Ten slotte word die hulp van IT is hier

Blog van die rekenaar oplossings.

Enkel teken op met ADFS na Google Apps.

geskryf deur Xaus Xavier Nadal Maart 17th, 2012

Stoor bladsyPDF bladsye-pos bladsybladsy Druk

Hierdie artikel stap vir stap verduidelik wat ons moet doen om 'n verifikasie te kry Enkel teken op (SSO) deur die protokol SAML deur middel van 'n firewall Active Directory Federasie. Server 2.0 (ADFS 2.0) y Google Apps (GAPPS) as agterkant.

Uiteindelik wat met ons domein gebruiker kan bekragtig ons in 'n webwerf sonder om te weet die wagwoord van die diens wat ons aan te sluit (net met ons huidige domein geloofsbriewe in staat sal wees om Google Apps om toegang te verkry, sonder die dubbele verifikasie).

Hierdie proses kan gebruik word vir verskillende vorme van entiteite wat vereis dat die verifikasie van 'n bediener frontend vir SAML versoeke.

Maar eers moet jy verduidelik 'n bietjie van dit is dat die SAML en omdat ons dit so ingewikkelde oplossing in plaas van 'n gebruiker databasis in die wolk of 'n direkte integrasie te LDAP gekies het.

Die kwessie van veiligheid is altyd belangrik om oop poorte ons LDAP uit die wolk nie oortuig dat my nooit, so het ons twee opsies (die stelsel te integreer met 'n databasis of net Google SAML integrasie sonder poorte op die brandmuur te open sonder om 'n databasis van name en wagwoorde in die wolk in stand te hou). Die antwoord was eenvoudig. SAML.

Maar wat is en wat is die SAML protokol?

8 bestaan ​​van "eenvoudige" stappe.

1 - Die gebruiker 'n versoek om toegang tot die terrein wat jy wil om toegang te verkry. Byvoorbeeld http://www.google.com/a/megacrack.es

 

2 - Google Apps in hierdie geval die gebruiker reageer met die identiteit voorsiener waarop jy moet die versoek om die SSO stuur. Byvoorbeeld Com / adfs / LS "> com / adfs / LS"> com / adfs / LS "> com / adfs / LS" http://saml> <domain>. Com / adfs / LS

 

3 - Die gebruiker gebeur aan die identiteit (in ons geval Active Directory Federasie Server) login credentials deur Enkel-aanteken (Kies die geloofwaardigheid van die laaste aanteken in die domein) of in hierdie geval is 'n skerm vra getoon geloofsbriewe aan dieselfde wees as dié van die domein.

 

. 4 - die identiteit voorsiener gee die gebruiker met 'n XHTML vorm soos volg:

<Vorm method = "post" aksie = "https://saml <domain>. Com / SAML2 / SSO / POST" ...> <input type = "verborge" naam = "SAMLResponse" waarde = "reaksie" / > ... <input type="submit" value="Submit" /> </ form>

 

5 - Die gebruiker dra 'n pos versoek na die web wat verifikasie sal bevestig. Die waarde die SAML reaksie is ingesamel XHTML kode.

 

6 - Dit verwerk die reaksie, die diensverskaffer skep 'n veilige en aansture die gebruiker na die bestemming.

 

7 - Die gebruiker weer begin die versoek om toegang (.https://www.google.com/a/megacrack.es/acs)

 

8 - In die geval dat die omgewing is veilig, die diensverskaffer terug beheer aan die gebruiker wat verlede die webwerf verkry.

Klink ingewikkeld maar is regtig so eenvoudig soos die volgende:

1 - Die gebruiker toegang verkry tot http://correo.megacrack.es

2 - Die gebruiker is 'n skerm soos hierdie waar jy moet jou domein geloofsbriewe getoon.

Bekragtiging

3 - Die gebruiker toegang tot die terrein sonder probleme.

En as die stelsel werk as dit moet nie uit te gaan of selfs die vorige skerm (outomaties sou kies inskrywing data Windows).

En nou Toooooooooooodooooo die proses (is baie lank, maar moenie paniekerig raak nie as jy volg die stappe wat nou sal jy nie versuim om enigiets).

Die voorvereistes:

1.-bediener loop Windows Server 2008 R2 Standard (verkieslik Enterprise), 2 Ghz CPU en 2 GB RAM.

2 - Die bediener moet onmisbaar bygevoeg word by die domein en die nuutste security patches.

3 - toegang tot Google Apps administrateur af te hê.

4 - Het jy toegang tot die bediener in die administrateur af.

Die eerste stap is Installeer Internet Information Server op Windows Server 2008 die R2.

Wanneer ons klaar die bogenoemde stap sal die installering van die funksie. NET Framework 3.5.1As jy nie 'n Windows 2008 R2 want met R2 en installeer dit outomaties voortgaan na die volgende stap.

