Xác thực

Tìm hiểu về các tùy chọn cho phép người dùng truy cập Workplace.

Tổng quan

Active Directory Federation Service (ADFS) là cấu phần của Windows Server cho phép các tổ chức sử dụng phương thức truy cập Đăng nhập một lần (SSO) với các ứng dụng khác. Ở hướng dẫn này, chúng tôi sẽ nêu chi tiết quy trình thiết lập bắt buộc trong ADFS để tích hợp thành công SSO với Workplace.

Cấu hình ADFS cho phương thức SSO sử dụng với Workplace

Điều kiện tiên quyết

  • Hệ thống SSO của bạn sử dụng Windows Server phiên bản 2019 hoặc 2016, Active Directory Domain Services (ADDS) và Active Directory Federation Service (ADFS) phiên bản 4 hoặc 5.
  • Bạn đã được chỉ định vai trò Quản trị viên hệ thống trong phiên bản Workplace.
  • Người dùng là quản trị viên Workplace có địa chỉ email giống hệt với địa chỉ email của người dùng Active Directory tương ứng. Nếu các địa chỉ email không khớp chữ hoa/chữ thường, bạn sẽ không thể hoàn tất quy trình này thành công.
?
Bạn cũng có thể áp dụng các hướng dẫn này cho quá trình cấu hình Windows Server phiên bản 2012 R2 hoặc 2008 R2 với ADFS phiên bản 2. Tuy nhiên, bạn cần lưu ý một số điểm khác biệt nhỏ trong quy trình cấu hình. Bạn nên nâng cấp lên các phiên bản Window Server mới hơn.

Thu thập các thông số cần thiết để cấu hình ADFS

Trong Workplace, hãy tìm những thông số bạn cần để cấu hình ADFS theo các bước bên dưới.

1
Đi tới Bảng điều khiển quản trị rồi chuyển đến phần Bảo mật.

2
Chuyển đến tab Xác thực.

3
Đánh dấu vào ô Đăng nhập một lần (SSO).

4
Ghi ra các giá trị URL đối tượngURL người nhận mà bạn sẽ cần dùng trong bước cấu hình ADFS.

Tạo cấu hình Relying Party Trust (Tin bên đáng tin cậy) trong ADFS

Bạn phải thiết lập cấu hình Relying Party Trust thì ADSF mới cho phép hệ thống bên ngoài xác thực liên hợp (nghĩa là SSO). Cấu hình này xác định hệ thống bên ngoài cùng với công nghệ cụ thể được dùng cho SSO. Quy trình này sẽ tạo một cấu hình Relying Party Trust cung cấp Xác nhận SAML 2.0 cho Workplace.

1
Mở chương trình đính kèm ứng dụng ADFS Management. Nhấp vào Relying Party Trusts rồi chọn Add Relying Party Trust.

2
Chọn nút radio Claims aware. Nhấp vào Start.

3
Chọn Enter data about the relying party manually rồi nhấp vào Next.

4
Đặt DisplayName là Workplace. Nhấp vào Next.

5
Nhấp vào Next để bỏ qua bước (không bắt buộc) chọn chứng chỉ ký mã.

6
Nhấp để đánh dấu vào ô Enable support for the SAML 2.0 WebSSO protocol. Nhập URL người nhận trên Workplace (mà bạn đã ghi lại) vào hộp văn bản Relying party SAML 2.0 SSO service URL rồi nhấp vào Next.

7
Nhập URL đối tượng trên Workplace vào hộp văn bản RelyingPartyTrust Identifier, sau đó nhấp vào Add rồi nhấp vào Next.

8
Nhấp vào Next để chấp nhận Chính sách kiểm soát quyền truy cập mặc định.

9
Xem lại các tùy chọn cài đặt của bạn rồi nhấp vào Next để thêm cấu hình Relying Party Trust.

10
Đánh dấu vào ô để mở hộp thoại Chỉnh sửa quy tắc xác nhận khi trình hướng dẫn đóng rồi nhấp vào Close.

Tạo quy tắc xác nhận

Sau khi người dùng được xác thực, các quy tắc xác nhận ADFS chỉ định các thuộc tính dữ liệu (và định dạng của các thuộc tính đó) sẽ được gửi tới Workplace trong Phản hồi SAML. Vì Workplace yêu cầu thành phần ID tên chứa địa chỉ email của người dùng nên ví dụ này minh họa một cấu hình có 2 quy tắc:

  • Quy tắc thứ nhất trích xuất Tên chính của người dùng từ Active Directory (tức là Tên tài khoản trên Windows của người dùng);
  • Quy tắc thứ hai chuyển Tên chính của người dùng thành ID tên có định dạng email.

