Home
Home

Autenticazione

Scopri le opzioni a tua disposizione per consentire agli utenti di accedere a Workplace.

Panoramica

Active Directory Federation Services (ADFS) è un componente di Windows Server che consente alle organizzazioni di usare l'accesso singolo (SSO) con altre app. In questa guida, descriveremo in dettaglio la configurazione richiesta all'interno di ADFS per integrare correttamente il tuo SSO con Workplace.

Configurazione di ADFS per l'SSO con Workplace

Prerequisiti

  • Il sistema SSO usa Windows Server versione 2019 o 2016, Active Directory Domain Services (ADDS) e Active Directory Federation Services (ADFS) v4 o v5.
  • Ti è stato assegnato il ruolo di amministratore di sistema nella tua istanza di Work.
  • L'utente di amministratore di Workplace ha lo stesso indirizzo e-mail dell'utente di Active Directory corrispondente. Se maiuscole e minuscole degli indirizzi e-mail non corrispondono, non potrai completare correttamente questa procedura.
?
Queste istruzioni sono applicabili anche alla configurazione di Windows Server versione 2012 R2 o 2008 R2 con ADFS v2, ma tieni presente che ci sono alcune piccole differenze nel flusso di configurazione. Ti consigliamo di eseguire l'aggiornamento a versioni più recenti di Windows Server.

Raccolta dei parametri necessari per la configurazione di ADFS

Segui i passaggi qui sotto su Workplace per trovare i parametri necessari per configurare ADFS.

1
Accedi al Pannello di amministrazione e vai alla sezione Protezione.

2
Accedi alla tab Autenticazione.

3
Seleziona la casella Accesso singolo (SSO).

4
Annota i valori di Audience URL e Recipient URL, di cui avrai bisogno durante la configurazione di ADFS.

Creazione di un relying party trust in ADFS

Prima che ADFS consenta l'autenticazione federata (ad es. SSO) per un sistema esterno, è necessario impostare un relying party trust. Questa configurazione identifica il sistema esterno insieme alla tecnologia specifica utilizzata per l'SSO. Questa procedura creerà un relying party trust che produce asserzioni SAML 2.0 per Workplace.

1
Apri lo snap-in di ADFS Management. Clicca su Relying Party Trusts e scegli Add Relying Party Trust (Aggiungi relying party trust).

2
Seleziona il pulsante Claims aware (Consapevole delle richieste). Clicca su Start.

3
Seleziona Enter data about the relying party manually (Inserisci manualmente i dati sul relying party) e clicca su Next (Avanti).

4
Imposta DisplayName come Workplace. Clicca su Next (Avanti).

5
Clicca su Next (Avanti) per salvare il passaggio facoltativo di selezione di un certificato di firma del token.

6
Clicca sulla casella Enable support for the SAML 2.0 WebSSO protocol (Abilita il supporto per il protocollo WebSSO SAML 2.0). Inserisci il Recipient URL di Workplace che hai annotato nella casella di testo Relying party SAML 2.0 SSO service URL (URL del servizio SSO SAML 2.0 del relying party) e clicca su Next (Avanti).

7
Inserisci l'Audience URL di Workplace nella casella di testo RelyingPartyTrust Identifier, clicca su Add (Aggiungi), quindi clicca su Next (Avanti).

8
Clicca su Next (Avanti) per accettare Access Control Policy (Accetta le normative sui controlli).

9
Controlla le tue impostazioni e clicca su Next (Avanti) per aggiungere il relying party trust.

10
Lascia la casella selezionata per aprire la finestra di dialogo Edit Claim Rules (Modifica regole di richiesta) dopo la chiusura della procedura guidata, quindi clicca su Close (Chiudi).

Creazione delle regole di richiesta

Dopo che un utente è stato autenticato, le regole di richiesta di ADFS specificano gli attributi dei dati (e il loro formato) che saranno inviati a Workplace nella risposta SAML. Dal momento che Workplace richiede un elemento ID nome che contenga l'indirizzo email dell'utente, questo esempio mostra una configurazione con due regole:

  • La prima regola estrae il Nome principale dell'utente da Active Directory (ad es. il nome dell'account utente di Windows)
  • La seconda regola trasforma il nome principale dell'utente in un ID nome con formato e-mail.

Preparazione per creare le regole di richiesta

Configura ADFS per creare le due regole di richiesta per configurare l'SSO per Workplace.

