Resumo
Configure o AD FS (Serviço de Federação do Active Directory) como parte da configuração SAML para o seu portal da LearnUpon.
Quando você configura o AD FS com SAML para sua organização, todos os usuários obtêm uma experiência perfeita em seus ambientes de trabalho, sem parar para entrar em diferentes áreas de trabalho.
Os usuários podem fazer login em suas contas e acessar tanto o software interno, como suas ferramentas de desktop, quanto os aplicativos baseados na Web, como os portais da LearnUpon, sem fazer login várias vezes.
Disponibilidade: todos os clientes que usam o AD FS com SAML
Sobre o Serviço de Federação do Active Directory, também conhecido como AD FS
O AD FS (Serviço de Federação do Active Directory) permite que você compartilhe com segurança identidade digital e direitos entre fronteiras de segurança e corporativas. O AD FS estende sua funcionalidade de login único (SSO) de uma organização para aplicativos voltados para a Internet. Esse serviço oferece aos clientes, parceiros e fornecedores uma experiência de usuário simplificada ao acessar os aplicativos de uma organização baseados na Web.
Consulte: Visão geral dos Serviços de Federação do Active Directory
Neste processo de configuração, você está coletando informações para criar conexões confiáveis entre o servidor AD FS e a LearnUpon.
Pré-requisitos
A configuração do AD FS requer:
- Configuração SAML em seu portal. Consulte Configurar o SSO via SAML em seu portal
- no lado do cliente: um servidor AD FS do Active Directory em funcionamento
- O servidor AD FS deve estar voltado para o público e estar acessível usando o URL de destino IdP do SSO do cliente
- No servidor AD FS, você precisa configurar:
- Confiança da parte confiada
- Regra(s) de solicitações – (mínimo do endereço de e-mail ou nome de usuário enviado como ID de nome)
- Impressão digital SHA1 ou SHA256 (da impressão digital do certificado de descriptografia de token)
- opcionalmente: Recurso loginToRp
Permissões de acesso
Esse processo requer:
- administradores com permissões totais para o portal de nível superior: podem configurar o AD FS
- acesso de administrador ao servidor AD FS do Active Directory da sua organização
Etapa 1: Recuperar URL de destino IDP do SSO do AD FS
A partir do servidor AD FS do cliente > Propriedades dos Serviços de Federação, localize o domínio do servidor.
Combine o domínio, como adfs.myserver.com com adfs/ls/IdpInitiatedSignOn.aspx para criar o URL de destino IDP do SSO, também conhecido como URL de logon.
Exemplo de formato de URL: https://<host>:<port>/adfs/ls/IdpInitiatedSignOn.aspx
Exemplo de URL: https://adfs.myserver.com/adfs/ls/IdpInitiatedSignOn.aspx
A captura de tela a seguir mostra a caixa de diálogo Propriedades do Serviço de Federação com um domínio de exemplo destacado.
Etapa 2: Recupere o certificado SHA1 ou SHA256 do servidor AD FS
Copie o conteúdo do certificado para um local seguro para uso posterior.
Você pode acessar o certificado de uma das duas maneiras.
- no powershell, use o comando
Get-AdfsCertificate
para gerar uma impressão digital do polegar, também conhecida como impressão digital. Consulte Get-AdfsCertificate no site de suporte da Microsoft
A captura de tela a seguir mostra uma tela do powershell com um certificado de assinatura de token, fornecendo uma impressão digital.
- use o MMC para adicionar o snap-in AD FS.
Em AD FS > Serviço > Certificados,, clique com o botão direito na entrada Assinatura de token e selecione Exibir certificado.
A captura de tela a seguir mostra o caminho do diretório e a opção Exibir certificado.
Na caixa de diálogo Certificado que é aberta, selecione Detalhes e, em seguida, selecione a entrada Impressão digital.
Selecione e copie a Impressão digital.
Etapa 3: Criar a confiança da parte confiável
Esse processo configura uma conexão "confiável" entre o servidor AD FS e a LearnUpon, fornecendo ao servidor informações detalhadas sobre seu portal da LearnUpon.
Observação: É necessária uma parte de confiança para cada portal que você se conecta ao SAML do AD FS.
Siga as instruções da Microsoft para Criar uma confiança de parte confiável.
As etapas a seguir fornecem destaques para uma conexão típica da LearnUpon, mas não substituem a documentação do produto Microsoft.
A partir do AD FS, crie uma Confiança de parte confiável selecionando a pasta AD FS.
Clique com o botão direito do mouse para acessar Adicionar confiança de parte confiável para abrir o assistente associado.
No Assistente para Adicionar confiança de parte confiável, siga as etapas guiadas.
Em Boas-vindas, selecione Reconhecimento de reclamações > Iniciar, como mostrado na captura de tela.
Dica: para todas as etapas a seguir, selecione Próxima para continuar.
Para Selecionar fonte de dados, selecione Inserir dados sobre a parte confiável manualmente, como mostrado na captura de tela a seguir.
Para Especificar Nome de exibição, digite um Nome de exibição para a parte confiável. A captura de tela a seguir mostra um exemplo de um portal da LearnUpon.
