Panoramica
Active Directory Federation Services (ADFS) è un componente di Windows Server che consente alle organizzazioni di usare l'accesso singolo (SSO) con altre app. In questa guida, descriveremo in dettaglio la configurazione richiesta all'interno di ADFS per integrare correttamente il tuo SSO con Workplace.
Configurazione di ADFS per l'SSO con Workplace
- Il sistema SSO usa Windows Server versione 2019 o 2016, Active Directory Domain Services (ADDS) e Active Directory Federation Services (ADFS) v4 o v5.
- Ti è stato assegnato il ruolo di amministratore di sistema nella tua istanza di Work.
- L'utente di amministratore di Workplace ha lo stesso indirizzo e-mail dell'utente di Active Directory corrispondente. Se maiuscole e minuscole degli indirizzi e-mail non corrispondono, non potrai completare correttamente questa procedura.
Queste istruzioni sono applicabili anche alla configurazione di Windows Server versione 2012 R2 o 2008 R2 con ADFS v2, ma tieni presente che ci sono alcune piccole differenze nel flusso di configurazione. Ti consigliamo di eseguire l'aggiornamento a versioni più recenti di Windows Server.
Segui i passaggi qui sotto su Workplace per trovare i parametri necessari per configurare ADFS.
Accedi al Pannello di amministrazione e vai alla sezione Protezione.
Accedi alla tab Autenticazione.
Seleziona la casella Accesso singolo (SSO).
Annota i valori di Audience URL e Recipient URL, di cui avrai bisogno durante la configurazione di ADFS.
Prima che ADFS consenta l'autenticazione federata (ad es. SSO) per un sistema esterno, è necessario impostare un relying party trust. Questa configurazione identifica il sistema esterno insieme alla tecnologia specifica utilizzata per l'SSO. Questa procedura creerà un relying party trust che produce asserzioni SAML 2.0 per Workplace.
Apri lo snap-in di ADFS Management. Clicca su
Relying Party Trusts e scegli
Add Relying Party Trust (Aggiungi relying party trust).
Seleziona il pulsante
Claims aware (Consapevole delle richieste). Clicca su
Start.
Seleziona
Enter data about the relying party manually (Inserisci manualmente i dati sul relying party) e clicca su
Next (Avanti).
Imposta DisplayName come Workplace. Clicca su
Next (Avanti).
Clicca su
Next (Avanti) per salvare il passaggio facoltativo di selezione di un certificato di firma del token.
Clicca sulla casella
Enable support for the SAML 2.0 WebSSO protocol (Abilita il supporto per il protocollo WebSSO SAML 2.0). Inserisci il
Recipient URL di Workplace che hai annotato nella casella di testo Relying party SAML 2.0 SSO service URL (URL del servizio SSO SAML 2.0 del relying party) e clicca su
Next (Avanti).
Inserisci l'
Audience URL di Workplace nella casella di testo
RelyingPartyTrust Identifier, clicca su
Add (Aggiungi), quindi clicca su
Next (Avanti).
Clicca su
Next (Avanti) per accettare
Access Control Policy (Accetta le normative sui controlli).
Controlla le tue impostazioni e clicca su
Next (Avanti) per aggiungere il relying party trust.
Lascia la casella selezionata per
aprire la finestra di dialogo Edit Claim Rules (Modifica regole di richiesta) dopo la chiusura della procedura guidata, quindi clicca su
Close (Chiudi).
Dopo che un utente è stato autenticato, le regole di richiesta di ADFS specificano gli attributi dei dati (e il loro formato) che saranno inviati a Workplace nella risposta SAML. Dal momento che Workplace richiede un elemento ID nome che contenga l'indirizzo email dell'utente, questo esempio mostra una configurazione con due regole:
- La prima regola estrae il Nome principale dell'utente da Active Directory (ad es. il nome dell'account utente di Windows)
- La seconda regola trasforma il nome principale dell'utente in un ID nome con formato e-mail.
Configura ADFS per creare le due regole di richiesta per configurare l'SSO per Workplace.