1
La finestra Edit Claim Rules for Workplace (Modifica regole di richiesta per Workplace) dovrebbe aprirsi automaticamente. In caso contrario, puoi modificare le regole di richiesta dallo snap-in di ADFS Management selezionando il relying party trust di Workplace e scegliendo Edit Claim Rules (Modifica regole di richiesta) nella finestra a destra.

2
Nella tab Issuance Transform Rules (Regole di trasformazione dell'emissione), clicca su Add Rule… (Aggiungi regola...) per avviare una nuova regola.

Creazione della prima regola

Crea la prima regola per recuperare il campo dell'indirizzo e-mail da Active Directory quando l'utente viene autenticato.

1
Per il modello Claim Rule (Regola di richiesta), seleziona Send LDAP Attributes as Claims (Invia attributi LDAP come richieste) e clicca su Next (Avanti) per continuare.

2
Imposta il nome della regola di richiesta su Get LDAP Attributes (Ottieni attributi LDAP). Imposta Attribute store (Archivio attributi) su Active Directory. Nella prima riga, imposta LDAP Attribute (Attributo LDAP) su E-Mail-Addresses (Indirizzi e-mail) e imposta Outgoing Claim Type (Tipo di richiesta in uscita) su E-Mail Addresses (Indirizzi e-mail).

3
Clicca su Finish (Fine) per aggiungere la regola.

Creazione della seconda regola

Crea la seconda regola per mappare il campo dell'indirizzo e-mail sull'asserzione Name Id nella risposta SAML.

1
Clicca su Create Rule… (Crea regola) per avviare una seconda nuova regola.

2
Per Claim Rule Template (Modello della regola di richiesta), seleziona Transform an Incoming Claim (Trasforma una richiesta in entrata) e clicca su Next (Avanti) per continuare.

3
Per Claim Rule Name (Nome della regola di richiesta), inserisci Transform Email Address (Trasforma indirizzo e-mail). Per Incoming Claim Type (Tipo di richiesta in entrata), seleziona E-Mail Address (Indirizzo e-mail). Per Outgoing Claim Type (Tipo di richiesta in uscita), seleziona NameID (ID nome). Per Outgoing name ID format (Formato ID nome in uscita), seleziona Email. Infine, accetta la seleziona predefinita del pulsante Pass through all claim values (Trasmetti tutti i valori della richiesta) e clicca su Finish (Fine) per aggiungere la regola.

4
Clicca su Apply (Applica) per applicare le regole di richiesta.

Raccolta dei parametri ADFS necessari per la configurazione di Workplace

Per completare la configurazione, è necessario recuperare alcuni parametri che devono essere configurati in Workplace.

?
Per completare questa configurazione e fare in modo che ADFS produca un'asserzione SAML valida, devi riuscire a autenticarti su ADFS come l'utente con lo stesso indirizzo e-mail dell'amministratore di Workplace (fai attenzione a maiuscole e minuscole).
1
Apri lo snap-in di ADFS Management.

2
Accedi a ADFS > Service > Endpoints (ADFS > Servizio > Endpoint).

3
Conferma l'URL dei tuoi metadati ADFS sotto l'intestazione Metadata.

4
Da un browser web, apri il tuo file di metadati ADFS. Il percorso sarà simile a questo: https://:​{your-fully-qualified-:​active-directory-domain}:​/FederationMetadata/:​2007-06/:​FederationMetadata.xml.

5
Prendi nota dell'URL di emissione del SAML, che è contenuto nell'attributo entityID dell'elemento EntityDescriptor.

6
Dovrai inoltre prendere nota dell'URL SAML, che è contenuto nell'attributo Location dell'elemento AssertionConsumerService che ha Binding type impostato su urn::​oasis::​names::​tc::​SAML:2.0::​bindings::​HTTP-POST.

Conversione del certificato nel formato X.509

Una volta completata la configurazione del tuo identity provider:

1
Dalla console di ADFS Management, scegli ADFS > Service > Certificates (ADFS > Servizio > Certificati). Clicca con il tasto destro sul tuo certificato di firma del token e clicca su View Certificate… (Visualizza certificato).

2
Scegli la tab Details (Dettagli) e clicca sul pulsante Copy to File… (Copia su file).

3
Clicca su Next (Avanti) per avviare la procedura guidata. Scegli Base-64 encoded X.509 (.CER).

4
Scegli un percorso sul the file system per salvare il file del certificato esportato.

5
Clicca su Finish (Fine) per completare l'esportazione.

Completamento della configurazione dell'SSO su Workplace

Hai bisogno dell'URL SAML, dell'URL di emissione del SAML e del file del certificato esportato per completare la configurazione dell'SSO su Workplace. Segui la guida Accesso singolo (SSO).