Autenticação

Saiba mais sobre suas opções para permitir que os usuários acessem o Workplace.

Visão geral

O Active Directory Federation Services (ADFS) é um componente do Windows Server que permite que organizações usem o acesso por login único (SSO) com outros aplicativos. Neste guia, detalharemos a configuração necessária com o ADFS para integrar com sucesso seu SSO com o Workplace.

Configure o ADFS para SSO com o Workplace

Pré-requisitos

  • Seu sistema de SSO usa a versão do Windows Server de 2019 ou 2016, o Active Directory Domain Services (ADDS) e Active Directory Federation Services (ADFS) v4 ou v5.
  • Você foi atribuído à função administrador do sistema em sua instância do Workplace.
  • O usuário de administrador do Workplace tem exatamente o mesmo endereço de email que o usuário do Active Directory correspondente. Se os endereços de email não são uma correspondência que diferencia maiúsculas de minúsculas, não será possível concluir esse procedimento com sucesso.
?
Essas instruções também se aplicam à configuração do Windows Server versão 2012 R2 ou 2008 R2 com ADFS v2, mas fique ciente de que existem pequenas diferenças no fluxo da configuração. Recomendamos atualizar para versões mais recentes do Windows Server.

Reúna os parâmetros necessários para configurar o ADFS

Siga as etapas abaixo no Workplace para encontrar os parâmetros necessários para configurar o ADFS.

1
Vá para o Painel Administrativo e navegue até a seção Segurança.

2
Navegue até a guia Autenticação.

3
Marque a caixa de seleção Login único (SSO).

4
Anote os valores da URL de público e a URL do destinatário, que serão necessários durante a etapa de configuração do ADFS.

Criar objeto de confiança de terceira parte confiável do ADFS

Antes de o ADFS permitir a autenticação federada (isto é, SSO) para um sistema externo, você deve configurar um Objeto de confiança de terceira parte confiável. Essa configuração identifica o sistema externo juntamente com a tecnologia específica usada para SSO. Esse procedimento criará um Objeto de confiança de terceira parte confiável que produz afirmações SAML 2.0 para o Workplace.

1
Abrir o snap-in de gerenciamento do ADFS. Clique em Objeto de confiança de terceira parte confiávele escolha Adicionar objeto de confiança de terceira parte confiável.

2
Escolha o botãoRádio com reconhecimento de declaração . Clique em Iniciar.

3
Selecione Inserir dados sobre a terceira parte confiável manualmente e clique em Avançar.

4
Defina o DisplayName como Workplace. Clique em Avançar.

5
Clique em Avançar para pular a etapa opcional de selecionar um certificado de assinatura de token.

6
Clique na caixa de seleção Ativar suporte para o protocolo SAML 2.0 WebSSO. Insira a URL de destinatário do Workplace que você anotou na caixa de texto da parte confiável da URL de serviço SAML 2.0 SSO e clique em Avançar.

7
Insira a URL de público do Workplace na caixa de texto RelyingPartyTrust Identifier, clique em Adicionar e em Avançar.

8
Clique em Avançar para aceitar a Política de controle de acesso padrão.

9
Analise suas configurações e clique em Avançar para adicionar o objeto de confiança de terceira parte confiável.

10
Deixe a caixa de seleção selecionada para abrir o diálogo Editar regras de reivindicação quando o assistente fecha e clique em Fechar.

Criar regras de reivindicação

Depois que um usuário é autenticado, as regras de reivindicação do ADFS especificam atribuídos de dados (e o formato dos atributos) que serão enviados ao Workplace em resposta ao SAML. Como o Workplace requer um elemento de identificação do nome que contém o endereço de email do usuário, este exemplo mostra a configuração com duas regras:

  • A primeira regra extrai o nome principal do usuário do Active Directory (isto é, o nome da conta do Windows do usuário);
  • A segunda regra transforma o nome principal do usuário em uma identificação de nome com o formato de email.

