sprawdzić ustawienia serwera dostawcy tożsamości AD FS.
  6. Po udanym przetestowaniu wybierz pozycję Włącz SSO, a następnie kliknij przycisk Aktualizuj.
  7. Kliknij przycisk Zapisz.