Authentification unique(Administration)
(→Fonctionnement desktop) |
|||
(12 révisions intermédiaires par 2 utilisateurs sont masquées) | |||
Ligne 1 : | Ligne 1 : | ||
− | {{new| | + | {{new|650}} |
==Introduction== | ==Introduction== | ||
Ligne 7 : | Ligne 7 : | ||
Cette fonctionnalité est disponible uniquement pour les annuaires Active Directory. | Cette fonctionnalité est disponible uniquement pour les annuaires Active Directory. | ||
− | |||
{{#images:annuaire-ad-sso.png|administration/annuaires}} | {{#images:annuaire-ad-sso.png|administration/annuaires}} | ||
Ligne 15 : | Ligne 14 : | ||
{{#images:login-sso.jpg|administration/annuaires}} | {{#images:login-sso.jpg|administration/annuaires}} | ||
− | + | Il est contrôlé que : | |
* Le domaine sur lequel l'utilisateur est connecté est le même que celui paramétré sur l'annuaire | * Le domaine sur lequel l'utilisateur est connecté est le même que celui paramétré sur l'annuaire | ||
* l'utilisateur connecté à Windows existe dans l'annuaire et appartient à un groupe autorisé dans la Ligne 1000. | * l'utilisateur connecté à Windows existe dans l'annuaire et appartient à un groupe autorisé dans la Ligne 1000. | ||
Ligne 23 : | Ligne 22 : | ||
==Fonctionnement Webtop== | ==Fonctionnement Webtop== | ||
− | L'authentification unique | + | L'authentification unique s''appuie Security Support Provider Interface (SSPI). |
− | Une variable a été ajoutée pour activer ce mode d’authentification dans le fichier de configuration du serveur : '''Authentication Scheme''' qui | + | Une variable a été ajoutée pour activer ce mode d’authentification dans le fichier de configuration du serveur : '''Authentication Scheme''' qui peut prendre la valeur « ntlm » ou « negotiate » |
+ | |||
+ | '''Ntlm''' : L'authentification s'appuie sur le protocole NTLM | ||
+ | |||
+ | '''Negotiate''' : L'authentification s'appuie sur le protocole Kerberos et à défaut sur le protocole NTLM. | ||
+ | |||
+ | Pour que l'authentification Kerberos fonctionne, le service doit être démarré avec le compte système. | ||
+ | |||
+ | {{warning|Cette variable ne doit être positionnée que si l'annuaire est de type Active Directory}} | ||
Pour fonctionner, l’annuaire par défaut doit être de type « Active directory » et être paramétré sur '''le même domaine que celui sur lequel l’utilisateur a ouvert la session'''. | Pour fonctionner, l’annuaire par défaut doit être de type « Active directory » et être paramétré sur '''le même domaine que celui sur lequel l’utilisateur a ouvert la session'''. | ||
Ligne 32 : | Ligne 39 : | ||
{{tip|Si le navigateur utilisé est Firefox, il peut être nécessaire de modifier son paramétrage ("about:config" puis saisir le nom du serveur 1000 pour la clef "network.automatic-ntlm-auth.trusted-uris" , par exemple "http://nomServeur1000") }} | {{tip|Si le navigateur utilisé est Firefox, il peut être nécessaire de modifier son paramétrage ("about:config" puis saisir le nom du serveur 1000 pour la clef "network.automatic-ntlm-auth.trusted-uris" , par exemple "http://nomServeur1000") }} | ||
+ | |||
+ | Le paramétrage IE doit permettre l'authentification unique | ||
+ | |||
+ | {{#images:ie-sso.png|administration/annuaires}} | ||
+ | |||
+ | {{warning|En mode authentification unique WEB il n'est pas possible de sélectionner un groupe d'utilisateur, en effet pour obtenir la liste des groupes il faut au préalable identifier l'utilisateur, hors par nature même, en SSO l'utilisateur n'est pas saisi. }} | ||
+ | |||
+ | |||
+ | [[category:Administration]] | ||
+ | [[Category:Authentification]] | ||
+ | [[Category:Annuaires]] | ||
+ | [[Category:Active Directory]] | ||
+ | [[Category:Version650]] |
Version actuelle en date du 12 février 2018 à 10:26
Sommaire |
Introduction
L'authentification unique permet à un utilisateur d'entrer dans la Ligne 1000 sans saisir de mot de passe, l'utilisateur du compte windows courant est alors utilisé.
Paramétrage
Cette fonctionnalité est disponible uniquement pour les annuaires Active Directory.
Fonctionnement desktop
Il est contrôlé que :
- Le domaine sur lequel l'utilisateur est connecté est le même que celui paramétré sur l'annuaire
- l'utilisateur connecté à Windows existe dans l'annuaire et appartient à un groupe autorisé dans la Ligne 1000.
Tip : L'action 'changer' permet de saisir manuellement un utilisateur, pour ne pas utiliser l'authentification unique. |
Fonctionnement Webtop
L'authentification unique sappuie Security Support Provider Interface (SSPI).
Une variable a été ajoutée pour activer ce mode d’authentification dans le fichier de configuration du serveur : Authentication Scheme qui peut prendre la valeur « ntlm » ou « negotiate »
Ntlm : L'authentification s'appuie sur le protocole NTLM
Negotiate : L'authentification s'appuie sur le protocole Kerberos et à défaut sur le protocole NTLM.
Pour que l'authentification Kerberos fonctionne, le service doit être démarré avec le compte système.
Pour fonctionner, l’annuaire par défaut doit être de type « Active directory » et être paramétré sur le même domaine que celui sur lequel l’utilisateur a ouvert la session.
Attention : Ce mode d’authentification ne concerne que le client Web (pas le client SData, ni client WebService). |
Tip : Si le navigateur utilisé est Firefox, il peut être nécessaire de modifier son paramétrage ("about:config" puis saisir le nom du serveur 1000 pour la clef "network.automatic-ntlm-auth.trusted-uris" , par exemple "http://nomServeur1000") |
Le paramétrage IE doit permettre l'authentification unique