Workplace for Good
เราให้องค์กรการกุศลที่ไม่แสวงผลกำไรที่มีคุณสมบัติเข้าเกณฑ์สามารถใช้งาน Workplace Advanced ได้ฟรี

การยืนยันตัวตน

เรียนรู้เกี่ยวกับตัวเลือกในการอนุญาตให้ผู้ใช้เข้าถึง Workplace

เนื้อหา

ภาพรวม

Active Directory Federation Services (ADFS) เป็นส่วนประกอบสำหรับระบบปฏิบัติการ Windows Server ที่ทำให้องค์กรสามารถใช้งานการลงชื่อเข้าใช้แบบครั้งเดียว (SSO) ผ่านแอพพลิเคชั่นอื่นๆ ได้ โดยในคู่มือนี้ เราจะกล่าวถึงรายละเอียดข้อกำหนดของการตั้งค่าภายใน ADFS เพื่อให้การผสานการทำงาน SSO กับ Workplace ประสบผลสำเร็จ

กำหนดค่า ADFS สำหรับ SSO ด้วย Workplace

ข้อกำหนดที่ต้องดำเนินการก่อน

  • ระบบ SSO ของคุณต้องใช้ระบบปฏิบัติการ Windows Server เวอร์ชั่น 2019 หรือ 2016, Active Directory Domain Services (ADDS) และ Active Directory Federation Services (ADFS) v4 หรือ v5
  • คุณต้องได้รับการกำหนดบทบาทเป็นผู้ดูแลระบบใน Workplace
  • ผู้ดูแลระบบ Workplace ของคุณต้องใช้อีเมลเดียวกันกับอีเมลผู้ใช้ Active Directory หากอีเมลดังกล่าวมีอักษรพิมพ์เล็กพิมพ์ใหญ่ไม่ตรงกัน คุณจะไม่สามารถดำเนินการให้เสร็จสิ้นสมบูรณ์ได้
?
คำแนะนำเหล่านี้ใช้ได้กับการกำหนดค่าของ Window Server เวอร์ชั่น 2012 R2 หรือ 2008 R2 ด้วย ADFS v2 เช่นกัน แต่โปรดระวังเนื่องจากมีรายละเอียดปลีกย่อยที่แตกต่างกันในขั้นตอนการกำหนดค่า เราขอแนะนำให้อัพเกรด Window Server เป็นเวอร์ชั่นที่ใหม่กว่านี้

รวบรวมพารามิเตอร์ที่จำเป็นในการกำหนดค่า ADFS

ทำตามขั้นตอนต่อไปนี้ใน Workplace เพื่อค้นหาพารามิเตอร์ที่จำเป็นในการกำหนดค่า ADFS

1
ไปยังแผงควบคุมสำหรับผู้ดูแล และเข้าไปที่ส่วนความปลอดภัย

2
เข้าไปที่แท็บการยืนยันตัวตน

3
ทำเครื่องหมายที่กล่องกาเครื่องหมายการลงชื่อเข้าใช้แบบครั้งเดียว (SSO)

4
จดบันทึกค่า URL ของกลุ่มเป้าหมาย และURL ของผู้รับ ซึ่งจำเป็นต้องใช้ในระหว่างขั้นตอนการกำหนดค่า ADFS

สร้าง Relying Party Trust ใน ADFS

ก่อนที่ ADFS จะอนุญาตให้ยืนยันตัวตนจากส่วนกลาง (เช่น SSO) ผ่านระบบภายนอก คุณต้องตั้งค่า Relying Party Trust ก่อน การกำหนดค่านี้เป็นการระบุถึงระบบภายนอกพร้อมทั้งเทคโนโลยีบางอย่างที่ใช้สำหรับ SSO ขั้นตอนนี้จะสร้าง Relying Party Trust ขึ้นมา ซึ่งจะเป็นผู้รับรอง SAML 2.0 สำหรับ Workplace

1
เปิดสแนปอินของการจัดการ ADFS คลิกที่ Relying Party Trusts และเลือก Add Relying Party Trust