Chuẩn bị tạo quy tắc xác nhận

Thiết lập ADFS nhằm tạo 2 quy tắc xác nhận để cấu hình SSO cho Workplace.

1
Cửa sổ Chỉnh sửa quy tắc xác nhận cho Workplace sẽ tự động mở. Nếu không, bạn có thể chỉnh sửa quy tắc xác nhận từ chương trình đính kèm ứng dụng ADFS Management bằng cách chọn cấu hình Workplace relying party trust rồi chọn Edit Claim Rules trong cửa sổ bên phải.

2
Trong tab Issuance Transform Rules, nhấp vào Add Rule… để bắt đầu quy tắc mới.

Tạo quy tắc thứ nhất

Tạo quy tắc thứ nhất để truy xuất trường địa chỉ email từ Active Directory khi người dùng được xác thực.

1
Đối với Claim Rule template, chọn Send LDAP Attributes as Claims rồi nhấp vào Next để tiếp tục.

2
Đặt Claim Rule Name thành Get LDAP Attributes. Đặt Attribute store thành Active Directory. Trong hàng đầu tiên, đặt LDAP Attribute thành E-Mail-Addresse và đặt Outgoing Claim Type thành E-Mail Addresses.

3
Nhấp vào Finish để thêm quy tắc.

Tạo quy tắc thứ hai

Tạo quy tắc thứ hai để khớp trường địa chỉ email với xác nhận Name Id trong phản hồi SAML.

1
Nhấp vào Create Rule… để bắt đầu tạo quy tắc mới thứ hai.

2
Đối với Claim Rule Template, chọn Transform an Incoming Claim rồi nhấp vào Next để tiếp tục.

3
Đối với Claim Rule Name, nhập Transform Email Address. Đối với Incoming Claim Type, chọn E-Mail Address. Đối với Outgoing Claim Type, chọn NameID. Đối với Outgoing name ID format, chọn Email. Cuối cùng, chấp nhận lựa chọn nút radio mặc định Pass through all claim values rồi nhấp vào Finish để thêm quy tắc.

4
Nhấp vào Apply để ban hành quy tắc xác nhận.

Thu thập các thông số ADFS cần để cấu hình Workplace

Để hoàn tất thiết lập, chúng tôi cần truy xuất một số thông số phải được cấu hình trong Workplace.

?
Để hoàn tất quá trình cấu hình này và cho phép ADFS tạo Xác nhận SAML hợp lệ, bạn phải có thể xác thực với ADFS rằng mình là người dùng có địa chỉ email giống hệt với quản trị viên Workplace (có phân biệt chữ hoa/chữ thường).
1
Mở chương trình đính kèm ứng dụng ADFS Management.

2
Chuyển đến ADFS > Service > Endpoints.

3
Xác nhận URL của siêu dữ liệu ADFS trong tiêu đề Metadata.

4
Từ trình duyệt web, mở file siêu dữ liệu ADFS. Vị trí này sẽ có dạng như sau: https://:​{your-fully-qualified-:​active-directory-domain}:​/FederationMetadata/:​2007-06/:​FederationMetadata.xml.

5
Ghi lại URL của bên phát hành SAML (chứa trong thuộc tính entityID của thành phần EntityDescriptor.

6
Bạn cũng cần ghi lại URL của SAML (chứa trong thuộc tính Location của thành phần AssertionConsumerServiceBinding type được đặt thành urn::​oasis::​names::​tc::​SAML:2.0::​bindings::​HTTP-POST.

Chuyển đổi chứng chỉ của bạn sang định dạng X.509

Sau khi trải qua quy trình thiết lập của nhà cung cấp danh tính:

1
Từ bảng điều khiển của ADFS management, chọn ADFS > Service > Certificates. Nhấp chuột phải vào chứng chỉ ký mã của bạn rồi nhấp vào View Certificate….

2
Chọn tab Details rồi nhấp vào nút Copy to File….

3
Nhấp vào Next để khởi chạy trình hướng dẫn. Chọn Base-64 encoded X.509 (.CER).

4
Chọn vị trí trên hệ thống file để lưu file chứng chỉ đã xuất.

5
Nhấp vào Finish để hoàn thành quá trình xuất.

Hoàn tất cấu hình SSO trên Workplace

Bạn sẽ cần có URL của SAML, URL của bên phát hành SAMLfile chứng chỉ đã xuất để hoàn tất cấu hình SSO trên Workplace. Vui lòng làm theo hướng dẫn tại phần Đăng nhập một lần (SSO).