Índice

Objetivo

O objetivo deste guia é habilitar e configurar a autenticação integrada com Windows no Fluig.

Visão Geral

A autenticação integrada com o Windows possibilita que os usuários que estejam registrados no Active Directory possam acessar o Fluig sem precisar informar manualmente seus dados de acesso através da tela de login, desde que já esteja autenticado no Windows.

Basicamente o processo de autenticação integrada com o Windows funciona da seguinte maneira:

O usuário acessa o Fluig através do seu navegador;
Fluig inicia o processo de autenticação integrada, redirecionando para o servidor IIS;
O script de autenticação remota no IIS sabe como autenticar o usuário pelas credenciais de domínio do Windows;
O usuário é consultado e validado no Active Directory pelo IIS;
IIS redireciona novamente ao Fluig com as informações de identidade do usuário retornadas pelo Active Directory;
Fluig valida a integridade das informações recebidas do servidor IIS;
Caso as informações do usuário forem válidas autentica o usuário no Fluig, caso contrário redireciona para a tela de login.

NTLM

O NTLM é um protocolo de autenticação utilizado em uma rede Windows. Como veremos nos tópicos a seguir, existem uma série de configurações que devemos realizar nos browsers para que eles utilizem este protocolo, e também no script de autenticação remota para que utilize a chamada Autenticação Windows.

Além disso, é importante lembrar que existem limitações com relação a sistemas operacionais não Windows. Linux e Mac não podem utilizar o protocolo NTLM. O efeito nestes sistemas operacionais é que se tentarem o acesso via autenticação integrada, uma caixa de diálogo proveniente do browser pedirá para que o usuário entre com suas credenciais.

Configuração da Autenticação Integrada

Para usufruir da autenticação integrada com o Windows, é necessário habilitar este recurso no Fluig e realizar algumas configurações, como a criação do serviço de autenticação remota. As configurações necessárias para o correto funcionamento da autenticação integrada são apresentadas nos tópicos abaixo.

Habilitando e Configurando no Fluig

O primeiro passo para a configuração da autenticação integrada é habilitar ela no Fluig:

Efetue o login no Fluig utilizando o usuário wcmadmin, e então acesse Painel de Controle ► WCM ► Configurações do Sistema.

TOTVS Fluig > Configurando Autenticação Integrada > desktopsso-fluig-1.png

Na tela de configurações do sistema, acesse a aba Autenticação. Para habilitar a autenticação integrada assinale a opção Habilitar autenticação integrada.

TOTVS Fluig > Configurando Autenticação Integrada > desktopsso-fluig-2.png

Insira a URL do servidor IIS onde será executado o script de autenticação remota no campo URL script de autenticação. A URL deve apontar por padrão para http(s)://<endereço>/<contexto>/remote_auth.asp (A configuração do servidor IIS e da URL para acesso será descrito no tópico Configuração IIS).

TOTVS Fluig > Configurando Autenticação Integrada > desktopsso-fluig-3.png

Clique no botão Gerar Novo Token para gerar um token de autenticação. O token é utilizado para validar a integridade e segurança das requisições de autenticação integrada recebidas pelo Fluig.

TOTVS Fluig > Configurando Autenticação Integrada > desktopsso-fluig-4.png

Clique no botão Salvar para salvar as configurações de autenticação. Em seguida clique no botão Exportar para gerar e salvar o script de autenticação remota que deverá ser publicado no servidor IIS.

TOTVS Fluig > Configurando Autenticação Integrada > desktopsso-fluig-5.png

É importante lembrar que existem diversas configurações à serem executadas antes que possamos utilizar a autenticação integrada. Se as configurações não forem finalizadas antes que a autenticação integrada seja habilitada, os usuários poderão ter dificuldades para logar no Fluig, ou até mesmo poderão ser impedidos de ter acesso.

Informe um login e senha do Active Directory que possua privilégios suficientes para ler informações dos usuários no Active Directory. O login deve ser informando na variável sLdapReaderUsername e a senha na variável sLdapReaderPassword. Após informado os dados, salve o arquivo.

É importante editar o script de autenticação remota antes de movê-lo para o servidor IIS.

Configuração IIS

Para disponibilizar o serviço de autenticação remota é necessário termos um servidor Windows com o Internet Information Services (IIS) habilitado. Siga o passo-a-passo abaixo para habilitar o IIS e configurar o serviço para autenticação remota:

TODO

Configuração do Browser

É necessário configurar o browser do usuário para que ele utilize autenticação Windows (NTLM) com o script de autenticação remota (remote_auth.asp).

Mesmo que o serviço de autenticação remota tenha sido configurado para utilizar autenticação Windows no IIS, o browser do cliente precisa enviar as credenciais para que o script possa fazer as validações necessárias no Active Directory.

