Configurazione SSO: ADFS (SAML 2.0)

Segui

Compila questo modulo di contatto per provare o iscriverti alla funzione SSO

Splashtop ora supporta il login in my.splashtop.com e Splashtop Business app utilizzando la credenziale creata dai vostri fornitori di identità SAML 2.0. Si prega di seguire le seguenti istruzioni per creare un Relying Party Trust con AD FS.

Crea un Relying Party Trust con AD FS

Segui il documento Microsoft per creare un Relying Party Trust, si prega di controllare solo Per creare manualmente un Relying Party Trust consapevole dei sinistri sezione:
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

Segui i punti da 1 a 6 del documento. (Seleziona AD FS 2.0 Profilo)

Al passo 7, Configura la pagina URL, selezionare il Abilita il supporto per il protocollo SAML 2.0 WebSSO. Sotto URL del servizio SAML 2.0 SSO del Relying party, digita "https://my.splashtop.com/sso/saml2/adfs/acs", poi il prossimo.
Snag_221e174e.png

Al passo 8, Configura gli identificatori pagina, add https://my.splashtop.com e https://my.splashtop.com/saml/metadata.
Snag_131d4984.png

Aggiungi un reclamo

1. Selezionare il Relying Party Trust appena creato, fare clic su Modifica la polizza di assicurazione contro i sinistri.

2. Clicca su Aggiungi regola, seleziona Invia gli attributi LDAP come rivendicazioni, poi il prossimo.
Snag_10ea6f20.png

3. Seleziona Active Directory come Attribute store, poi  aggiungi Indirizzo e-mail e Nome principale-utente.

E-mail Address: Indirizzo e-mail
Nome principale-utente: Nome ID 
Snag_10f02335.png

Troubleshooting

Se si riceve questo messaggio di errore quando si tenta di effettuare il login, si prega di controllare i registri ADFS.

Screen_Shot_2020-04-21_at_12.53.05_PM.png

Se avete un errore simile nel vostro log ADFS qui sotto, si prega di rimuovere la mappatura tra "Nome principale-utente" e "Name ID" dalla regola di rivendicazione LDAP.

Eccezione dettagli:

Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.DuplicateNameIdentifierPolicyException: MSIS3046: Più di un SamlNameIdentifierClaimResource-based recalmo è stato prodotto dopo l'elaborazione della politica per l'ambito di applicazione 'https://my.splashtop.com'.

su Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

su Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End (risultato IAsyncResult)

su Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken) richiesta, IList`1& identityClaimSet, List`1 additionalClaims)

su Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken) richiesta, List`1 AdditionalClaims)

su Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Booleano isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)

su Microsoft.IdentityServer.Web.Protocols.Saml.Saml.SamlProtocolloHandler.RequestBearerToken(WrappedHttpListenerContext contesto, HttpSamlRequestMessage, httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)

su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolloHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage) httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)

su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)

su Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)

su Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)

su Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Aggiungi un altro reclamo

1. Aggiungi un'altra regola con il modello di regola Claim Trasformare una richiesta di risarcimento in entrata.
Snag_10f387cc.png

2. Imposta Nome ID.
Tipo di reclamo in entrata: Indirizzo e-mail
Tipo di reclamo in uscita: Nome ID
Formato ID del nome in uscita: Email 
Snag_10fae02b.png

 

 

Applica un metodo SSO da my.splashtop.com

Ora è possibile seguire le istruzioni per inserire le informazioni richieste per richiedere un SSO metodo:
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

Nota: 

a. Dovresti avere il tuo URL di accesso e l'Emittente da inserire su my.splashtop.com.
b. Seguire le seguenti istruzioni per ottenere il tuo X.509 info a inserisci su my.splashtop.com.

Clicca Servizio -> Certificati -> Visualizza certificato nel menu Azione sul lato destro. (Dovresti aver già installato IIS con il tuo certificato.)
Clicca Dettagli nella finestra Certificato, quindi clicca su Copia su File "4, e scegli Base-64 codificato X.509..

Snag_110f7b12.png

Clicca con il tasto destro del mouse sul certificato esportato, poi copia le informazioni da incollare nel corrispondente campo sul sito my.splashtop.com.
Snag_130eeaaf.png

Snag_130f3370.png

Utenti che ritengono sia utile: 0 su 0