Estas instruções presumem que você está usando a framework de identidade do Microsoft Active Directory Federated Service (AD FS) 2.0. Se você estiver usando uma versão posterior, certifique-se de que Intranet Forms Authentication está habilitado (Authentication Policies > Primary Authentication > Intranet Forms Authentication).
Configurar AD FS
- Faça login em seu console de gerenciamento do AD FS.
- No painel de navegação direito, selecione Relying Party Trust. No painel de navegação direito, clique em Add Replying Party Trust.
- Clique em Start.
- Em Select Data Source, selecione Enter data about the relying party manually.
- Em Specify Display Name, insira um nome (por exemplo, Lifesize Cloud) para a parte confiante que você está criando (além de observações).
- Escolha o perfil AD FS 2.0.
- Navegue até Service > Certificates.
- Selecione Token Signing Certificate e clique com o botão direito para abrir Properties. No painel de detalhes do certificado, exporte para o arquivo Base-64 CER.
- Abra o arquivo Base-64 CER em um editor de texto e cole o conteúdo na seção de certificado X.509 do painel de admin, certificando-se de incluir as seções - Begin - e - End.
- Copie e salve o certificado de segurança Lifesize X.509 em um arquivo chamado
lifesize.crt
.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
- Em AD FS > Configure Certificate, use o botão Browse para localizar e enviar o certificado e clique emNext.
- Em Configure URL, selecione Enable support for the SAML 2.0 WebSSO protocol e insira este URL:
https://login.lifesizecloud.com/ls/?acs
- Em Configure Identifiers, insira este URL em Relying party trust identifier, certificando-se de que incluiu a barra de fechamento /:
https://login.lifesizecloud.com/ls/metadata/
- Clique em Add para mover o identificador na lista de exibição e clique em Next.
- Em Choose Issuance Authorization Rules, selecione Permit all users to access this relying party e clique em Next.
- Em Ready to Add Trust, verifique as configurações e clique em Next para adicionar a credencial da parte confiante às configurações da base de dados do AD FS.
Você criou e definiu uma parte dependente. Em seguida, crie uma regra de solicitação que determina como essa parte dependente se comunica com o Active Directory.
Adicionar uma Regra de Solicitação
- Caso a janela Edit Claims Rules não esteja aberta, clique com o botão direito na parte confiante que você criou (Trust Relationships > Relying Party Trusts) e selecione Edit Claim Rules.
- Selecione a aba Issuance Transform Rules e clique em Add Rule.
- Em Select Rule Template, selecione Send LDAP Attributes as Claims no menu suspenso de modelo de regra de declaração e clique em Next.
- Em Configure Rule, nomeie a regra de declaração usando um nome que descreva seu objetivo, como, por exemplo, Obter atributos de e-mail do AD.)
- Selecione Active Directory no menu suspenso de armazenamento de atributos.
- Mapeie os LDAP Attributes locais para os valores correspondentes de Outgoing Claim Types. Nomes de atributos ou declarações (Nome, Sobrenome, Endereço de e-mail) devem corresponder àqueles na Lifesize Cloud.
- Clique em Finish.
- Em Edit Claim Rules, selecione a guia Issuance Transform Rules e clique em Add Rule.
- Em Select Rule Template, selecione Send Claims Using a Custom Rule, e clique em Next.
- Atribua um nome e insira esta definição no campo Custom rule:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
= "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
= "https://login.lifesizecloud.com/ls/metadata/");
- Clique em Finishe, em seguida, clique em OK ou Apply para salvar a regra.
- Na janela principal do AD FS, selecione Relying Party Trusts no painel de navegação à esquerda.
- Clique com o botão direito na Relying Party Trust que você acabou de adicionar e selecione Properties.
- Selecione a guia Signature e clique em Add.
- Navegue até o arquivo de certificação
lifesize.crt
que você salvou anteriormente e carregue-o no AD FS.
- Selecione a guia Advanced e defina o algoritmo Secure hash como SHA-1.
- Clique em OK quando terminar.
Configurar, testar e habilitar o SSO no aplicativo Lifesize
Configurar o AD FS em seu servidor Windows cria automaticamente um arquivo de metadados baseado em XML em:
https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml
Esses metadados são trocados entre o AD FS e o aplicativo Lifesize quando um usuário é autenticado, formando a base de uma certificação.
Primeiro, localize o arquivo FederationMetadata.xml
em seu servidor Windows. Abra-o com qualquer editor de texto padrão.
- Entre no console de administração do Lifesize .
- Clique no seu nome de perfil e selecione Advanced settings.
- Vá para SSO Integration > SSO Configuration e preencha esses campos usando o conteúdo do seu arquivo de metadados do AD FS:
- Emissor do provedor de identidade: copie o atributo
<entityID>
do seu arquivo de metadados e cole o URL neste campo.
Por exemplo, se o seu atributo <entityID>
tiver esta aparência:
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="http://your_domain/adfs/services/
trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">
Sua entrada para este campo é:
http://your_domain/adfs/services/trust
- Login de URL: Copie o atributo de localização
<SingleSignOnService>
do seu arquivo de metadados e cole o URL neste campo.
Por exemplo, se o atributo <SingleSignOnService Location>
tiver a seguinte aparência:
<SingleSignOnService Location="https://your_domain/adfs/ls/"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
Sua entrada para este campo é:
https://your_domain/adfs/ls
- Certificado: copie o certificado de segurança X.509 da definição
<Signature>
do seu arquivo de metadados e cole neste campo.
OBSERVAÇÃO: não use o certificado contido na definição <KeyDescriptor>
.
- Em SAML Attribute Mapping, insira o valor do URI em seu arquivo de metadados para os seguintes atributos de mapeamento:
- Nome: se seu arquivo de metadados contém um tipo de solicitação que descreva Nome da seguinte maneira:
<auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>
Sua entrada no campo Nome é:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Sobrenome: siga o mesmo método para o atributo de sobrenome. Neste exemplo, sua entrada é:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- E-mail: siga o mesmo método para o atributo de endereço de e-mail. Neste exemplo, sua entrada é:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Clique em Test para validar suas configurações com o servidor do provedor de identidade AD FS.
- Uma vez que o teste for bem sucedido, selecione Enable SSO e clique em Update.
- Clique em Save.