Old Stuf‎ > ‎Google‎ > ‎

Single Sign On ADFS en Google Apps

Wilde zelf weer eens iets met Active Directory Federation Servers (ADFS 2) doen, en dat icm google aps en Microsoft Unified Acces Gateway, rede, tja deze diensten passen goed bij elkaar en kon er niet veel info over vinden op internet.
.
In deze stappen ga uit dat je zelf al een Active Directory en ADFS hebt geinstalleerd met een certificaat van StartSSL (je kan hier natuurlijk elke PKI toko voor gebruiken) en dat je ook al google apps voor je eigen domein hebt draaien en dat je ook al een UAG omgeving hebt draaien, deze stappen werken niet met een Gmail mailbox alleen met google aps (alle versies dus OOK de gratis versie).

Het domein wat ik hiervoor gebruik is spam.cpels.com, noteer voor je zelf altijd het primaire domein wat je gebruikt voor google aps deze heb je zo weer nodig namelijk, vervang in de docu remote.cpels.com en spam.cpels.com natuurlijk voor je eigen domeinen.
Nu gaan we naar de ADFS Console

De eerste stap is het publieke deel van het token signing certificaat exporteren, dit zal google gebruiken om zeker te zijn dat er met de juiste ADFS gepraat word.

Klap deze uit Naar Service -> Certificates

 
 Klik op het token signing certificaat.
 
 Klik op Copy to File    
 
 
 
Selecteer No, do not export the private key

Klik Next    
 
 Klik Next  
 
 Klik op Browse
 
 Geef het bestand een naam en plaats hem waar je wil

Druk op Save
 
 Klik op Next
 
 Klik op Finish
 
 Klik op Ok

Nu we het certificaat hebben kunnen de "trust" gaan instellen



 
We gaan in de ADFS naar Trust Relationships -> Relying Party Trusts zijn.

Hier klikken we op Add Relying Party Trust.


 
 Klik start
 
 Klik Enter data about the relying party manualy
 
 Geef het beestje een naampje
 
 Klik Next
 
 Klik Next
 
 Klik Enable support fot SAML 2.0 WebSSO protocol

Vul hier het pad in naar de google dienst.

https://www.google.com/a/<domein>/acs

 
 
 
 
 
 Klik Next
 
 Klik Next
 
 Haal het vinkje weg bij open the Edit Claim Rules dialog.....

Klik op Close

De basis instellingen zijn hiermee klaar maar we moeten nog wat aanpassen open daarom je nieuw gemaakte Relying Party trust (deze stap legt uit hoe je een signing certificaat kan toevoegen, dit is echter optioneel je kan verder gaan bij maken claim rule)

 
 Selecteer de nieuwe Relying Party trust en klik Properties


 
 Ga naar het tabblad Signature
Druk op Add

 
 Nu selecteren we het certificaat wat we eerder hebben gexporteerd

 
 Klik nu op Ok

Maken Claim Rule
Nu kunnen we de claim rule gaan maken, dit is eigenlijk niet meer dan een koppeling tussen welke waarde in AD gaan we sturen naar in dit geval google en hoe gaan we het object noemen dat naar google gaat, we kunnen dus bijvoorbeeld het veld email gebruiken en de inhoud van dit veld vullen we Name ID waarde in de XML file dat is namelijk de waarde die Google Apps verwacht.

 
Selecteer de nieuwe Relying Party trust en klik Edit Claim Rules
 
Klik op Add Rule

 
 
 
 Vul de velden in zoals onderstaand voorbeeld om het ad veld Email adres te koppellen aan het Name ID wat google gebruikt.

Klik op Finish

Dat was het ADFS Deel, nu is de Unified Access Gateway aan de beurt, deze hebben we natuurlijk al helemaal draaien voor andere diensten en gaan hier ADFS aan toevoegen.

 
 In UAG gaan de een ADFS server toevoegen.


 
 
 
 
 
 
 
 
 
 Kies hier voor Configure a farm of application servers om zo meerdere ADFS servers te loadbalancen.


 
 Vul de naam van de server enz.

Ik ha er vanuit dat je weet dat UAG certificaten controlleerd zorg er dus voor dat de UAG de certificaten van je ADFS vertrouwd.

 
 
 
 Klik Use SSO aan en voeg je authentication servers toe
 
 
 
 

Als we google nu zouden instellen kunnen gebruikers wel inloggen maar niet meer uitloggen, nu is dat toch al iets wat niet makkelijk is te doen icm ADFS maar waarom moeilijk doen als je USG gebruikt, deze heeft namelijk een logout URL die je voor dit doel kun gebruiken.
Hoe kom je aan deze URL? de makkelijkste methode is inloggen op de portal en dan op uitloggen te klikken.
Je krijgt als url dan iets te zien als https://remote.cpels.com/InternalSite/LogoffMsg.asp?site_name=portal1&secure=1
Bewaar die url

Nu gaan we naar google apps

 
 Klik op Dit domein beheren
 
 Klik op Single sign-on (SSO) instellen
 
 Vul hier de volgende waarden in

Aanmeldingspagina-URL: https://remote.cpels.com/adfs/ls/

URL van afmeldingspagina dit is de url die je kreeg door in te loggen op je UAG (zie eerder beschreven stapje).
https://remote.cpels.com/InternalSite/LogoffMsg.asp?site_name=portal1&secure=1

Wachtwoord-URL deze heb ik nog niet gedocumenteerd sorry, is ook niet belangrijk voor SSO
https://remote.cpels.com/startersts/users/password.aspx

Klik op Choose File, hier moeten we ons certificaat mee gaan uploaden naar google.

 
 Klik op open als je het certificaat geselecteerd hebt.
 
 Klik op Uploaden

Je bent niet de eerste die dat vergeet geloof me :-)

 
 Plaats een vinkje bij Gebruik een domeinspecifieke uitgever.

Druk op Wijzigingen opslaan

 
 Klik op Ik begrijp het en ga ermee akkoord

Nu het leuke stukje namelijk het testen.

De url van men google aps is http://mail.spam.cpels.com

 
 Nadat ik de url http://mail.spam.cpels.com intoets wordt ik naar men UAG gestuurd om aan te loggen.

 
 Na inloggen bij men UAG kunnen we onze google apps omgeving in.

 
 En als we klikken op uitloggen worden we nettjes afgemeld bij de UAG.

  


TIPs: Als je een melding krijgt als
Wacht dan even 5 min en kijk of het wel werkt een andere oplossing voor dit probleem is het certificaat nog een keer uploaden, verklaring hiervoor heb ik niet maar heeft bij mij al 2 keer geholpen :-)

Comments