Finally the help of IT is here

Blog de soluciones informaticas.

Single Sign On con ADFS hacia Google Apps.

Posteado por Xavier Xaus Nadal on 17th Marzo 2012

Este artículo explicará paso a paso lo que tenemos que hacer para conseguir una autenticación Single Sign On (SSO) a través del protocolo SAML mediante un servidor de Active Directory Federation Server 2.0 (ADFS 2.0) y Google Apps (Gapps) como Backend.

En definitiva que con nuestro usuario de dominio nos podremos validar en cualquier web sin conocer la contraseña del servicio al que nos vamos a conectar (Únicamente con nuestras actuales credenciales de dominio seremos capaces de entrar a Google Apps sin doble autenticación).

Este procedimiento se podrá usar para diferentes tipos de entidades de autenticación que requieran de un servidor frontend para peticiones SAML.

Pero primero os explico un poco de que va esto del SAML y porque hemos optado por esta solución tan complicada en lugar de una base de datos de usuarios en la nube o de una integración directa hacia LDAP.

El tema de la seguridad siempre es importante y disponer de puertos abiertos hacia nuestro LDAP desde la nube no me ha convencido nunca, por ello nos quedaban dos opciones (Integrar el sistema con una base de datos en Google o simplemente hacer una integración de SAML sin tener que abrir puertos en el firewall y sin tener que mantener una base de datos de usuarios y contraseñas en la nube). La respuesta fue sencilla. SAML.

Pero qué es y en que consiste el protocolo SAML?

Consiste en 8 “sencillos” pasos.

1.- El usuario realiza una petición de acceso hacia la web a la que quiere acceder. Por ejemplo http://www.google.com/a/megacrack.es

 

2.- Google Apps en este caso le responde al usuario con el proveedor de identidad al que le tiene que enviar la petición de SSO. Por ejemplo .com/adfs/ls”>.com/adfs/ls”>.com/adfs/ls”>.com/adfs/ls”>http://saml.<dominio>.com/adfs/ls

 

3.- El usuario le pasa al proveedor de identidad (En nuestro caso Active Directory Federation Server) las credenciales de acceso mediante Single Sign On  (Recoge las credenciales del último inicio de sesión en el dominio) o en este caso se muestra una pantalla solicitando unas credenciales que deben ser las mismas que las del dominio.

 

4.- El proveedor de identidad le devuelve al usuario un formulario XHTML como el siguiente:

<form method="post" action="https://saml.<dominio>.com/SAML2/SSO/POST" ...>
    <input type="hidden" name="SAMLResponse" value="response" />
    ...
    <input type="submit" value="Submit" />
  </form>

 

5.- El usuario transfiere una petición POST contra la web que nos confirmará la autenticación. El valor de la respuesta SAML es recogida del código XHTML.

 

6.- Se procesa la respuesta, el proveedor de servicio crea un entorno seguro y redirige al usuario hacia el destino.

 

7.- El usuario vuelve a realizar la petición de acceso (https://www.google.com/a/megacrack.es/acs)

 

8.- En el caso que el entorno sea seguro, el proveedor de servicio le devuelve el control al usuario que finalmente accede a la web.

Parece complicado pero en realidad es tan sencillo como lo que sigue:

1.- El usuario accede a http://correo.megacrack.es

2.- Al usuario se le muestra una pantalla como la siguiente donde deberá poner sus credenciales de dominio.

Validacion

3.- El usuario accede a la web sin problemas.

Y si el sistema funcionara como debiera no saldría ni tan siquiera la pantalla anterior (Recogería automáticamente las credenciales de inicio de sesión Windows).

Sigue leyendo MegaCrack »

Tags: , , , , , , ,
Posteado por Active Directory, certificate, Google Apps, Google Apps, IIS, Single Sign On | 4 Comments »

How to do Single Sign On on Terminal Server connections

Posteado por albertfr on 7th Enero 2012

Hello,

To improve user experience at login time, there is a way to activate “Single Sign on” for Terminal Servers connections.

If client has Windows XP machine, it requires:

· At least Service Pack 3.

· At least Remote Desktop Connection 7.

Once this is installed then you have to:

Install the following executable as local admin user: www.megacrack.es/files/MicrosoftFixit50588.msi

In every client, XP, Vista, 7, etc.. you need to execute the following registry modifications:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
“ConcatenateDefaults_AllowDefault”=dword:00000001
“AllowDefaultCredentials”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
“1”=”TERMSRV/<TerminalServer(A)>”
“2”=”TERMSRV/<TerminalServer(B)>”

Reboot computer.

That’s all folks. We are waiting your comments bellow. We hope this information will be usable for you.

See you soon MegaCracks.

Tags: , , , , , ,
Posteado por Single Sign On, Terminal Server | 2 Comments »