...
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | dsso-app-iis |
---|
effectType | fade |
---|
|
Card |
---|
| - Primeiramente devemos criar um arquivo chamado redirect.html com o seguinte conteúdo (lembre-se que a chave FLUIG-HOST deve ser substituída pelo endereço do servidor fluig).
Bloco de código |
---|
language | xml |
---|
title | redirect.html |
---|
| <!DOCTYPE html>
<html>
<head>
<meta http-equiv="refresh" content="0;URL='http://{FLUIG-HOST}/portal/home?dssoError=invalidUser'" />
</head>
</html> |
- Seguindo, devemos criar um diretório de conteúdo para o site que iremos criar nos próximos passos. Neste diretório colocamos o script ASP baixado do fluig (ver item Habilitando e Configurando o fluig) e o arquivo redirect.html.
![](/download/attachments/162170863/Image%2014.jpg?version=2&modificationDate=1495053662000&api=v2)
|
Card |
---|
| - No IIS agora precisamos criar um novo site, que será a aplicação responsável em fornecer o serviço de autenticação remota. Para criar um novo site clique na ação Adicionar Site. A tela Adicionar Site será apresentada, informe o nome do site (por exemplo fluigsso), o tipo, endereço IP e porta, que devem ser definidos pelo administrador do servidor.
![](/download/attachments/162170863/image2014-10-1%2014%3A36%3A18.png?version=1&modificationDate=1412184976000&api=v2)
Informações |
---|
O endereço informado nas configurações do site é o valor que deve ser informado no campo URL script de autenticação na configuração da autenticação integrada no fluig (ver passo 3 do item Habilitando e Configurando o fluig). |
|
Card |
---|
| - Outro ponto a ser configurado é autenticação deste site. Realizamos isto através do item Autenticação.
![](/download/attachments/162170863/image2014-10-1%2014%3A55%3A1.png?version=1&modificationDate=1412186099000&api=v2)
|
Card |
---|
| - Devemos habilitar a forma de autenticação do Autenticação do Windows e desabilitar todas as outras opções de autenticação.
![](/download/attachments/162170863/image2014-10-1%2014%3A59%3A39.png?version=1&modificationDate=1412186377000&api=v2)
|
Card |
---|
| - Existe um detalhe que deve ser tratado na autenticação, que são os provedores utilizados pela Autenticação do Windows. Clique com o botão direito na opção Autenticação do Windows e em seguida clicar na opção Provedores.
![](/download/attachments/162170863/provedores-site.png?version=1&modificationDate=1412186783000&api=v2)
|
Card |
---|
| - Devemos deixar apenas a opção NTLM. Todas as outras devem ser excluídas. Se isso não for feito, pode ser exigido do usuário a entrada de credenciais via caixa de diálogo do navegador. Não esquecer que existe outra configuração a ser feita diretamente no navegador para evitar este problema (veremos em tópicos posteriores).
![](/download/attachments/162170863/image2014-10-1%2015%3A9%3A51.png?version=1&modificationDate=1412186988000&api=v2)
|
Card |
---|
| - Em alguns casos, não será possível negociar as credenciais do usuário via NTML e então o IIS redirecionará o usuário para uma página de erro (HTTP 401.2 - Não autorizado). Para evitar este comportamento é possível definir uma página de erro personalizada onde o usuário é redirecionado para a página de login do fluig ao invés de uma página de erro do IIS.
- Realizamos isto através do botão Páginas de Erro.
![](/download/attachments/162170863/image2014-10-1%2015%3A22%3A13.png?version=1&modificationDate=1412187731000&api=v2)
|
Card |
---|
| - Para adicionar uma nova página de erro clique na opção Adicionar.
![](/download/attachments/162170863/image2014-10-1%2015-27-49.png?version=1&modificationDate=1495053159000&api=v2)
|
Card |
---|
| - A tela Adicionar Página de Erro Personalizado é apresentada. Informe o código de status 401.2, selecione a ação de resposta Inserir conteúdo do arquivo estático na resposta de erro e no campo Caminho do Arquivo informe o caminho relativo (ou seja, apenas o nome.extensão, conforme a imagem abaixo) da raiz do site direcionando para o arquivo redirect.html.
![](/download/attachments/162170863/image2014-10-1%2015%3A27%3A18.png?version=1&modificationDate=1412188036000&api=v2)
- Para finalizar e adicionar a página de erro clique no botão OK.
|
Card |
---|
| - Finalizadas as configurações, é possível realizar um teste diretamente no script. Para isto basta executar o script no navegador com o parâmetro de consulta debug=1, que neste exemplo foi http://10.80.128.251:8180/remote_auth.asp?debug=1
- Quando acrescentado o parâmetro de consulta debug=1, o script é informado para executar em modo debug, no qual ele retorna diversos valores que nos ajudam a depurar o serviço de autenticação remota. No exemplo executado, podemos ver que foi retornado o usuário 'João da Silva' e que a autenticação está funcionando corretamente.
![](/download/attachments/162170863/image2014-10-1%2015%3A31%3A44.png?version=1&modificationDate=1412188301000&api=v2)
- Uma vez concluída estas configurações é possível efetuar a autenticação integrada.
- Como teste final, autentique no Windows utilizando as credenciais de um usuário válido do Active Directory. Em seguida acesse o fluig. O acesso ao fluig não exigirá login e senha e já autenticará o usuário no Windows.
|
|
...
