ภาพรวม
Active Directory Federation Services (ADFS) เป็นส่วนประกอบสำหรับระบบปฏิบัติการ Windows Server ที่ทำให้องค์กรสามารถใช้งานการลงชื่อเข้าใช้แบบครั้งเดียว (SSO) ผ่านแอพพลิเคชั่นอื่นๆ ได้ โดยในคู่มือนี้ เราจะกล่าวถึงรายละเอียดข้อกำหนดของการตั้งค่าภายใน ADFS เพื่อให้การผสานการทำงาน SSO กับ Workplace ประสบผลสำเร็จ
กำหนดค่า ADFS สำหรับ SSO ด้วย Workplace
ข้อกำหนดที่ต้องดำเนินการก่อน
- ระบบ SSO ของคุณต้องใช้ระบบปฏิบัติการ Windows Server เวอร์ชั่น 2019 หรือ 2016, Active Directory Domain Services (ADDS) และ Active Directory Federation Services (ADFS) v4 หรือ v5
- คุณต้องได้รับการกำหนดบทบาทเป็นผู้ดูแลระบบใน Workplace
- ผู้ดูแลระบบ Workplace ของคุณต้องใช้อีเมลเดียวกันกับอีเมลผู้ใช้ Active Directory หากอีเมลดังกล่าวมีอักษรพิมพ์เล็กพิมพ์ใหญ่ไม่ตรงกัน คุณจะไม่สามารถดำเนินการให้เสร็จสิ้นสมบูรณ์ได้
รวบรวมพารามิเตอร์ที่จำเป็นในการกำหนดค่า ADFS
ทำตามขั้นตอนต่อไปนี้ใน Workplace เพื่อค้นหาพารามิเตอร์ที่จำเป็นในการกำหนดค่า ADFS
สร้าง Relying Party Trust ใน ADFS
ก่อนที่ ADFS จะอนุญาตให้ยืนยันตัวตนจากส่วนกลาง (เช่น SSO) ผ่านระบบภายนอก คุณต้องตั้งค่า Relying Party Trust ก่อน การกำหนดค่านี้เป็นการระบุถึงระบบภายนอกพร้อมทั้งเทคโนโลยีบางอย่างที่ใช้สำหรับ SSO ขั้นตอนนี้จะสร้าง Relying Party Trust ขึ้นมา ซึ่งจะเป็นผู้รับรอง SAML 2.0 สำหรับ Workplace
DisplayName
ให้เป็น Workplace คลิกที่ NextRelyingPartyTrust Identifier
แล้วคลิกที่ Add จากนั้นคลิกที่ Nextสร้างกฎการอ้างสิทธิ์ (Claim Rules)
หลังจากผู้ใช้ได้ยืนยันตัวตนแล้ว กฎการอ้างสิทธิ์ของ ADFS จะระบุถึงคุณสมบัติต่างๆ ของข้อมูล (รวมถึงรูปแบบของคุณสมบัติเหล่านั้น) ซึ่งจะถูกส่งไปยัง Workplace ใน SAML Response เนื่องจาก Workplace กำหนดให้องค์ประกอบของชื่อ ID ต้องมีอีเมลของผู้ใช้ เราจึงจะแสดงการกำหนดค่าด้วยการใช้กฎสองข้อ ดังตัวอย่างต่อไปนี้:
- กฎข้อแรกจะนำองค์ประกอบชื่อหลักผู้ใช้ของผู้ใช้มาจาก Active Directory (ตัวอย่างเช่น ชื่อบัญชีบน Windows ของผู้ใช้)
- กฎข้อที่สองจะเปลี่ยนองค์ประกอบชื่อหลักผู้ใช้ให้เป็นชื่อ ID และรูปแบบอีเมล
เตรียมพร้อมเพื่อสร้างกฎการอ้างสิทธิ์ของคุณ
ตั้งค่า ADFS เพื่อสร้างกฎการอ้างสิทธิ์สองข้อในการกำหนดค่า SSO สำหรับ Workplace
สร้างกฎข้อแรก
สร้างกฎข้อแรกเพื่อดึงช่องอีเมลจาก Active Directory เมื่อผู้ใช้ได้รับการยืนยันตัวตนแล้ว
สร้างกฎข้อที่สอง
สร้างกฎข้อที่สองเพื่อนำทางช่องอีเมลไปยังการยืนยันของ Name Id
ใน SAML Response
รวบรวมพารามิเตอร์ ADFS ที่จำเป็นในการกำหนดค่า Workplace
เพื่อให้การตั้งค่าดังกล่าวเสร็จสิ้น เราต้องดึงพารามิเตอร์บางอย่าง เพื่อใช้กำหนดค่าใน Workplace
https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml
entityID
ขององค์ประกอบEntityDescriptor
Location
ขององค์ประกอบ AssertionConsumerService
ที่มี Binding type
ถูกกำหนดค่าเป็น urn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST
แปลงใบรับรองของคุณให้เป็นรูปแบบ X.509
เมื่อคุณได้กำหนดผู้ให้บริการข้อมูลระบุตัวตนเรียบร้อยแล้ว:
.CER
)กำหนดค่า SSO สำหรับ Workplace ให้เสร็จสมบูรณ์
คุณต้องใช้ URL ของ SAML,URL ของผู้ออก SAML และไฟล์ใบรับรองที่ส่งออก เพื่อดำเนินการกำหนดค่า SSO สำหรับ Workplace ให้เสร็จสิ้น โปรดทำตามคู่มือที่ การลงชื่อเข้าใช้แบบครั้งเดียว (SSO)