La finestra Edit Claim Rules for Workplace (Modifica regole di richiesta per Workplace) dovrebbe aprirsi automaticamente. In caso contrario, puoi modificare le regole di richiesta dallo snap-in di ADFS Management selezionando il relying party trust di Workplace e scegliendo Edit Claim Rules (Modifica regole di richiesta) nella finestra a destra.
Nella tab
Issuance Transform Rules (Regole di trasformazione dell'emissione), clicca su
Add Rule… (Aggiungi regola...) per avviare una nuova regola.
Crea la prima regola per recuperare il campo dell'indirizzo e-mail da Active Directory quando l'utente viene autenticato.
Per il modello Claim Rule (Regola di richiesta), seleziona
Send LDAP Attributes as Claims (Invia attributi LDAP come richieste) e clicca su
Next (Avanti) per continuare.
Imposta il nome della regola di richiesta su
Get LDAP Attributes (Ottieni attributi LDAP). Imposta Attribute store (Archivio attributi) su
Active Directory. Nella prima riga, imposta
LDAP Attribute (Attributo LDAP) su
E-Mail-Addresses (Indirizzi e-mail) e imposta
Outgoing Claim Type (Tipo di richiesta in uscita) su
E-Mail Addresses (Indirizzi e-mail).
Clicca su Finish (Fine) per aggiungere la regola.
Crea la seconda regola per mappare il campo dell'indirizzo e-mail sull'asserzione Name Id nella risposta SAML.
Clicca su Create Rule… (Crea regola) per avviare una seconda nuova regola.
Per
Claim Rule Template (Modello della regola di richiesta), seleziona
Transform an Incoming Claim (Trasforma una richiesta in entrata) e clicca su
Next (Avanti) per continuare.
Per
Claim Rule Name (Nome della regola di richiesta), inserisci
Transform Email Address (Trasforma indirizzo e-mail). Per
Incoming Claim Type (Tipo di richiesta in entrata), seleziona
E-Mail Address (Indirizzo e-mail). Per
Outgoing Claim Type (Tipo di richiesta in uscita), seleziona
NameID (ID nome). Per
Outgoing name ID format (Formato ID nome in uscita), seleziona
Email. Infine, accetta la seleziona predefinita del pulsante
Pass through all claim values (Trasmetti tutti i valori della richiesta) e clicca su
Finish (Fine) per aggiungere la regola.
Clicca su
Apply (Applica) per applicare le regole di richiesta.
Per completare la configurazione, è necessario recuperare alcuni parametri che devono essere configurati in Workplace.
Per completare questa configurazione e fare in modo che ADFS produca un'asserzione SAML valida, devi riuscire a autenticarti su ADFS come l'utente con lo stesso indirizzo e-mail dell'amministratore di Workplace (fai attenzione a maiuscole e minuscole).
Apri lo snap-in di ADFS Management.
Accedi a ADFS > Service > Endpoints (ADFS > Servizio > Endpoint).
Conferma l'URL dei tuoi metadati ADFS sotto l'intestazione Metadata.
Da un browser web, apri il tuo file di metadati ADFS. Il percorso sarà simile a questo: https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml.
Prendi nota dell'URL di emissione del SAML, che è contenuto nell'attributo entityID dell'elemento EntityDescriptor.
Dovrai inoltre prendere nota dell'URL SAML, che è contenuto nell'attributo Location dell'elemento AssertionConsumerService che ha Binding type impostato su urn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST.
Una volta completata la configurazione del tuo identity provider:
Dalla console di ADFS Management, scegli
ADFS > Service > Certificates (ADFS > Servizio > Certificati). Clicca con il tasto destro sul tuo certificato di firma del token e clicca su
View Certificate… (Visualizza certificato).
Scegli la tab
Details (Dettagli) e clicca sul pulsante
Copy to File… (Copia su file).
Clicca su
Next (Avanti) per avviare la procedura guidata. Scegli
Base-64 encoded X.509 (.CER).
Scegli un percorso sul the file system per salvare il file del certificato esportato.
Clicca su Finish (Fine) per completare l'esportazione.
Hai bisogno dell'URL SAML, dell'URL di emissione del SAML e del file del certificato esportato per completare la configurazione dell'SSO su Workplace. Segui la guida Accesso singolo (SSO).