Configuração do Navegador
Nota |
---|
|
A configuração do navegador deverá ser realizada em cada terminal cliente. |
É necessário configurar o navegador do usuário para que ele utilize autenticação Windows (NTLM) com o script de autenticação remota (remote_auth.asp).
Mesmo que o serviço de autenticação remota tenha sido configurado para utilizar autenticação Windows no IIS, o navegador do cliente precisa enviar as credenciais para que o script possa fazer as validações necessárias no Active Directory.
Internet Explorer e Google Chrome
No caso dos navegadores Internet Explorer e Google Chrome, as configurações de segurança e autenticação devem ser realizadas através das Opções da Internet do Internet Explorer, pois os dois navegadores irão assumir estas configurações realizadas.
...
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | ie-chrome-config |
---|
effectType | fade |
---|
|
Card |
---|
default | true |
---|
id | 1 |
---|
label | Passo 1 |
---|
|
- Para começar, devemos acessar o menu Opções da Internet, no Internet Explorer:
Image Modified
|
Card |
---|
default | true |
---|
id | 2 |
---|
label | Passo 2 |
---|
|
- Na sequência, devemos escolher a aba Segurança, selecionar a opção Intranet Local e então clicar no botão Sites, para informar a URL do servidor de autenticação remota. Isto garante que possamos aplicar o envio de credenciais do Windows apenas para a URL do servidor de autenticação remota. Outras aplicações e sites permanecem como estão.
![](/download/attachments/162170863/image2014-9-24%2015%3A5%3A45.png?version=1&modificationDate=1411581755000&api=v2)
|
Card |
---|
default | true |
---|
id | 3 |
---|
label | Passo 3 |
---|
| - Para adicionar o endereço do servidor de autenticação remota precisamos clicar no botão Avançadas:
![](/download/attachments/162170863/image2014-9-24%2015%3A11%3A36.png?version=1&modificationDate=1411582106000&api=v2)
- Informamos a URL do servidor de autenticação remota no campo Adicionar este site à zona e então clicamos no botão Adicionar. Podemos fechar a tela clicando no botão Fechar:
![](/download/attachments/162170863/image2014-9-24%2015%3A11%3A49.png?version=1&modificationDate=1411582118000&api=v2)
|
Card |
---|
default | true |
---|
id | 4 |
---|
label | Passo4 |
---|
| - É importante garantir que as configurações de Autenticação do Usuário estejam definidas para Login automático com o nome de usuário e senha atuais, para a Intranet Local. Para consultar esta tela, basta selecionar Intranet Local e clicar no botão Nível personalizado:
![](/download/attachments/162170863/image2014-9-24%2015%3A12%3A57.png?version=1&modificationDate=1411582187000&api=v2)
|
|
Mozilla Firefox
O Firefox deve ser configurado de uma maneira um pouco diferente:
...
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | firefox-config |
---|
effectType | fade |
---|
|
Card |
---|
default | true |
---|
id | 1 |
---|
label | Passo 1 |
---|
| - Em primeiro lugar, precisamos digitar about:config na barra de endereços, para poder acessar as configurações do Firefox:
Image Modified
- Uma mensagem de alerta normalmente é exibida. Para continuar, basta clicar no botão de confirmação. No nosso exemplo, o botão Serei cuidadoso, prometo!
|
Card |
---|
default | true |
---|
id | 2 |
---|
label | Passo 2 |
---|
| - As configurações de NTLM podem ser facilmente encontradas se digitarmos no campo Localizar, a palavra “ntlm”. Devemos manter as configurações como exibidas abaixo. A mais importante é network.automatic-ntlm-auth.trusted-urls, onde devemos informar a URL do servidor de autenticação remota:
Image Modified
- Feito isso, temos também o Firefox configurado para utilização da autenticação integrada com o Windows do Fluigfluig.
|
|
Group Policies
Configurar o navegador de alguns poucos usuários é uma tarefa simples, porém, o cliente terá problemas quando possui milhares de usuários a serem configurados.
Para estes casos, podemos utilizar a estratégia de distribuição das configurações, baseadas na utilização de Group Policies (GPO). Durante o procedimento de autenticação no domínio, pode ser executada uma série de tarefas automáticas, como por exemplo, configurar o navegador do usuário.
Internet Explorer e Google Chrome
O administrador deverá definir a seguinte configuração de GPO:
Configuração do Computador ► Modelos Administrativos ► Componentes do Windows ► Internet Explorer ► Painel de Controle da Internet ► Página Segurança:
Image Modified
...
Após habilitar a Lista de Atribuições de Sites a Zonas, o cliente deverá definir a URL do servidor de autenticação remota como membro da Zona da Intranet.
Image Modified
Desta forma, toda vez que um usuário membro do domínio efetuar o login, as configurações necessárias serão realizadas. Se executada todos os dias, a GPO também deve evitar que um usuário mais avançado desfaça as configurações necessárias para a autenticação remota.
Mozilla Firefox
No caso do navegador Mozilla Firefox, não existe maneira direta de configurar o navegador a partir da GPO, porém, existem scripts que realizam esta configuração, e estes scripts podem ser executados a partir de uma GPO.
...
Configuração do Usuário ► Configurações do Windows ► Scripts (Logon/Logoff) ► Logon
Image Modified
Opções de
...
Arquitetura para Alta Disponibilidade
A autenticação remota pode utilizar uma arquitetura baseada em um único servidor. O problema é que neste cenário, se o script estiver off-line, o usuário não conseguirá autenticar no Fluigfluig. O administrador deverá desabilitar a autenticação integrada no Fluig fluig ou corrigir o que for necessário para que o script fique online.
...