OBSERVAÇÃO: Esse nome é apenas para os seus propósitos e pode ser definido para qualquer nome que você desejar. Para referência futura, é recomendável inserir um nome relacionado ao seu uso, como o nome do portal.
Para Configurar certificado, selecione Próximo: nenhuma ação é necessária nesta etapa.
Para Configurar URL:
- selecione Ativar suporte para o protocolo SAML 2.0 WebSSO
- para URL de serviço SSO SAML 2.0 da parte confiável, digite o URL do ponto de entrada SAML do seu portal, como destacado na captura de tela a seguir
Este URL está disponível em Configurações > Integrações > Login único – SAML do portal.
Exemplo:
https://yourportal.learnupon.com/saml/consumer
Somente para o recurso LoginToRp: para Configurar identificadores, digite um identificador de Confiança de parte confiável e selecione Adicionar. O formato do identificador depende de você.
Exemplo de formato de URL:
https://<host>:<port>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=<Relying Party Trust Identifier>
Exemplo de URL:
https://adfs.myserver.com/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=yourportal.learnupon.com
Para escolher Política de controle de acesso, selecione uma política de controle de acesso, conforme necessário. O padrão é Permitir a todos, como mostrado na próxima captura de tela.
De Pronto para adicionar confiança, selecione Próximo: nenhuma ação é necessária.
Para Concluir, selecione Configurar política de emissão de solicitações para este aplicativo, como mostrado na captura de tela a seguir.
Feche para concluir.
Etapa 4: Configure a política de emissão de solicitações com uma ou mais regras de solicitação
Siga as instruções da Microsoft para Configurar regras de solicitação.
Este exemplo segue Criar uma regra para enviar atributos LDAP como Solicitações, configurando uma regra que usa Endereço de e-mail como o ID de nome na declaração.
Para portais que exigem nomes de usuário como identificadores exclusivos, você precisa identificar seu campo preferido em Atributo LDAP e manter Tipo de solicitação de saída definido como ID de nome.
As etapas a seguir fornecem destaques para uma conexão típica da LearnUpon, mas não substituem a documentação do produto Microsoft.
No contêiner AD FS, clique com o botão direito do mouse em Confiança de parte confiável > Editar política de emissão de solicitações.
Em Regras de transformação de emissão, selecione Adicionar regra.
No Assistente Adicionar regra de transformação de solicitação, selecione o padrão Enviar atributos LDAP como Solicitações e selecione Próximo.
Para Nome da regra de solicitação, digite um nome descritivo.
Em Repositório de atributos, escolha Active Directory.
No campo Atributo LDAP, selecione Endereços de e-mail.
No campo Tipo de solicitação de saída, escolha ID de nome.
Selecione Finalizar.
Em Editar política de emissão de solicitação, selecione OK para salvar a regra e Concluir.
Etapa 5: Opcional: insira Regras de solicitação adicionais para dados de usuário e grupos personalizados
Quando você mapeia atributos LDAP para campos de dados personalizados do usuário na LearnUpon, o AD FS pode enviar esses dados perfeitamente para a LearnUpon. Consulte Dados personalizados do usuário: configurar campos personalizados para obter informações básicas.
Exemplo 1: nome, sobrenome e título
Na captura de tela a seguir, a regra de Nome e sobrenome da amostra envia o Nome (atributo LDAP , Nome) e o Sobrenome ( atributo LDAP Sobrenome ) juntamente com outro título de campo personalizado como (atributo LDAP Função) para a LearnUpon como dados de usuário personalizados.
Exemplo 2: Grupos
Na exemplo de regra Enviar todos os grupos na Declaração, você envia uma lista de Associações a grupos de cada aluno no Active Directory na declaração usando o Tipo de solicitação de saída de grupo. Essa regra sincroniza os Grupos de um usuário no Active Directory com seus grupos da LearnUpon no portal.
Etapa 6: Conclua a Configuração SAML do portal da LearnUpon
No seu portal da LearnUpon, vá para Configurações > Integrações > Login único – SAML > Configurações gerais.
Defina as Configurações SAML, conforme necessário:
- Para URL de destino IDP do SSO, use o URL de login do AD FS da Etapa 1. Consulte Configurar o SSO via SAML em seu portal
Observação: Para exigir que todos os alunos façam login por meio do processo de login do AD FS, você precisa desativar a página de login. A LearnUpon recomenda testar o processo de login SAML do AD FS antes de desativar a página de login.
- Para Gerenciar impressões digitais, selecione e insira a impressão digital/impressão digital do polegar SHA1 ou SHA256 coletada na Etapa 3
A captura de tela a seguir mostra Gerenciar impressões digitais com duas impressões digitais inseridas.
Etapa 7: Teste o processo de login usando as credenciais SAML do AD FS
Documentação da Microsoft para referência
A LearnUpon não é responsável por conteúdo fora deste site.
- Visão geral dos Serviços de Federação do Active Directory
- Criar uma Confiança de parte confiável
- Configurar Regras de solicitação
- Criar uma regra para enviar atributos LDAP como Solicitações