Wanneer ons die bogenoemde stappe gedoen begin dan 2 om te aflaai en installeer Active Directory Federasie Dienste 2.0

Nou dat ons die geïnstalleerde basis om enige entiteit voortgaan om spesifieke instellings vir Google Apps op te stel te begin

Die eerste ding om te doen is Self geteken Sertifikaat vir kommunikasie tussen ADFS en Google Apps soos volg:

Toegang Internet Information Services (IIS) reg van die bediener of die opening van die program: inleiding -> gereedskap administratiewe -> IIS (web bediener)

 

Ubicaros op die bediener in die IIS

Die SAML met Google Apps

In die besonderhede skerm pers dubbel kliek op Server sertifikate.

Die SAML met Google Apps_1

Klik op Skep Self-ondertekende sertifikaat in die Aksies Pane.

Die SAML met Google Apps_2

Vul die veld Spesifiseer 'n vriendelike naam vir die sertifikaat met die volgende naam vir 'n voorbeeld: adfs.gapps

Klik op OK.

 

In die pleister paneel het ons beweeg na Sites -> Standaard webwerf.

Die SAML met Google Apps_3

Klik op Bindings en el Aksies paneel.

Die SAML met Google Apps_4

 

Verwyder alle Site bindings huidige en klik dan op Voeg by.

Die SAML met Google Apps_5

Kies https af in die tipe en kies die sertifikaat wat jy nou net gemaak het.

Klik op OK.

Die SAML met Google Apps_6

Nou sal ons Stel die ADFS bediener as alleenstaande Federasie Server.

Toegang tot die instrument Die AD FS Bestuur 2.0 geleë in inleiding -> Alle programme -> Systeembeheer -> Die AD FS Bestuur 2.0

Die SAML met Google Apps_7

Klik op 2.0 AD FS Federasie server configuration Wizard.

Die SAML met Google Apps_8

Klik op volgende.

Die SAML met Google Apps_9

Kies Stand-alone Federasie bediener en klik op Volgende.

Die SAML met Google Apps_10

Klik op volgende.

Die SAML met Google Apps_11

Klik op volgende.

Die SAML met Google Apps_12

Klik op Sluit.

Die volgende punt is om te skep Vertrou Party Trust.

Toegang tot die instrument Die AD FS Bestuur 2.0 geleë in inleiding -> Alle programme -> Systeembeheer.

 

Toegang Ad FS 2.0 -> Trust Verhoudings -> Vertrou Party Trusts

Die SAML met Google Apps_13

Klik op Voeg Vertrou Party Trust in die Aksies Pane.

Die SAML met Google Apps_14

Klik op begin.

Die SAML met Google Apps_15

Kies Data in die hand oor die Vertrou party en klik op volgende.

Die SAML met Google Apps_16

Vertoon Naam: GoogleApps_SAML

Klik op Volgende.

Die SAML met Google Apps_17

Klik op volgende.

Die SAML met Google Apps_18

Klik op volgende.

Die SAML met Google Apps_19

Merk Aktiveer ondersteuning vir die SAML protokol 2.0-WebSSO

Vertrou party SAML SSO diens 2.0 URL: / ACS "> / ACS"> https://www.google.com/a/ <dominioGoogleApps> / ACS

Klik op Volgende.

Die SAML met Google Apps_20

Strona ufająca identyfikator zaufanie: google.com / / <dominioGoogleApps>

Klik op Voeg en klik op Volgende.

Die SAML met Google Apps_21

Klik op volgende.

Die SAML met Google Apps_22

Klik op volgende.

Die SAML met Google Apps_23

Klik op Naby para open die skerm wysig Eis Reëls.

Die SAML met Google Apps_24

Klik op Voeg reël.

Die SAML met Google Apps_25

Klik op Volgende.

Die SAML met Google Apps_26

Eis reël Naam: GoogleApps_SAML

Kies uit die dropdown kenmerk winkel: Active Directory

Kies uit die dropdown LDAP kenmerk: SAM-Rekening naam

Kies van die dropdown Outgoing Eis Tipe: Naam ID

Klik op Voltooi.

 

Die SAML met Google Apps_27

Klik op OK.

Die SAML met Google Apps_28

Druk die Reg op Vertrou Party Trusts acabado de crear GoogleApps_SAML en klik op Eiendomme.

Die SAML met Google Apps_29

In die blad Gevorderde Kies uit die drop down opsie SHA-1 en klik op OK.

Vir alles om behoorlik te werk wat ons nodig het om die self-signed sertifikaat wat ons vroeër met IIS te voer en dit uitvoer na 'n lêer vir later na die opstel van Google Apps met die opsie om SAML en gesertifiseer word om behoorlik te enkripteer kommunikasie.

