Configuración de SSO: ADFS (SAML 2.0)

Seguir

Complete este formulario probar o suscribirse a la función SSO.

Splashtop ahora admite el inicio de sesión en my.splashtop.com y la aplicación Splashtop Business utilizando la credencial creada a partir de sus proveedores de identidad SAML 2.0. Siga las instrucciones a continuación para crear un Relying Party Trust con AD FS.

Cree una Relacion de Confianza para Usuario Autenticado con AD FS

Siga el documento de Microsoft para crear una Relacion de Confianza, revise la sección Para crear una relación de confianza para usuario autenticado compatible con notificaciones manualmente:
https://docs.microsoft.com/es-es/windows-server/identity/ad-fs/operations/create-a-relying-party-trust

Siga los pasos 1 a 6 en el documento. (Seleccione el perfil AD FS 2.0

En el paso 7, en la pagina para Configurar dirección URL, marque la opción Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO. En Relying party SAML 2.0 SSO service URL, escriba  "https://my.splashtop.com/sso/saml2/adfs/acs", continuar.
Snag_221e174e.png

En el paso 8, en la página Configure Identifiers, agruege https://my.splashtop.com y https://my.splashtop.com/saml/metadata.
Snag_131d4984.png

Agregar un reclamo

1. Seleccione  la Relacion de Confianza que acaba de crear, haga clic en Edit Claim Insurance Policy.

2. Haga clic en Add rule, seleccione Send LDAP Attributes as Claims, luego siguiente.
Snag_10ea6f20.png

3. Seleccione Active Directory como Attribute store, despues agregue E-Mail-Address y User-Principal-Name.
E-Mail-Address: E-mail Address
User-Principal-Name: Name ID
Snag_10f02335.png

Solución de problemas

Si recibe este mensaje de error cuando intenta iniciar sesión, verifique los registros de ADFS.

Screen_Shot_2020-04-21_at_12.53.05_PM.png

Si tiene un error similar en su registro de ADFS a continuación, elimine la asignación entre “User-Principal-Name” y “Name ID” de la regla de reclamo de LDAP.

Detalles de excepción:

Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.DuplicateNameIdentifierPolicyException: MSIS3046: More than one SamlNameIdentifierClaimResource-based claim was produced after processing policy for scope 'https://my.splashtop.com'.

at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

at Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)

at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)

at Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)

at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)

at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)

at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)

at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)

at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)

at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)

at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Agregar otro reclamo

1. Agregue otra regla con la plantilla de regla de reclamo Transform an Incoming Claim.
Snag_10f387cc.png

2. Configure el nombre ID.
Incoming claim type: E-mail Address
Outgoing claim type: Name ID
Outgoing name ID format: Email
Snag_10fae02b.png

 

 

Solicite un método SSO desde my.splashtop.com

Ahora puede seguir las instrucciones para insertar la información requerida para solicitar un método SSO:
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

Nota:

a. Debe tener su propia URL de inicio de sesión y Emisor para insertar en my.splashtop.com.
si. Siga las instrucciones a continuación para obtener su información X.509 para insertar en my.splashtop.com.

Hacga clic en Service -> Certificates -> View Certificate on the Menú de acción en el lado derecho. (Ya debería haber instalado IIS con su certificado).
Haga clic en Details en la ventana de Certificate, y haga clic en Copy to File”4, y seleccione Base-64 encoded X.509.

Snag_110f7b12.png

Haga clic derecho en el certificado exportado, luego copie la información para pegar en el campo correspondiente en my.splashtop.com.
Snag_130eeaaf.png

Snag_130f3370.png

 

Usuarios a los que les pareció útil: 0 de 0