Office365 – (04) Entorno hibrido: Configurar SSO

Ahora vamos a preparar la implementación hybrida. Una de las opciones que tenemos es el SSO, que permite que con un solo inicio se seion en mnuestro AD, los usuarios al acceder a los recursos de OFFICE 365 (por ejemplo, al abrir Outlook) no tengan que volver a introducir la contraseña

La configuración de SSO no es necesarioa para la implementación de Office 365, pero si recomendable). Una vez configurado SSO, se configuraría la sincronizacon con AD azure (DyrSync)

An AD FS proxy role is recommended if you plan to allow users to connect to Office 365 with SSO from outside the corporate network.


 

01.- Instalación

En un member server (aunque puede ser en el AD si es un lab) instalamos el rol ADFS

No necesitamos nada adicional (ni IIS). Ya que las dependencias con IIS se han eliminado con ADFS 2012 R2

Vemos que nos dice que permite a un usuario autenticarse en multiples Web applications con una única uenta de usuario. El token de inicio de sesión de AD valdra para logarse en Office 365

 

Instalamos

Una vez instalado. Nos queda la configuración

 

02.- Configuracion ADFS

01.- Configurar unos requisitos previos:

Antes de Instalarlo nos aseguramos:

  • que tenemos un 3rd party certificate para nuestro ADFS (nosotros lo haremos con la CA de Windows, ya que es un lab). Se usa para el Web application proxy, que estaría en la DMZ

Tipo computer y Enroll

Ya lo tenemos

  • Tener una cuenta de servicio llamada por ejemplo “ADFS-Service”, que no es ni mas ni menos que un usuario de Windows sin ningún permiosos especial

 

  1. Vamos a por la configuración en Sí del ADFS

Creamos el primer AD FS de la granja

Proporcionamos las credenciales del dominio

Seleccionamos el certificado para el federation Service. Ya se añadió a este adfs01. en cuanto seleccionamos el certificado ssl, automaticamente se añade a federation service name

Aquí lo tenemos. El nombre de federation service puede ser cualquiera. Tener en cuentra que no hay concepto de una InternalURL o ExternalURL con ADFS namespace. Los clientes usan el mismo nombre en la intranet que internet para localizar el ADFS (se usara Web Application Proxy para el acceso desde fuera) Por eso Split DNS (mismo DNS name en internet que la intranet nos hara la vida más fácil)

Usamos una cuenta de servicio. Puede ser una GMSA o un usuario normal como antaño se hacía para las cuentas de servicio. Es mejor creara una GMSA para evitar problems de SPN

No tenemos SQL server

Revisamos. Next

Click configure para comenzar

Por powershell sería

Import-Module ADFS

 

$serviceAccountCredential = Get-Credential -Message “Enter the credential for the Federation Service Account.”

 

Install-AdfsFarm  
-CertificateThumbprint:"5804746A7980C8682FBF408D48EF6C3B02A5ZORG"
 
-FederationServiceDisplayName:”JoseMCT STS”  
-FederationServiceName:"adfs01.josemctonline.com"
 
-ServiceAccountCredential:$serviceAccountCredential

Listo

 

ERROR SPN

SPN was not set (ADFS 2.0)

You might be required to set the SPN for the service account manually. A common problem that occurs is when your host name is the same as the certificate issued to the default website. (nuestro caso)

You can either change the server host name or revoke and reissue the certificate. The first option is usually simpler. Mi current hostname is ADFS01 and I’ll change to ADFS

  • Rename-computer ADFS

Once you have done so (change hostname) , run the following command in a command line window as an administrator:

  • setspn -a host\<federation_service_name> <domain>\<service account>

For example, if the fully qualified host name is fed.adatum.com and the service account is adatum\svc_adfs, the command will be the following:

  • setspn -a host\adfs.josemctonline.com josemctonline\ADFS-Service

 

Para ADFS3.0

  • SetSPN -U -S http/<federation_service_name> <domain>\<service_account>

 

Nos quedan un par de cosas mas.

03.- Crear registro DNS para la instancia ADFS en nuestro DNS interno

Nosotros hemos configurado un certificado llamado ADFS01, porque la maquina en donde hemos instalado el ADFS se llama también ADFS01, pero puede darse el caso de haber instalado ADFS en un servidor de archivos, o un DC, por ejemplo, DC01.

Por lo que nos quedaría crear una entrada en el DNS llamada ASDF01 que apunte a File server (si hubiéramos instalado ADFS en un File server), que no es nuestro caso

Nota: si creáramos un CNAME y apunta al servidor que hospeda el ADFS, lo mas probable es que se cree un bucle de prompt de autenticación, asi que no usar un CNAME

Additional Steps

This topic covers additional steps to configure AD FS after you install the first federation server, including:

 

04.- Verify Federation Service Metadata

Open Internet Explorer and navigate to your ADFS server’s federation metadata URL.

This will be something like the below, just change the FQDN to match your environment.

https://adfs.tailspintoys.ca/federationmetadata/2007-06/federationmetadata.xml

https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

05.- Verify ADFS Sign-In Page

Browse to the ADFS sign-in page and test that you are able to authenticate.

The URL will be similar to the below, again change the FQDN to match your organisation’s.

https://adfs01josemctonline.com/adfs/ls/idpinitiatedsignon.htm

Esto es normal, no hay ninguna aplicación configurada

Depending upon how IE is configured you will either be prompted to provide credentials or be automatically signed-in.

If you want to have users be automatically signed-in then configure your browser settings to trust the federation server role by adding your federation service name (for example, https://adfs01.josemctonline.com) to the browser’s local intranet zone. This will enable seamless sign-in using Windows Integrated Authentication.

 

Be the first to comment

Leave a Reply