Prepare-se para criar as regras de reivindicação

Configure ADFS para criar duas regras de reivindicação para configurar o SSO para Workplace.

1
A janela Editar regras de reivindicação para o Workplace deve abrir automaticamente. Caso contrário, é possível editar as regras de reivindicação por meio do snap-in do gerenciador de ADFS selecionando o objeto de confiança de terceira parte confiável e escolher, na janela à direita, Editar regras de reivindicação.

2
Na guia Regras de transformação de emissão clique em Adicionar regra… para iniciar uma nova regra.

Crie a primeira regra

Crie a primeira regra para recuperar o campo de endereço de email do Active Directory quando o usuário for autenticado.

1
Para o modelo de regra de reivindicação, selecione Enviar atributos LDAP como reivindicações e clique em Avançar para continuar.

2
Defina o nome da regra de reivindicação como Obter atributos LDAP. Defina o armazenamento de atributo como Active Directory. Na primeira linha, define o atributo LDAP Attribute para Endereços de email e defina o Tipo de reivindicação de saída para endereços de email.

3
Clique em Concluir para adicionar a regra.

Crie a segunda regra

Crie a segunda regra para mapear o campo de endereço de email para Name Idafirmação na resposta SAML.

1
Clique em Criar regra… para começar uma segunda regra.

2
Para Modelo de reivindicação de regra, selecione Transformar reivindicação de entrada e clique em Avançar para continuar.

3
Para o nome da regra de reivindicação, insira Transformar endereço de email. Para tipo de reivindicação de entrada, selecione Endereço de email. Para o Tipo de reivindicação de saída, selecione identificação do nome. Para formato de identificação de nome de saída, selecione Email. Por fim, aceite a seleção do botão de rádio padrão pase todos os valores das reivindicações e clique em Concluir para adicionar a regra.

4
Clique em Aplicar para colocar as regras de reivindicação em prática.

Reúna parâmetros de ADFS necessários para configurar o Workplace

Para concluir a configuração, precisamos recuperar alguns parâmetros que devem ser configurados no Workplace.

?
Para concluir esta configuração e fazer com que o ADFS produza uma afirmação SAML, você deve poder autenticar para ADFS como o usuário com o mesmo endereço de email do administrador do Workplace (há diferenciação entre maiúsculas e minúsculas).
1
Abrir o snap-in de gerenciamento do ADFS.

2
Navegar atéADFS > Serviço > Ponto de extremidade.

3
Confirmar a URL dos metadados do ADFS abaixo dos metadados principais.

4
Usando um navegador da Web, abra o arquivo de metadados do ADFS. Esta localização será algo assim: https://:​{your-fully-qualified-:​active-directory-domain}:​/FederationMetadata/:​2007-06/:​FederationMetadata.xml.

5
Observe a URL do emissor do SAML, que é contida no entityID atributo do EntityDescriptor elemento.

6
Também será preciso observar a URL do SAML, que está contida no Location atributo do AssertionConsumerServiceelemento que Binding typeestá definido como urn::​oasis::​names::​tc::​SAML:2.0::​bindings::​HTTP-POST.

Converter o certificado para o formato X.509

Depois de passar pela configuração do provedor de identidade:

1
Do gerenciamento do controle, escolha ADFS > Serviço > Certificados. Clique com o botão direito do mouse no certificado de autenticação de tokens e clique em Visualizar certificado....

2
Escolha a guia Detalhes e clique no botão Copiar para arquivo….

3
Clique em Avançar para iniciar o assistente. Escolha X.509 codificado em base 64 (.CER).

4
Escolha um local no sistema de arquivos para salvar o arquivo de certificado exportado.

5
Clique em Concluir para finalizar a exportação.

Concluir configuração do SSO do Workplace

Você precisará da URL do SAML, da URL do emissor do SAML e do arquivo exportado do certificado para concluir a configuração do SSO do Workplace. Siga o guia de Login único (SSO).