2
เลือกปุ่มตัวเลือก Claims aware คลิกที่ Start

3
เลือก Enter data about the relying party manually แล้วคลิกที่ Next

4
ตั้ง DisplayName ให้เป็น Workplace คลิกที่ Next

5
คลิกที่ Next เพื่อข้ามขั้นตอนการเลือกโทเค็นเพื่อลงนามในใบรับรอง ซึ่งเป็นขั้นตอนที่ไม่จำเป็น

6
คลิกที่กล่องกาเครื่องหมาย Enable support for the SAML 2.0 WebSSO protocol ป้อน URL ผู้รับของ Workplace ที่คุณจดบันทึกไว้ในกล่องข้อความ Relying party SAML 2.0 SSO service URL แล้วคลิกที่ Next

7
ป้อน URL กลุ่มเป้าหมายของ Workplace ในกล่องข้อความ RelyingPartyTrust Identifierแล้วคลิกที่ Add จากนั้นคลิกที่ Next

8
คลิกที่ Next เพื่อยอมรับ Access Control Policy ตามค่าเริ่มต้น

9
ตรวจสอบการตั้งค่าและคลิกที่ Next เพื่อเพิ่ม Relying Party Trust

10
ปล่อยกล่องกาเครื่องหมายที่เลือกไว้แล้วทิ้งไว้ตามเดิมเพื่อเปิดกล่องโต้ตอบ Edit Claim Rules ขึ้นมาหลังจากตัวช่วยสร้างถูกปิด และคลิกที่ Close

สร้างกฎการอ้างสิทธิ์ (Claim Rules)

หลังจากผู้ใช้ได้ยืนยันตัวตนแล้ว กฎการอ้างสิทธิ์ของ ADFS จะระบุถึงคุณสมบัติต่างๆ ของข้อมูล (รวมถึงรูปแบบของคุณสมบัติเหล่านั้น) ซึ่งจะถูกส่งไปยัง Workplace ใน SAML Response เนื่องจาก Workplace กำหนดให้องค์ประกอบของชื่อ ID ต้องมีอีเมลของผู้ใช้ เราจึงจะแสดงการกำหนดค่าด้วยการใช้กฎสองข้อ ดังตัวอย่างต่อไปนี้:

  • กฎข้อแรกจะนำองค์ประกอบชื่อหลักผู้ใช้ของผู้ใช้มาจาก Active Directory (ตัวอย่างเช่น ชื่อบัญชีบน Windows ของผู้ใช้)
  • กฎข้อที่สองจะเปลี่ยนองค์ประกอบชื่อหลักผู้ใช้ให้เป็นชื่อ ID และรูปแบบอีเมล

เตรียมพร้อมเพื่อสร้างกฎการอ้างสิทธิ์ของคุณ

ตั้งค่า ADFS เพื่อสร้างกฎการอ้างสิทธิ์สองข้อในการกำหนดค่า SSO สำหรับ Workplace

1
หน้าต่าง Edit Claim Rules for Workplace ควรจะเปิดขึ้นมาโดยอัตโนมัติ หากไม่เป็นเช่นนั้น คุณสามารถแก้ไขกฎการอ้างสิทธิ์จากสแนปอิน ADFS Management โดยการเลือก Relying Party Trust สำหรับ Workplace และในหน้าต่างด้านขวามือให้เลือก Edit Claim Rules

2
ภายในแท็บ Issuance Transform Rules ให้คลิกที่ Add Rule… เพื่อสร้างกฎใหม่

สร้างกฎข้อแรก

สร้างกฎข้อแรกเพื่อดึงช่องอีเมลจาก Active Directory เมื่อผู้ใช้ได้รับการยืนยันตัวตนแล้ว

1
สำหรับการเลือกเทมเพลตของกฎการอ้างสิทธิ์ ให้เลือก Send LDAP Attributes as Claims แล้วคลิกที่ Next เพื่อดำเนินการต่อ

2
ตั้ง Claim Rule Name ให้เป็น Get LDAP Attributes และตั้ง Set the Attribute store ให้เป็น Active Directory ในแถวแรก ให้ตั้ง LDAP Attribute เป็น E-Mail-Addresses และตั้ง Outgoing Claim Type เป็น E-Mail Addresses

