Konfigurera enkel inloggning med AD FS

Dessa instruktioner förutsätter att du använder identitetsramverket Microsoft Active Directory Federated Service (AD FS) 2.0. Om du använder en senare version ska du se till att Intranet Forms Authentication är aktiverat (Autentiseringspolicyer > Primär autentisering >Intranet Forms Authentication).

Konfigurera AD FS

  1. Logga in på din AD FS-hanteringskonsol.
  2. I det högra navigeringsfönstret väljer du klickar du på Lägg till förlitande partförtroende. I det högra navigeringsfönstret klickar du på Lägg till förlitande partförtroende.
  3. Klicka på Start.
  4. I Välj datakälla väljer du Ange data om förlitande part manuellt.
  5. I Ange visningsnamn anger du ett namn (till exempel Lifesize Cloud) för den förlitande parten du skapar (plus anteckningar).
  6. Välj AD FS 2.0-profil.
  7. Gå till Tjänst > Certifikat.
  8. Välj Certifikat för tokensignering och högerklicka för att öppna Egenskaper. I certifikatets informationsfönster, exportera till en Base-64 CER-fil.
  9. Öppna Base-64 CER-filen i en textredigerare och klistra in innehållet i avsnittet för X.509-certifikat i administrtörspanelen och se till att inkludera -Begin- och -END- sektioner.
  10. Kopiera och spara Lifesize X.509-säkerhetscertifikatet i en fil som heter lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. I AD FS > Konfigurera certifikat, använd knappen Bläddra för att hitta certifikatet och överföra det, klicka sedan på Nästa.
  12. I konfigurera URL, välj Aktivera support för SAML 2.0 WebSSO-protokollet och ange denna URL:

    https://login.lifesizecloud.com/ls/?acs

  13. I Konfigurera identifierare anger du denna URL i Identifierare för förlitande partförtroende och ser till att innefatta det avslutande snedstrecket /:

    https://login.lifesizecloud.com/ls/metadata/

  14. Klicka på Lägg till för att flytta identifieraren i visningslistan och klicka sedan på Nästa.
  15. I Välj utfärdande auktoriseringsregler väljer du Tillåt alla användare att få åtkomst till denna förlitande partoch klicka sedan på Nästa.
  16. I Redo att lägga till förtroende, granska inställningarna och klicka sedan på Nästa för att lägga till det förlitande partsförtroendet till AD FS-konfigurationsdatabasen.

Du har skapat och definierat en förlitande part. Därefter skapar du en anspråksregel som bestämmer hur denna förlitande part kommunicerar med Aktiv katalog.

 

Lägg till en anspråksregel

  1. Om fönstret Redigera anspråksregler inte är öppet högerklickar du på den förlitande part du har skapat (Förtroenderelationer > Förlitande partförtroenden)och markerar Redigera anspråksregler.
  2. Välj fliken Utfärdande transformeringsregler och klicka sedan på Lägg till regel.
  3. I Välj regelmall, välj Skicka LDAP-attribut som anspråk från listrutemenyn för anspråksregelmall och klicka sedan på Nästa.
  4. I Konfigurera regel,  namnge anspråksregeln med ett namn som beskriver dess syfte, som till exempel Hämta e-postattribut från AD.)
  5. Välj Aktiv katalog i listrutemenyn för attributarkiv.
  6. Kartlägg dina lokala LDAP-attribut till matchande värden för Utgående anspråkstyper. . Attributnamn eller påståenden (förnamnefternamn, e-postadress)måste matcha de i Lifesize Cloud.
  7. Klicka på Avlsuta.
  8. I Redigera anspråksregler, välj fliken Utgivning omvandlingsregler och klicka sedan påLägg till regel.
  9. I Välj regelmall, välj Skicka anspråk med hjälp av en anpassad regel, och klicka sedan på Nästa.
  10. Tilldela ett namn, sedan anger du denna definition i fältet Anpassad regel :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Klicka på Avslutaoch klicka sedan på OK eller Applicera för att spara regeln.
  12. I det huvudsakliga AD FS-fönstret, välj Förlitande partsförtroenden från det vänstra navigeringsfönstret.
  13. Högerklicka på det Förlitande partsförtroende du precis lagt till och välj Egenskaper.
  14. Välj fliken Signatur och klicka sedan på Lägg till...
  15. Bläddra till filen lifesize.crt som du sparade tidigare, och ladda upp den till AD FS.
  16. Välj fliken Avancerat och ange Säker hash-algoritmen till SHA-1.
  17. Klicka på OK när det är klart.

Konfigurera, testa och aktivera SSO i Lifesize Cloud

Genom att ställa in AD FS på din Windows-server skapas automatiskt en XML-baserad metadatafil på:

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

Denna metadata delas mellan AD FS och Lifesize Cloud när en användare är autentiserad, och bildar grunden för ett förlitande förtroende.

Hitta först filen FederationMetadata.xml på din Windows-server. Öppna den med en standardtextredigerare.

  1. Logga in i Lifesize Cloud -webbkonsolen.
  2. Klicka på ditt profilnamn och välj Avancerade inställningar.
  3. Gå till SSO-integrering > SSO-konfiguration och fyll i dessa fält med innehållet i din AD FS-metadatafil:
    • Identity Provider-utfärdare: Kopiera  <entityID> -attributet från din metadatafil och klistra in URL:en i detta fält.
      Om till exempel ditt <entityID>-attribut ser ut så här:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Din post för detta fält är:

      http://your_domain/adfs/services/trust

    • Inloggnings-URL: Kopiera  <SingleSignOnService Location> -attributet från din metadatafil och Klistra in URL:en i detta fält
      Till exempel, om ditt <SingleSignOnService Location> -attribut ser ut så här:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Din post för detta fält är:

      https://your_domain/adfs/ls

    • Certifikat:: Kopiera X.509-skerhetscertifikatet från <Signature> -definitionen av din metadatafil, och klistra in den i detta fält.

    OBS: Använd inte certifikatet i <KeyDescriptor> -definitionen.

  4.  I SAML-attributmappninganger du URI-värdet i din metadatafil för följande mappningsattribut:
    • Förnamn:Om din metadatafil innehåller en anspråkstyp som beskriver förnamn såhär:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      Din post i fältet Förnamn är:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Efternamn: Följ samma metod för efternamnets attribut. I detta exempel är din post:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-post: Följ samma metod för e-postadressens attribut. I detta exempel är din post:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Klicka på Testa för att validera dina inställningar med AD FS-identitetsleverantörservern.
  6. När testningen är framgångsrik, klicka på Aktivera SSOoch klicka sedan på Uppdatera.
  7. Klicka på Spara.