Objetivo
- Este tutorial tem como objetivo mostrar o passo a passo da configuração do Windows Server para utilizar o SSO da Mambo WiFi, utilizando as ferramentas AD e ADFS.
Pré-requisitos
- Possuir AD com WINDOWS SERVER 2019 ou superior.
- Possuir IP PÚBLICO no ADFS ou domínio apontando ao ADFS de forma pública (comunicável pela internet).
- Possuir uma conta no painel Mambo ATIVADA e com equipamento FUNCIONANDO.
- Conexão a Internet.
- Necessário conhecimento técnico ou uma equipe para fazer integração/configurações do AD, pois a responsabilidade da instalação, manutenção e otimização do Windows Server com AD e ADFS é do cliente. A Mambo WiFi não presta suporte nessa configuração.
Etapas de Execução da Integração e Responsabilidades
1- Contratação do Add-on de Integração SSO AD/ADFS: Cliente e Time Comercial Mambo WiFi
2- Configuração da Integração do AD/ADFS: Cliente
3- Teste de acesso à URL gerada no AD/ADFS: Cliente
4- Envio da URL gerada no AD/ADFS: Cliente
5- Configurações de Integração no painel Mambo WiFi: Time de Tecnologia Mambo WiFi
6- Envio do Código/HASH de Integração do AD/ADFS: Time de Suporte Mambo WiFi
7- Testes finais de Integração: Cliente e Time de Suporte Mambo WiFi
Configuração
Passo a Passo explicado por vídeo (abaixo do vídeo possui a versão escrita):
Passo a passo por texto:
1 - Acesse o Windows Server utilizando uma conta de administrador.
2 - Abra o Server Manager (por padrão ele se abre sozinho):
3 - Click em Manage e Add Roles and Features
4 - Avance em Next até Server Roles, Selecione Active Directory Domain Services, Active Directory Federation Services, DNS Server e Web Server (IIS)
5 - Avance até a opção Install ficar habilitado, click em Install e espera o procedimento ser realizado, após o mesmo terminar, o servidor reiniciará automaticamente
6 - Após o servidor instalar e reiniciar, abra novamente o Server Manager e click no ícone de notificação
7 - Click em Promote this server to a domain controller
8 - Em Deployment Configuration, selecione Add a new forest e informe em Root domain name o domínio escolhido para ser usado no AD
9 - Em Domain Controller Options, mantenha seleciona o default das configurações e só determine uma senha conforme solicitado
10 - Avance até aparecer a opção de Install, selecione a mesma caso o Wizard do AD tenha verificado com êxito todos os requisitos conforme imagem abaixo
11 - Após instalar, pesquise por Windows Adminstrative Tools
12 - Selecione Internet Information Services (IIS) Manager
13 - Selecione o servidor
14 - Selecione Server Certificates
15 - Selecione Create Self-Signed Certificate
16 - Coloque o domínio que você escolheu no campo especificado e click em OK
17 - Após isso, click duas vezes no certificado
18 - Click em Details
19 - Click em Copy to File...
20 - Será aberto o Setup para a exportação do certificado, click em next
21 - Selecione Yes, export the private key e next
22 - Especifique uma senha para o certificado e click em next
24 - Determine um nome para o certificado e click em next
25 - Se tudo ocorrer bem, a mensagem de the export was successful irá aparecer
26 - Volte ao Server Manager, click em notification e click em Configure the federation service on this server
27 - Avance até Specify Service Properties, selecione o certificado, e mantenha o nome mambowifi no Federation Service Display Name
28 - Em Specify Service Account, click em select em Account Name e selecione a conta de administrator
29 - Em Account Password, coloque a senha da conta Administrator e de um next
30 - Se tudo ocorrer bem, o setup irá alertar que tudo foi checado corretamente e você pode clicar em configure
31 - Nesse passo, é necessário solicitar ao time da Mambo WiFi no e-mail suporte@mambowifi.com o código de integração com SSO, informando o link do seu ADFS que acabou de ser configurado, assim que tiver o código de integração, é possível continuar os passos a seguir.
Antes de enviar o link de seu ADFS, pedimos que realize um teste para validar se a URL está acessível. A continuidade da configuração de integração realizada pelo time de Tecnologia da Mambo WiFi depende desta URL e ela deve estar acessível.
Exemplo de URL: https://ad.suaempresa.com.br* e a URL de seu painel Mambo www.suaempresa.mambowifi.com (*endereços fictícios).
Essas informações ao serem enviadas, são passadas ao nosso time de desenvolvimento, que irá gerar um hash para integração do ADFS com o painel da Mambo, todas as instruções, logo após esse papo, devem ser acompanhadas em seu e-mail ou no painel de chamado designado a integração com nosso time de suporte.
Após receber o retorno da Mambo WiFi com o Código/HASH de Integração:
32 - Pesquise pelo Windows PowerShell no Windows Server e abra ele em modo administrator
33 - Aplique o seguinte comando modificando em seu corpo conforme necessário
Add-AdfsClient -Name "mambowifi" -ClientId "10" -RedirectUri "https://seupainel.mambowifi.com/oauth-callback" -Description "OAuth 2.0 client for Mambo"
Modificando "10" pelo código que a mambo enviou por email, e substitua "seupainel.mambowifi.com" pelo link do seu painel da mambo, NÃO APLIQUE O COMANDO SEM MODIFICAR ESSES DETALHES
34 - Pesquise novamente o Windows Administrative Tools e abra o mesmo
35 - Abra o AD FS Management
36 - Click em Relying Party Trusts
37 - Click em Add Relying Party Trust
38 - Siga os seguintes passos
39 - Após aplicar as configurações acima, a tela de Edit Claim Issuance Policy for mambowifi irá se abrir, click em Add Rule
40 - Selecione Send LDAP Attributes as Claim
Selecione Active Directory em Attibute store
Em Mapping of LDAP attributes to outgoing claim types, mantenha conforme abaixo e click em finish
41 - Abra novamente o powershell pesquisando na barra de pesquisa
42 - Aplique os seguinte comando
Grant-AdfsApplicationPermission -ClientRoleIdentifier "10" -ServerRoleIdentifier "mambowifi" -ScopeNames "openid"
Modificando "10" pelo código que a mambo enviou via email, NÃO APLICAR ANTES DE MODIFICAR ESSE DETALHE
43 - Aplique outros dois comandos
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
Get-AdfsProperties | fl *idpinitiatedsignon*
44 - Finalizado, agora basta esperar a integração junto ao time da Mambo WiFi, dúvidas podem ser enviadas para o e-mail suporte@mambowifi.com
Lembrando que Antes do envio do link do ADFS, o cliente deve testar a URL para verificar se está acessível.