Tổng quan
Active Directory Federation Service (ADFS) là cấu phần của Windows Server cho phép các tổ chức sử dụng phương thức truy cập Đăng nhập một lần (SSO) với các ứng dụng khác. Ở hướng dẫn này, chúng tôi sẽ nêu chi tiết quy trình thiết lập bắt buộc trong ADFS để tích hợp thành công SSO với Workplace.
Cấu hình ADFS cho phương thức SSO sử dụng với Workplace
Điều kiện tiên quyết
- Hệ thống SSO của bạn sử dụng Windows Server phiên bản 2019 hoặc 2016, Active Directory Domain Services (ADDS) và Active Directory Federation Service (ADFS) phiên bản 4 hoặc 5.
- Bạn đã được chỉ định vai trò Quản trị viên hệ thống trong phiên bản Workplace.
- Người dùng là quản trị viên Workplace có địa chỉ email giống hệt với địa chỉ email của người dùng Active Directory tương ứng. Nếu các địa chỉ email không khớp chữ hoa/chữ thường, bạn sẽ không thể hoàn tất quy trình này thành công.
Thu thập các thông số cần thiết để cấu hình ADFS
Trong Workplace, hãy tìm những thông số bạn cần để cấu hình ADFS theo các bước bên dưới.
Tạo cấu hình Relying Party Trust (Tin bên đáng tin cậy) trong ADFS
Bạn phải thiết lập cấu hình Relying Party Trust thì ADSF mới cho phép hệ thống bên ngoài xác thực liên hợp (nghĩa là SSO). Cấu hình này xác định hệ thống bên ngoài cùng với công nghệ cụ thể được dùng cho SSO. Quy trình này sẽ tạo một cấu hình Relying Party Trust cung cấp Xác nhận SAML 2.0 cho Workplace.
DisplayName
là Workplace. Nhấp vào Next. RelyingPartyTrust Identifier
, sau đó nhấp vào Add rồi nhấp vào Next. Tạo quy tắc xác nhận
Sau khi người dùng được xác thực, các quy tắc xác nhận ADFS chỉ định các thuộc tính dữ liệu (và định dạng của các thuộc tính đó) sẽ được gửi tới Workplace trong Phản hồi SAML. Vì Workplace yêu cầu thành phần ID tên chứa địa chỉ email của người dùng nên ví dụ này minh họa một cấu hình có 2 quy tắc:
- Quy tắc thứ nhất trích xuất Tên chính của người dùng từ Active Directory (tức là Tên tài khoản trên Windows của người dùng);
- Quy tắc thứ hai chuyển Tên chính của người dùng thành ID tên có định dạng email.
Chuẩn bị tạo quy tắc xác nhận
Thiết lập ADFS nhằm tạo 2 quy tắc xác nhận để cấu hình SSO cho Workplace.
Tạo quy tắc thứ nhất
Tạo quy tắc thứ nhất để truy xuất trường địa chỉ email từ Active Directory khi người dùng được xác thực.
Tạo quy tắc thứ hai
Tạo quy tắc thứ hai để khớp trường địa chỉ email với xác nhận Name Id
trong phản hồi SAML.
Thu thập các thông số ADFS cần để cấu hình Workplace
Để hoàn tất thiết lập, chúng tôi cần truy xuất một số thông số phải được cấu hình trong Workplace.
https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml
.entityID
của thành phần EntityDescriptor
.Location
của thành phần AssertionConsumerService
có Binding type
được đặt thành urn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST
.Chuyển đổi chứng chỉ của bạn sang định dạng X.509
Sau khi trải qua quy trình thiết lập của nhà cung cấp danh tính:
.CER
). Hoàn tất cấu hình SSO trên Workplace
Bạn sẽ cần có URL của SAML, URL của bên phát hành SAML và file chứng chỉ đã xuất để hoàn tất cấu hình SSO trên Workplace. Vui lòng làm theo hướng dẫn tại phần Đăng nhập một lần (SSO).