Toegang tot die instrument Die AD FS Bestuur 2.0 geleë in inleiding -> Alle programme -> Systeembeheer -> Die AD FS Bestuur 2.0

Toegang AD FS 2.0 -> Diens -> sertifikate.

Die SAML met Google Apps_30

Merk die sertifikaat geleë in Verborge ondertekening en klik op Sien Sertifikaat Aksies Pane.

Die SAML met Google Apps_31

In die blad besonderhede kliek op Kopieer lêer.

Die SAML met Google Apps_32

Klik op Volgende.

Die SAML met Google Apps_33

Merk Base-gekodeerde 64 X.509 (CER) en klik op volgende.

Die SAML met Google Apps_34

File Name: C: \ SAML_GoogleApps.cer

Klik op volgende.

Die SAML met Google Apps_35

Klik op Voltooi.

Die SAML met Google Apps_36

Klik op OK en weer op OK.

Tot dusver het ons al hierdie bediener voltooi is, sal net SAML in staat stel om in die admin gevorderde Google Apps wat ek sal hieronder verduidelik, maar 'n bietjie verder te gaan, ek sal jou wys hoe IIS op te stel vir toegang tot Google die web nie die skerm verskyn pla jy seker dat jy toegang tot hierdie webwerf het geen versekering sertifikaat? en ons is 'n skerm met 'n rooi kruisie (ek dink jy weet wat ek sê).

Ons moet die volgende doen:

Terug in die hoofdeel van die Internet Information Server (IIS WEB) ubicaros op die bediener in die IIS

Die SAML met Google Apps_37

In die besonderhede skerm pers dubbel kliek op Server Sertifikate.

Die SAML met Google Apps_38

Klik op invoer.

Die SAML met Google Apps_39

Kies 'n sertifikaat wat bevestig is deur 'n verifieer entiteit soos VeriSign.

Tik die wagwoord en klik op OK.

 

In die pleister paneel het ons beweeg na Sites -> Standaard webwerf.

Die SAML met Google Apps_40

Klik op Bindings en el Aksies paneel.

beeld

Verander https.

Die SAML met Google Apps_41

Kies die sertifikaat en klik op spesiale verifikasie OK.

Nou het ons net Stel Enkel-aanteken op Google Apps al die voltooide stelsel te hê.

Toegang tot die admin in Google Apps ">"> Http :/ / www.google.com/a/ <dominioGoogleApps>

 

In die domein administrasie-paneel -> Gevorderde gereedskap

Die SAML met Google Apps_42

 

Klik op Stel 'n single sign-on (SSO).

 

Die SAML met Google Apps_43

 

MARCAD die boks Aktiveer Single Teken aan y rellenar los diferentes que se muestran Campos continuación:

 

Teken-in bladsy URL: https://<servidor ADFS>/adfs/ls

Teken bladsy URL: http://www.megacrack.es byvoorbeeld om aan te teken wanneer dit op hierdie site herlei word.

Verander wagwoord URL: http://www.megacrack.es of 'n bladsy wat spesiaal ontwerp om die toegang wagwoord te verander.

 

Voeg uitgevoer sertifikaat van ADFS genoem C: \ SAML_GoogleApps.cer (Vereiste is noodsaaklik dat ons die dieselfde aktiewe Gids Federasie gebruik het).

 

Merk Gebruik 'n domein spesifieke uitreiker (Dit is om te verhoed dat die domein verifikasie te gaan).

 

Klik op Stoor Veranderinge.

Wel, was nie so moeilik nie, jy doen?? Jejej, die waarheid is skrikwekkend, maar hey hoop dat jy gehelp het om die twyfel te verduidelik.

Is goed om 'n punt. (Vir diegene wat jy gebruik Chrome of Firefox op jou maatskappye) dwarsdeur hierdie proses sal nie help om te alle omdat dit nie op hierdie blaaiers werk vir 'n onderwerp van uitgebreide beskerming.

Internet Explorer nie verifikasie kwessies, maar Chrome of Firefox kan nie gevalideer moet word, soos ons dit regmaak? Vir die volgende te doen:

Toegang Internet Information Services (IIS) in die tak Sites -> Standaard webwerf -> adfs -> ls

Die SAML met Google Apps_44

Toegang Verifikasie

Die SAML met Google Apps_45

Druk die regte knoppie op Windows verifikasie -> Gevorderde instellings.

Die SAML met Google Apps_46

Kies uit dropdown Uitgebreide beskerming die opsie Off

Klik op OK.

Ten slotte, al die probleme opgelos en die validering enkele teken op die werk sonder probleme.

Ek hou van hierdie artikel?

