Visão geral
O Active Directory Federation Services (ADFS) é um componente do Windows Server que permite que organizações usem o acesso por login único (SSO) com outros aplicativos. Neste guia, detalharemos a configuração necessária com o ADFS para integrar com sucesso seu SSO com o Workplace.
Configure o ADFS para SSO com o Workplace
- Seu sistema de SSO usa a versão do Windows Server de 2019 ou 2016, o Active Directory Domain Services (ADDS) e Active Directory Federation Services (ADFS) v4 ou v5.
- Você foi atribuído à função administrador do sistema em sua instância do Workplace.
- O usuário de administrador do Workplace tem exatamente o mesmo endereço de email que o usuário do Active Directory correspondente. Se os endereços de email não são uma correspondência que diferencia maiúsculas de minúsculas, não será possível concluir esse procedimento com sucesso.
Essas instruções também se aplicam à configuração do Windows Server versão 2012 R2 ou 2008 R2 com ADFS v2, mas fique ciente de que existem pequenas diferenças no fluxo da configuração. Recomendamos atualizar para versões mais recentes do Windows Server.
Siga as etapas abaixo no Workplace para encontrar os parâmetros necessários para configurar o ADFS.
Vá para o Painel Administrativo e navegue até a seção Segurança.
Navegue até a guia Autenticação.
Marque a caixa de seleção Login único (SSO).
Anote os valores da URL de público e a URL do destinatário, que serão necessários durante a etapa de configuração do ADFS.
Antes de o ADFS permitir a autenticação federada (isto é, SSO) para um sistema externo, você deve configurar um Objeto de confiança de terceira parte confiável. Essa configuração identifica o sistema externo juntamente com a tecnologia específica usada para SSO. Esse procedimento criará um Objeto de confiança de terceira parte confiável que produz afirmações SAML 2.0 para o Workplace.
Abrir o snap-in de gerenciamento do ADFS. Clique em
Objeto de confiança de terceira parte confiávele escolha
Adicionar objeto de confiança de terceira parte confiável.

Escolha o botão
Rádio com reconhecimento de declaração . Clique em
Iniciar.

Selecione
Inserir dados sobre a terceira parte confiável manualmente e clique em
Avançar.

Defina o DisplayName
como Workplace. Clique em
Avançar.

Clique em
Avançar para pular a etapa opcional de selecionar um certificado de assinatura de token.

Clique na caixa de seleção
Ativar suporte para o protocolo SAML 2.0 WebSSO. Insira a
URL de destinatário do Workplace que você anotou na caixa de texto da parte confiável da URL de serviço SAML 2.0 SSO e clique em
Avançar.

Insira a
URL de público do Workplace na caixa de texto
RelyingPartyTrust Identifier
, clique em
Adicionar e em
Avançar.

Clique em
Avançar para aceitar a
Política de controle de acesso padrão.

Analise suas configurações e clique em
Avançar para adicionar o objeto de confiança de terceira parte confiável.

Deixe a caixa de seleção selecionada para
abrir o diálogo Editar regras de reivindicação quando o assistente fecha e clique em
Fechar.

Depois que um usuário é autenticado, as regras de reivindicação do ADFS especificam atribuídos de dados (e o formato dos atributos) que serão enviados ao Workplace em resposta ao SAML. Como o Workplace requer um elemento de identificação do nome que contém o endereço de email do usuário, este exemplo mostra a configuração com duas regras:
- A primeira regra extrai o nome principal do usuário do Active Directory (isto é, o nome da conta do Windows do usuário);
- A segunda regra transforma o nome principal do usuário em uma identificação de nome com o formato de email.
Configure ADFS para criar duas regras de reivindicação para configurar o SSO para Workplace.
A janela Editar regras de reivindicação para o Workplace deve abrir automaticamente. Caso contrário, é possível editar as regras de reivindicação por meio do snap-in do gerenciador de ADFS selecionando o objeto de confiança de terceira parte confiável e escolher, na janela à direita, Editar regras de reivindicação.
Na guia
Regras de transformação de emissão clique em
Adicionar regra… para iniciar uma nova regra.

Crie a primeira regra para recuperar o campo de endereço de email do Active Directory quando o usuário for autenticado.
Para o modelo de regra de reivindicação, selecione
Enviar atributos LDAP como reivindicações e clique em
Avançar para continuar.

Defina o nome da regra de reivindicação como
Obter atributos LDAP. Defina o armazenamento de atributo como
Active Directory. Na primeira linha, define o atributo
LDAP Attribute para
Endereços de email e defina o
Tipo de reivindicação de saída para
endereços de email.

Clique em Concluir para adicionar a regra.
Crie a segunda regra para mapear o campo de endereço de email para Name Id
afirmação na resposta SAML.
Clique em Criar regra… para começar uma segunda regra.
Para
Modelo de reivindicação de regra, selecione
Transformar reivindicação de entrada e clique em
Avançar para continuar.

Para o
nome da regra de reivindicação, insira
Transformar endereço de email. Para
tipo de reivindicação de entrada, selecione
Endereço de email. Para o
Tipo de reivindicação de saída, selecione
identificação do nome. Para
formato de identificação de nome de saída, selecione
Email. Por fim, aceite a seleção do botão de rádio padrão
pase todos os valores das reivindicações e clique em
Concluir para adicionar a regra.

Clique em
Aplicar para colocar as regras de reivindicação em prática.

Para concluir a configuração, precisamos recuperar alguns parâmetros que devem ser configurados no Workplace.
Para concluir esta configuração e fazer com que o ADFS produza uma afirmação SAML, você deve poder autenticar para ADFS como o usuário com o mesmo endereço de email do administrador do Workplace (há diferenciação entre maiúsculas e minúsculas).
Abrir o snap-in de gerenciamento do ADFS.
Navegar atéADFS > Serviço > Ponto de extremidade.
Confirmar a URL dos metadados do ADFS abaixo dos metadados principais.
Usando um navegador da Web, abra o arquivo de metadados do ADFS. Esta localização será algo assim: https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml
.
Observe a URL do emissor do SAML, que é contida no entityID
atributo do EntityDescriptor
elemento.
Também será preciso observar a URL do SAML, que está contida no Location
atributo do AssertionConsumerService
elemento que Binding type
está definido como urn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST
.
Depois de passar pela configuração do provedor de identidade:
Do gerenciamento do controle, escolha
ADFS > Serviço > Certificados. Clique com o botão direito do mouse no certificado de autenticação de tokens e clique em
Visualizar certificado....

Escolha a guia
Detalhes e clique no botão
Copiar para arquivo….

Clique em
Avançar para iniciar o assistente. Escolha
X.509 codificado em base 64 (.CER
).

Escolha um local no sistema de arquivos para salvar o arquivo de certificado exportado.

Clique em Concluir para finalizar a exportação.
Você precisará da URL do SAML, da URL do emissor do SAML e do arquivo exportado do certificado para concluir a configuração do SSO do Workplace. Siga o guia de Login único (SSO).