3
คลิกที่ Finish เพื่อเพิ่มกฎดังกล่าว

สร้างกฎข้อที่สอง

สร้างกฎข้อที่สองเพื่อนำทางช่องอีเมลไปยังการยืนยันของ Name Id ใน SAML Response

1
คลิกที่ Create Rule… เพื่อสร้างกฎข้อที่สอง

2
สำหรับเทมเพลต Claim Rule ให้เลือก Transform an Incoming Claim แล้วคลิกที่ Next เพื่อดำเนินการต่อ

3
สำหรับ Claim Rule Name ให้ป้อน Transform Email Address สำหรับ Incoming Claim Type ให้เลือก E-Mail Address สำหรับ Outgoing Claim Type ให้เลือก NameID สำหรับ Outgoing name ID format ให้เลือก Email ท้ายที่สุดให้ยอมรับตัวเลือกตามค่าเริ่มต้นในช่อง Pass through all claim values และคลิกที่ Finish เพื่อเพิ่มกฎดังกล่าว

4
คลิกที่ Apply เพื่อนำกฎการอ้างสิทธิ์ดังกล่าวไปใช้งาน

รวบรวมพารามิเตอร์ ADFS ที่จำเป็นในการกำหนดค่า Workplace

เพื่อให้การตั้งค่าดังกล่าวเสร็จสิ้น เราต้องดึงพารามิเตอร์บางอย่าง เพื่อใช้กำหนดค่าใน Workplace

?
หากต้องการให้การกำหนดค่านี้เสร็จสิ้นและ ADFS สร้างการยืนยัน SAML ที่ถูกต้อง คุณจะต้องยืนยันตัวตนกับ ADFS ในฐานะผู้ใช้โดยมีอีเมลตรงกันกับผู้ดูแล Workplace ของคุณ (ตรงตามตัวพิมพ์เล็กหรือใหญ่)
1
เปิดสแนปอิน ADFS Management ขึ้นมา

2
เข้าไปที่ ADFS > Service > Endpoints

3
ยืนยัน URL ของเมตาดาต้า ADFS ของคุณใต้หัวเรื่อง Metadata

4
ในเว็บเบราว์เซอร์ ให้เปิดไฟล์เมตาดาต้า ADFS ของคุณ ตำแหน่งของไฟล์จะมีหน้าตาคล้ายดังต่อไปนี้: https://:​{your-fully-qualified-:​active-directory-domain}:​/FederationMetadata/:​2007-06/:​FederationMetadata.xml

5
จดบันทึก URL ของผู้ออก SAML ของคุณไว้ ซึ่งจะอยู่ในคุณสมบัติ entityID ขององค์ประกอบEntityDescriptor

6
นอกจากนี้คุณต้องจดบันทึก URL ของ SAML ของคุณด้วย ซึ่งอยู่ในคุณสมบัติ Location ขององค์ประกอบ AssertionConsumerService ที่มี Binding type ถูกกำหนดค่าเป็น urn::​oasis::​names::​tc::​SAML:2.0::​bindings::​HTTP-POST

แปลงใบรับรองของคุณให้เป็นรูปแบบ X.509

เมื่อคุณได้กำหนดผู้ให้บริการข้อมูลระบุตัวตนเรียบร้อยแล้ว:

1
ในหน้าคอนโซลการจัดการของ ADFS ให้เลือก ADFS > Service > Certificates คลิกขวาที่ใบรับรองการลงนามโทเค็น แล้วคลิกที่ View Certificate…

2
เลือกแท็บ Details และคลิกที่ปุ่ม Copy to File…

3
คลิกที่ Next เพื่อเริ่มตัวช่วยสร้าง เลือก Base-64 encoded X.509 (.CER)

4
เลือกตำแหน่งที่คุณต้องการบันทึกไฟล์ใบรับรองจากระบบแฟ้ม

5
คลิกที่ Finish เพื่อดำเนินการส่งออกให้เสร็จสมบูรณ์

กำหนดค่า SSO สำหรับ Workplace ให้เสร็จสมบูรณ์

คุณต้องใช้ URL ของ SAML,URL ของผู้ออก SAML และไฟล์ใบรับรองที่ส่งออก เพื่อดำเนินการกำหนดค่า SSO สำหรับ Workplace ให้เสร็จสิ้น โปรดทำตามคู่มือที่ การลงชื่อเข้าใช้แบบครั้งเดียว (SSO)