Selfs ek het 'n paar los punte, maar ek dink ek sal besluit oor die dae. Byvoorbeeld, 'n vraag dat ek laat in die lug en wat my ken, reageer asseblief.

  • Die self-signed sertifikaat wat ons in die IIS het 'n rak lewe van 1 jaar. Wat sal gebeur as hulle voldoen aan die hernuwingsdatum, 'n fout? En ons sal weer die proses van self-onderteken?
  • Ek het gevra vir validering elke keer as ek die leser boot?
  • Hoekom nie vang my bedryfstelsel geloofsbriewe en ek het elke keer as ek aanteken in te skryf?

Groete en sien julle binnekort.

Related Posts Plugin vir WordPress, Blogger ...
Tags: , , , , , , ,


4 Responses to "Single Sign On ADFS na Google Apps."

  1. Romeinse Joaquin sê:

    Die artikel "Single Sign On met ADFS na Google Apps" het my baie gehelp en is baie goed geskryf.
    Met betrekking tot die vraag wat ek vra elke keer as ek opstarten validering van die leser?
    Soos uitgevoer deur die implementering van ADFS O365 moet opgestel word deur die plaaslike beleid of domein die volgende richtlijn.
    - Gebruiker stel.
    - Windows Instellings
    - Internet Explorer-onderhoud
    - Sekuriteit
    - Veiligheid Zone en klassifikasie van inhoud - Voer die huidige opset van die sekuriteit sones - Button
    - In die Internet Properties - Plaaslike Internet - enabled (spoor netwerk-webwerwe outomaties) en voeg die URL van ons bediener ADFS

    Groete

  2. Andres sê:

    Uitstekende tutoriaal, net wat ek nodig het. Ek verstaan ​​dat daar mense soos jy om jou kennis te deel en ons help beginners soos ek.

    Baie dankie

  3. Tahir Abdullayev sê:

    Thank you very much. My probleem opgelos heeltemal.

  4. Fredrik "DXter" Jonsson sê:

    Xavier Hej!

    Mitt namn är Fredrik "DXter" Jonsson och jag är av dom BTW utbildarna som i Sverige Haller professionella utbildningar ADFS.

    Jag har din laaste artikel nu och jag finner Tyvärr Manga punkter eller som bor förändras felaktiga är direkt. Bland Annat:

    1. Ger Enterprise Edition ingenting ADFS.

    2. IIS, WIF, Ag Andra NET ADFS beroenden som du har inte behöver installera själv.. Det Gor grawe onder ADFS by installationen.

    2. Du SKA inte behöver inte och skapa något självsignerat certifikat via IIS! ADFS och Google Apps kommunicerar Aldrig direkt emellan varandra, det är som Gor användaren detta via HTTP-aansture.

    3. Certifikatnamn SKA inte till federerade het kopplingar Applicaties i sig.

    4. ADFS SKA Aldrig installeras losstaande! Det är och är väldigt dumt orsakerna tot att av losstaande läget är borta ur ADFS 2.2!

    5. Federationstjänsten SKA het ett publikt trustat certifikat.

    6. Du använder ADFS teken ondertekening defaultgiltighetstider på och teken enkripsie. Huur så är detta generellt dumt och Bor utökas år tot ongeveer 5 Innan federationer upprättas!

    7. Vertoning name federationer för Bor stok "snygga" och att LATTA Första betyder VAD dom. Detta DA Användare wees vaal annnat dessa vid GOP geïnisieer Sign Op.

    8. Ek roep Reël så din väljer du SAM-rekening-Naam mappas in för att i Naam ID. Is dié är generellt väldigt dumt huur. Det är att du Mycket bättre använder E-pos attributet som är det då Kalla draf Allt e-postadress du ska ge Google Apps.

    9. Du konfigurerar geïntegreer Single Sign in eindpunt URL som DIN emot federasie Google Apps. Detta Gor inte att Single Sign Out fungerar!

    10. Andra aldrig bindings i direkt för ADFS IIS! Gor det i ADFS-konsollen, annars är aldrig ADFS medveten om detta!

    11. Du Maste het och Samma aanmeld Teken uit i Google Apps URL ADFS Enkel Teken uit vir att SKA fungera.

    12. Uitgebreide beskerming SKA EJ konfigureras IIS i, i Utan ADFS via PowerShell!

    Vänlig var och så Kommer uppdatera din bloggpost jättebra BLI den!

    MVH

    Fredrik "DXter" Jonsson

Laat 'n antwoord

XHTML: Jy kan gebruik in die oorspronklike tags: <a href="" title=""> <abbr title = ""> <afkorting title = ""> <b> <blockquote cite = ""> <cite> <code> <del DATETIME = ""> <em> <i> <q cite = ""> <s> <strike> <strong>