Configurar usando o AD FS

Estas instruções presumem que você está usando a framework de identidade do Microsoft Active Directory Federated Service (AD FS) 2.0. Se você estiver usando uma versão posterior, certifique-se de que Intranet Forms Authentication está habilitado (Authentication Policies > Primary Authentication > Intranet Forms Authentication).

Configurar AD FS

  1. Faça login em seu console de gerenciamento do AD FS.
  2. No painel de navegação direito, selecione Relying Party Trust. No painel de navegação direito, clique em Add Replying Party Trust.
  3. Clique em Start.
  4. Em Select Data Source, selecione Enter data about the relying party manually.
  5. Em Specify Display Name, insira um nome (por exemplo, Lifesize Cloud) para a parte confiante que você está criando (além de observações).
  6. Escolha o perfil AD FS 2.0.
  7. Navegue até Service > Certificates.
  8. Selecione Token Signing Certificate e clique com o botão direito para abrir Properties. No painel de detalhes do certificado, exporte para o arquivo Base-64 CER.
  9. Abra o arquivo Base-64 CER em um editor de texto e cole o conteúdo na seção de certificado X.509 do painel de admin, certificando-se de incluir as seções - Begin - e - End.
  10. Copie e salve o certificado de segurança Lifesize X.509 em um arquivo chamado lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. Em AD FS > Configure Certificate, use o botão Browse para localizar e enviar o certificado e clique emNext.
  12. Em Configure URL, selecione Enable support for the SAML 2.0 WebSSO protocol e insira este URL:

    https://login.lifesizecloud.com/ls/?acs

  13. Em Configure Identifiers, insira este URL em Relying party trust identifier, certificando-se de que incluiu a barra de fechamento /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Clique em Add para mover o identificador na lista de exibição e clique em Next.
  15. Em Choose Issuance Authorization Rules, selecione Permit all users to access this relying party e clique em Next.
  16. Em Ready to Add Trust, verifique as configurações e clique em Next para adicionar a credencial da parte confiante às configurações da base de dados do AD FS.

Você criou e definiu uma parte dependente. Em seguida, crie uma regra de solicitação que determina como essa parte dependente se comunica com o Active Directory.

 

Adicionar uma Regra de Solicitação

  1. Caso a janela Edit Claims Rules não esteja aberta, clique com o botão direito na parte confiante que você criou (Trust Relationships > Relying Party Trusts) e selecione Edit Claim Rules.
  2. Selecione a aba Issuance Transform Rules e clique em Add Rule.
  3. Em Select Rule Template, selecione Send LDAP Attributes as Claims no menu suspenso de modelo de regra de declaração e clique em Next.
  4. Em Configure Rule, nomeie a regra de declaração usando um nome que descreva seu objetivo, como, por exemplo,  Obter atributos de e-mail do AD.)
  5. Selecione  Active Directory no menu suspenso de armazenamento de atributos.
  6. Mapeie  os LDAP Attributes locais para os valores correspondentes de Outgoing Claim Types.  Nomes de atributos ou declarações (NomeSobrenomeEndereço de e-mail) devem corresponder àqueles na Lifesize Cloud.
  7. Clique em Finish.
  8. Em Edit Claim Rules, selecione a guia Issuance Transform Rules e clique em Add Rule.
  9. Em Select Rule Template, selecione Send Claims Using a Custom Rule, e clique em Next.
  10. Atribua um nome e insira esta definição no campo  Custom rule

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Clique em Finishe, em seguida, clique em OK ou Apply para salvar a regra.
  12. Na janela principal do AD FS, selecione Relying Party Trusts no painel de navegação à esquerda.
  13. Clique com o botão direito na Relying Party Trust que você acabou de adicionar e selecione Properties.
  14. Selecione a guia Signature e clique em Add.
  15. Navegue até o arquivo de certificação lifesize.crt que você salvou anteriormente e carregue-o no AD FS.
  16. Selecione a guia Advanced e defina o algoritmo Secure hash como SHA-1.
  17. Clique em OK quando terminar.

Configurar, testar e habilitar o SSO no aplicativo Lifesize

Configurar o AD FS em seu servidor Windows cria automaticamente um arquivo de metadados baseado em XML em:

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

Esses metadados são trocados entre o AD FS e o aplicativo Lifesize quando um usuário é autenticado, formando a base de uma certificação.

Primeiro, localize o arquivo FederationMetadata.xmlem seu servidor Windows. Abra-o com qualquer editor de texto padrão.

  1. Entre no console de administração do  Lifesize .
  2. Clique no seu nome de perfil e selecione Advanced settings.
  3. Vá para SSO Integration > SSO Configuration e preencha esses campos usando o conteúdo do seu arquivo de metadados do AD FS:
    • Emissor do provedor de identidade: copie o  atributo <entityID> do seu arquivo de metadados e cole o URL neste campo.
      Por exemplo, se o seu atributo <entityID> tiver esta aparência:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Sua entrada para este campo é:

      http://your_domain/adfs/services/trust

    • Login de URL: Copie o atributo de localização <SingleSignOnService>do seu arquivo de metadados e cole o URL neste campo.
      Por exemplo, se o atributo <SingleSignOnService Location> tiver a seguinte aparência:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Sua entrada para este campo é:

      https://your_domain/adfs/ls

    • Certificado: copie o certificado de segurança X.509 da definição <Signature> do seu arquivo de metadados e cole neste campo.

    OBSERVAÇÃO: não use o certificado contido na definição <KeyDescriptor> .

  4.  Em SAML Attribute Mapping, insira o valor do URI em seu arquivo de metadados para os seguintes atributos de mapeamento:
    • Nome: se seu arquivo de metadados contém um tipo de solicitação que descreva Nome da seguinte maneira:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      Sua entrada no campo Nome  é:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Sobrenome: siga o mesmo método para  o atributo de sobrenome. Neste exemplo, sua entrada é:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-mail: siga o mesmo método para o atributo de endereço de e-mail. Neste exemplo, sua entrada é:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Clique em  Test para validar suas configurações com o servidor do provedor de identidade AD FS.
  6. Uma vez que o teste for bem sucedido, selecione  Enable SSO e clique em Update.
  7. Clique em Save.