Objetivo

  • Este tutorial tem como objetivo mostrar o passo a passo da configuração do Windows Server para utilizar o SSO da Mambo WiFi, utilizando as ferramentas AD e ADFS.


Pré-requisitos

  • Possuir AD com WINDOWS SERVER 2019 ou superior.
  • Possuir IP PÚBLICO no ADFS ou domínio apontando ao ADFS de forma pública (comunicável pela internet).
  • Possuir uma conta no painel Mambo ATIVADA e com equipamento FUNCIONANDO.
  • Conexão a Internet.
  • Necessário conhecimento técnico ou uma equipe para fazer integração/configurações do AD, pois a responsabilidade da instalação, manutenção e otimização do Windows Server com AD e ADFS é do cliente. A Mambo WiFi não presta suporte nessa configuração.


Etapas de Execução da Integração e Responsabilidades


1- Contratação do Add-on de Integração SSO AD/ADFS: Cliente e Time Comercial Mambo WiFi

2- Configuração da Integração do AD/ADFS: Cliente

3- Teste de acesso à URL gerada no AD/ADFS: Cliente 

4- Envio da URL gerada no AD/ADFS: Cliente

5- Configurações de Integração no painel Mambo WiFi: Time de Tecnologia Mambo WiFi

6- Envio do Código/HASH de Integração do AD/ADFS: Time de Suporte Mambo WiFi

7- Testes finais de Integração: Cliente e Time de Suporte Mambo WiFi



Configuração


Passo a Passo explicado por vídeo (abaixo do vídeo possui a versão escrita):



Passo a passo por texto:


1 - Acesse o Windows Server utilizando uma conta de administrador.


2 - Abra o Server Manager (por padrão ele se abre sozinho):



3 - Click em Manage e Add Roles and Features




4 - Avance em Next até Server Roles, Selecione Active Directory Domain Services, Active Directory Federation Services, DNS Server e Web Server (IIS)




5 - Avance até a opção Install ficar habilitado, click em Install e espera o procedimento ser realizado, após o mesmo terminar, o servidor reiniciará automaticamente



6 - Após o servidor instalar e reiniciar, abra novamente o Server Manager e click no ícone de notificação




7 - Click em Promote this server to a domain controller



8 - Em Deployment Configuration, selecione Add a new forest e informe em Root domain name o domínio escolhido para ser usado no AD




9 - Em Domain Controller Options, mantenha seleciona o default das configurações e só determine uma senha conforme solicitado




10 - Avance até aparecer a opção de Install, selecione a mesma caso o Wizard do AD tenha verificado com êxito todos os requisitos conforme imagem abaixo



11 - Após instalar, pesquise por Windows Adminstrative Tools



12 - Selecione Internet Information Services (IIS) Manager




13 - Selecione o servidor



14 - Selecione Server Certificates



15 - Selecione Create Self-Signed Certificate



16 - Coloque o domínio que você escolheu no campo especificado e click em OK



17 - Após isso, click duas vezes no certificado



18 - Click em Details



19 - Click em Copy to File...



20 - Será aberto o Setup para a exportação do certificado, click em next



21 - Selecione Yes, export the private key e next



22 - Especifique uma senha para o certificado e click em next



24 - Determine um nome para o certificado e click em next



25 - Se tudo ocorrer bem, a mensagem de the export was successful irá aparecer



26 - Volte ao Server Manager, click em notification e click em Configure the federation service on this server




27 - Avance até Specify Service Properties, selecione o certificado, e mantenha o nome mambowifi no Federation Service Display Name




28 - Em Specify Service Account, click em select em Account Name e selecione a conta de administrator




29 - Em Account Password, coloque a senha da conta Administrator e de um next



30 -  Se tudo ocorrer bem, o setup irá alertar que tudo foi checado corretamente e você pode clicar em configure



31 - Nesse passo, é necessário solicitar ao time da Mambo WiFi no e-mail suporte@mambowifi.com o código de integração com SSO, informando o link do seu ADFS que acabou de ser configurado, assim que tiver o código de integração, é possível continuar os passos a seguir.


Antes de enviar o link de seu ADFS, pedimos que realize um teste para validar se a URL está acessível. A continuidade da configuração de integração realizada pelo time de Tecnologia da Mambo WiFi depende desta URL e ela deve estar acessível.

Exemplo de URL: https://ad.suaempresa.com.br* e a URL de seu painel Mambo www.suaempresa.mambowifi.com (*endereços fictícios).


Essas informações ao serem enviadas, são passadas ao nosso time de desenvolvimento, que irá gerar um hash para integração do ADFS com o painel da Mambo, todas as instruções, logo após esse papo, devem ser acompanhadas em seu e-mail ou no painel de chamado designado a integração com nosso time de suporte.





Após receber o retorno da Mambo WiFi com o Código/HASH de Integração:



32 - Pesquise pelo Windows PowerShell no Windows Server e abra ele em modo administrator




33 - Aplique o seguinte comando modificando em seu corpo conforme necessário



Add-AdfsClient -Name "mambowifi" -ClientId "10" -RedirectUri "https://seupainel.mambowifi.com/oauth-callback" -Description "OAuth 2.0 client for Mambo"


Modificando "10" pelo código que a mambo enviou por email, e substitua "seupainel.mambowifi.com" pelo link do seu painel da mambo, NÃO APLIQUE O COMANDO SEM MODIFICAR ESSES DETALHES



34 - Pesquise novamente o Windows Administrative Tools e abra o mesmo



35 - Abra o AD FS Management



36 - Click em Relying Party Trusts



37 - Click em Add Relying Party Trust




38 - Siga os seguintes passos





39 -  Após aplicar as configurações acima, a tela de Edit Claim Issuance Policy for mambowifi irá se abrir, click em Add Rule



40 - Selecione Send LDAP Attributes as Claim



Selecione Active Directory em Attibute store



Em Mapping of LDAP attributes to outgoing claim types, mantenha conforme abaixo e click em finish



41 - Abra novamente o powershell pesquisando na barra de pesquisa



42 - Aplique os seguinte comando


Grant-AdfsApplicationPermission -ClientRoleIdentifier "10" -ServerRoleIdentifier "mambowifi" -ScopeNames "openid"


Modificando "10" pelo código que a mambo enviou via email, NÃO APLICAR ANTES DE MODIFICAR ESSE DETALHE



43 - Aplique outros dois comandos


Set-AdfsProperties -EnableIdpInitiatedSignonPage $true


Get-AdfsProperties | fl *idpinitiatedsignon*



44 - Finalizado, agora basta esperar a integração junto ao time da Mambo WiFi, dúvidas podem ser enviadas para o e-mail suporte@mambowifi.com


Lembrando que Antes do envio do link do ADFS, o cliente deve testar a URL para verificar se está acessível.