使用 AD FS 配置

这些说明 假设您正在使用 Microsoft Active Directory Federated Service 身份框架 (AD FS) 2.0。如果您正在使用更高版本,请确保启用了 Intranet 窗体身份验证 (身份验证策略>主要身份验证>Intranet 窗体身份验证)。

配置 AD FS

  1. 登入 AD FS 管理控制台。
  2. 在左侧导航窗格中,选择 信赖方信任。在右侧导航窗格中,单击 添加信赖方信任
  3. 单击 开始
  4. 在“选择数据来源”中,选择 手动输入信赖方数据
  5. 在“指定显示名称”中,为您要创建的信赖方输入一个名称(例如, Lifesize Cloud) (以及任何说明)。
  6. 选择 AD FS 2.0 配置文件
  7. 导航至服务>证书
  8. 选择令牌登录证书并单击右键打开“属性”。在证书的详细信息窗格中,导出到 Base-64 CER 文件。
  9. 在文本编辑器中打开 Base-64 CER 文件并将内容粘贴到管理员窗格的 X.509 证书部分,确保包含-开始-和-结束-部分。
  10. 将 Lifesize X.509 安全证书复制并保存到名为 lifesize.crt的文件中。

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. AD FS > 配置证书中,使用 浏览 按钮查找证书并上传,然后单击 下一步
  12. 在“配置 URL”中,选择 启用对 SAML 2.0 WebSSO 协议的支持 并输入此 URL:

    https://login.lifesizecloud.com/ls/?acs

  13. 在“配置标识符”中,在 信赖方信任标识符 中输入此 URL,确保包括结尾斜杠 /:

    https://login.lifesizecloud.com/ls/metadata/

  14. 单击 添加 以在显示列表中移动标识符,然后单击 下一步
  15. 在“选择发行授权规则”中,选择 允许所有用户访问此信赖方,然后单击 下一步
  16. 在“准备添加信任”中查看设置,然后单击 下一步 ,从而将信赖方信任添加到 AD FS 配置数据库。

您已经创建并定义了信赖方。接下来,创建确定此信赖方如何与 Active Directory 通信的声明规则。

 

添加声明规则

  1. 如果 编辑声明规则 窗口未打开,请右键单击您所创建的信赖方(信赖关系>信赖方信任)并选择 编辑声明规则
  2. 选择 发行转换规则 选项卡,然后单击 添加规则
  3. 在“选择规则模板”中,从声明规则模板下拉菜单中选择 以声明方式发送 LDAP 属性 ,然后单击 下一步
  4. 在“配置规则”中,使用可描述其目的的名称为声明规则命名 ,例如 从 AD 获取电子邮件属性。
  5. 在属性存储下拉菜单中选择 活动目录
  6. 将 您的当地 LDAP 属性 映射到其匹配的 传出声明类型值。 属性名称或声明 (名字、 姓氏和 电子邮件地址) 必须与 Lifesize Cloud 中所示的保持一致。
  7. 单击 完成
  8. 在 “编辑声明规则”中选择  发行转换规则 选项卡,然后单击 添加规则
  9. 在“选择规则模板”中 选择 使用自定义规则发送声明, 然后单击 下一步
  10. 指定一个名称,然后在 自定义规则 字段中输入此定义:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. 单击 完成,然后单击 确定 或 应用 以保存规则。
  12. 在主要的 AD FS 窗口中,从左侧导航选择 信赖方信任 。
  13. 右键单击您刚添加的 信赖方信任并选择 属性
  14. 选择 签名 选项卡,然后单击 添加...
  15. 浏览至您先前保存的 lifesize.crt 证书文件,然后将其上传到 AD FS。
  16. 选择 高级 选项卡,然后将 安全哈希算法设置为 SHA-1。
  17. 完成后单击 确定

在 Lifesize 应用程序中配置、测试并启用 SSO

在您的 Windows 服务器中设置 AD FS 会自动在下列位置创建基于 XML 的元数据文件:

https://Your_Domain_Name/FederationMetadata/2007-06/FederationMetadata.xml

此元数据在用户进行身份验证时会在 AD FS 和 Lifesize 应用程序之间交换,从而形成信赖信任的基础。

首先,在您的 Windows 服务器中找到 FederationMetadata.xml文件。使用任何标准文本编辑器将其打开。

  1. 登录 Lifesize 管理员控制台
  2. 单击您的配置文件 名称并选择 高级设置
  3. 前往 SSO 集成>SSO 配置 并使用您的 AD FS 元数据文件的内容完成这些字段:
    • 身份提供者发行人:从您的元数据文件中复制  <entityID> 属性并在此 字段中粘贴 URL。
      例如,如果您的 <entityID> 属性看起来是这样的:

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://your_domain/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      您在此字段的输入是:

      http://your_domain/adfs/services/trust

    • 登录 URL:从您的元数据文件中复制  <SingleSignOnService Location> 属性 并 在此字段中粘贴 URL。
      例如,如果您的 <SingleSignOnService Location> 属性看起来是这样的:

      <SingleSignOnService Location="https://your_domain/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      您在此字段的输入是:

      https://your_domain/adfs/ls

    • 证书:在 您的元数据文件的 <Signature> 定义中复制 X.509 安全证书 ,然后将其粘贴到本字段。

    注: 不要使用 包含在 <KeyDescriptor> 定义中的证书。

  4.  在 SAML 属性映射中,为下列映射属性输入元数据文件中的 URI 值:
    • 名字:如果您的元数据文件包含 的声明类型所描述的名字如下:

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Given Name</auth:DisplayName> <auth:Description>The given name of the user</auth:Description></auth:ClaimType>

      您在 名字 字段中的输入是:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • 姓氏:遵循 与名字属性相同 的方法。在本例中,您的输入是:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • 电子邮件:遵循 与电子邮件地址属性 相同的 方法。在本例中,您的输入是:

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. 单击 测试 ,以通过 AD FS 身份提供者服务器验证您的设置。
  6. 测试成功后,选择 启用 SSO,然后单击 更新
  7. 单击 保存