Objetivo
- Este tutorial tem como objetivo mostrar o passo a passo da configuração do Windows Server para utilizar o SSO da Mambo WiFi, utilizando as ferramentas AD e ADFS.
Pré-requisitos
- Possuir AD com WINDOWS SERVER 2019 ou superior.
- Possuir IP PÚBLICO no ADFS ou domínio apontando ao ADFS de forma pública (comunicável pela internet).
- Possuir uma conta no painel Mambo ATIVADA e com equipamento FUNCIONANDO.
- Conexão a Internet.
- Necessário conhecimento técnico ou uma equipe para fazer integração/configurações do AD, pois a responsabilidade da instalação, manutenção e otimização do Windows Server com AD e ADFS é do cliente. A Mambo WiFi não presta suporte nessa configuração.
Etapas de Execução da Integração e Responsabilidades
1- Contratação do Add-on de Integração SSO AD/ADFS: Cliente e Time Comercial Mambo WiFi
2- Configuração da Integração do AD/ADFS: Cliente
3- Teste de acesso à URL gerada no AD/ADFS: Cliente
4- Envio da URL gerada no AD/ADFS: Cliente
5- Configurações de Integração no painel Mambo WiFi: Time de Tecnologia Mambo WiFi
6- Envio do Código/HASH de Integração do AD/ADFS: Time de Suporte Mambo WiFi
7- Testes finais de Integração: Cliente e Time de Suporte Mambo WiFi
Configuração
Passo a Passo explicado por vídeo (abaixo do vídeo possui a versão escrita):
Passo a passo por texto:
1 - Acesse o Windows Server utilizando uma conta de administrador.
2 - Abra o Server Manager (por padrão ele se abre sozinho):
3 - Click em Manage e Add Roles and Features
4 - Avance em Next até Server Roles, Selecione Active Directory Domain Services, Active Directory Federation Services, DNS Server e Web Server (IIS)
5 - Avance até a opção Install ficar habilitado, click em Install e espera o procedimento ser realizado, após o mesmo terminar, o servidor reiniciará automaticamente
6 - Após o servidor instalar e reiniciar, abra novamente o Server Manager e click no ícone de notificação
7 - Click em Promote this server to a domain controller
8 - Em Deployment Configuration, selecione Add a new forest e informe em Root domain name o domínio escolhido para ser usado no AD
9 - Em Domain Controller Options, mantenha seleciona o default das configurações e só determine uma senha conforme solicitado
10 - Avance até aparecer a opção de Install, selecione a mesma caso o Wizard do AD tenha verificado com êxito todos os requisitos conforme imagem abaixo
11 - Após instalar, pesquise por Windows Adminstrative Tools
12 - Selecione Internet Information Services (IIS) Manager
13 - Selecione o servidor
14 - Selecione Server Certificates
15 - Selecione Create Self-Signed Certificate
16 - Coloque o domínio que você escolheu no campo especificado e click em OK
17 - Após isso, click duas vezes no certificado
18 - Click em Details
19 - Click em Copy to File...
20 - Será aberto o Setup para a exportação do certificado, click em next
21 - Selecione Yes, export the private key e next
22 - Especifique uma senha para o certificado e click em next
24 - Determine um nome para o certificado e click em next
25 - Se tudo ocorrer bem, a mensagem de the export was successful irá aparecer
26 - Volte ao Server Manager, click em notification e click em Configure the federation service on this server
27 - Avance até Specify Service Properties, selecione o certificado, e mantenha o nome mambowifi no Federation Service Display Name
28 - Em Specify Service Account, click em select em Account Name e selecione a conta de administrator
29 - Em Account Password, coloque a senha da conta Administrator e de um next
30 - Se tudo ocorrer bem, o setup irá alertar que tudo foi checado corretamente e você pode clicar em configure
31 - Agora vamos criar a integração SSO no painel da Mambo.
Acesse o painel administrativo da sua conta Mambo e navegue até o Menu > Gerenciamento de SSO
31 - Agora vamos criar a integração SSO no painel da Mambo.
32 - Clique no botão ‘Cadastrar’
32 - Selecione a opção Active Directory Federation Services (ADFS) e preencha todas as informações abaixo:
Nome da Conexão: <nome para identificação>
Texto do botão que aparecerá no captive (nos 03 idiomas)
Informações de Authorization Server (não é necessário alterar)
Client ID: <vai vir preenchido automaticamente>
Campo identificador <upn>
Resource <mambowifi>
Escopo <openid>
Completar cadastro após login? <Não>
Protocolo Open ID Connect (OIDC) <Sim>
Clique no botão de salvar.
Veja que foi criado sua integração e gerado um Application/Client ID que será utilizado nos próximos passos.
33. Copie o código em Application/Client ID
34 - Pesquise pelo Windows PowerShell no Windows Server e abra ele em modo administrator
35 - Aplique o seguinte comando modificando em seu corpo conforme necessário
Add-AdfsClient -Name "mambowifi" -ClientId "10" -RedirectUri "https://seupainel.mambowifi.com/oauth-callback" -Description "OAuth 2.0 client for Mambo"
Modificando "10" pelo client ID que você acabou de copiar, e substitua "seupainel.mambowifi.com" pelo link do seu painel da mambo, NÃO APLIQUE O COMANDO SEM MODIFICAR ESSES DETALHES
36 - Pesquise novamente o Windows Administrative Tools e abra o mesmo
37 - Abra o AD FS Management
38 - Click em Relying Party Trusts
39 - Click em Add Relying Party Trust
40 - Siga os seguintes passos
41 - Após aplicar as configurações acima, a tela de Edit Claim Issuance Policy for mambowifi irá se abrir, click em Add Rule
42 - Selecione Send LDAP Attributes as Claim
Selecione Active Directory em Attibute store
Em Mapping of LDAP attributes to outgoing claim types, mantenha conforme abaixo e click em finish
43 - Abra novamente o powershell pesquisando na barra de pesquisa
44 - Aplique os seguinte comando
Grant-AdfsApplicationPermission -ClientRoleIdentifier "10" -ServerRoleIdentifier "mambowifi" -ScopeNames "openid"
Modificando "10" client ID que voce copiou no passo 33, NÃO APLICAR ANTES DE MODIFICAR ESSE DETALHE
45 - Aplique outros dois comandos
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
Get-AdfsProperties | fl *idpinitiatedsignon*
46 - Testar a URL para verificar se está acessível.
Acesse a URL do seu painel e veja se será exibido o botão do ADFS. Clique sobre ele e veja se irá aparecer os dados para fazer a autenticação.
Caso enfrente problemas com o serviço indisponível, verificar se o AD FS está em execução. Para isso, basta seguir os seguintes passos:
Pressione as teclas Windows + R para abrir o menu executar e após isso digite “services.msc” para abrir a aba de serviços do Windows.
Em Serviços, procure por Active Directory Federation Services (para ficar mais fácil, clique na tabela “Nome” que ordenará por ordem alfabética). Clique com o botão direito do mouse e vá até “Propriedades”.
Verifique se o serviço está em execução, em “Status do serviço”. Caso não esteja, basta iniciar e selecionar o Tipo de inicialização como “Automático”
Agora para confirmar, abra o menu executar novamente com o atalho Windows + R e digite msconfig. Após isso, ir até a aba Serviços e verificar se o serviço Active Directory Federation Services está em execução.