Internet Explorer e Google Chrome

No caso do Internet Explorer e Google Chrome, basta configurar as opções de segurança e autenticação no Internet Explorer e o Google Chrome irá assumir as mesmas configurações.

Para começar, devemos acessar o menu Opções da Internet, no Internet Explorer:

TOTVS Fluig > Configurando Autenticação Integrada > ie.png

Na sequência, devemos escolher a aba Segurança, selecionar a opção Intranet Local e então clicar no botão Sites, para informar a URL do servidor de autenticação remota. Isto garante que possamos aplicar o envio de credenciais do Windows apenas para a URL do servidor de autenticação remota. Outras aplicações e sites permanecem como estão.

TOTVS Fluig > Configurando Autenticação Integrada > image2014-9-24 15:5:45.png

Para adicionar o endereço do servidor de autenticação remota precisamos clicar no botão Avançadas:

TOTVS Fluig > Configurando Autenticação Integrada > image2014-9-24 15:11:36.png

Informamos a URL do servidor de autenticação remota no campo Adcionar este site à zona e então clicamos no botão Adicionar. Podemos fechar a tela clicando no botão Fechar:

TOTVS Fluig > Configurando Autenticação Integrada > image2014-9-24 15:11:49.png

É importante garantir que as configurações de Autenticação do Usuário estejam definidas para Login automático com o nome de usuário e senha atuais, para a Intranet Local. Para consultar esta tela, basta selecionar Intranet Local e clicar no botão Nível personalizado:

TOTVS Fluig > Configurando Autenticação Integrada > image2014-9-24 15:12:57.png

Mozilla Firefox

O Firefox deve ser configurado de uma maneira um pouco diferente.

Em primeiro lugar, precisamos digitar about:config na barra de endereços, para poder acessar as configurações do Firefox:

Uma mensagem de alerta normalmente é exibida. Para continuar, basta clicar no botão de confirmação. No nosso exemplo, o botão Serei cuidadoso, prometo!

As configurações de NTLM podem ser facilmente encontradas se digitarmos no campo Localizar, a palavra “ntlm”. Devemos manter as configurações como exibidas abaixo. A mais importante é network.automatic-ntlm-auth.trusted-urls, onde devemos informar a URL do servidor de autenticação remota:

TOTVS Fluig > Configurando Autenticação Integrada > image2014-9-24 14:37:36.png

Feito isso, temos também o Firefox configurado para utilização da autenticação integrada com o Windows do Fluig.

Group Policies

Configurar o browser de alguns poucos usuários é uma tarefa simples, porém, o cliente terá um grande problema quando tem milhares de usuários a serem configurados.

Para estes casos, podemos utilizar a estratégia de distribuição das configurações, baseadas na utilização de Group Policies (GPO). Durante o procedimento de autenticação no domínio, pode ser executada uma série de tarefas automáticas, como por exemplo, configurar o navegador do usuário.

Internet Explorer e Google Chrome

O administrador deverá definir a seguinte configuração de GPO:

Configuração do Computador ► Modelos Administrativos ► Componentes do Windows ► Internet Explorer ► Painel de Controle da Internet ► Página Segurança

TOTVS Fluig > Configurando Autenticação Integrada > group policies ie1.png

Após habilitar a Lista de Atribuições de Sites a Zonas, o cliente deverá definir a URL do servidor de autenticação remota como membro da Zona da Intranet.

TOTVS Fluig > Configurando Autenticação Integrada > group policies ie2.png

Desta forma, toda vez que um usuário membro do domínio efetuar o login, as configurações necessárias serão realizadas. Se executada todos os dias, a GPO também deve evitar que um usuário mais avançado desfaça as configurações necessárias para a autenticação remota.

Mozilla Firefox

No caso do navegador Mozilla Firefox, não existe maneira direta de configurar o navegador a partir da GPO, porém, existem scripts que realizam esta configuração, e estes scripts podem ser executados a partir de uma GPO.

Existe um script que foi criado para definir estas configurações do Firefox. Ele pode ser obtido com a equipe de serviços do Fluig.

Para executar o script devemos configurar a GPO conforme apresentado abaixo:

Configuração do Usuário ► Configurações do Windows ► Scripts (Logon/Logoff) ► Logon

TOTVS Fluig > Configurando Autenticação Integrada > group policies firefox.png

Opções de arquitetura para Alta Disponibilidade

A autenticação remota pode utilizar uma arquitetura baseada em um único servidor. O problema é que neste cenário, se o script estiver off-line, o usuário não conseguirá autenticar no Fluig. O administrador deverá desabilitar a autenticação integrada no Fluig ou corrigir o que for necessário para que o script fique online.

Existe uma opção, onde podemos criar dois servidores de autenticação remota, o que fornece uma boa redundância do componente. Se um servidor estiver fora do ar, ou se uma aplicação estiver fora, o outro servidor assume a responsabilidade de manter online o serviço de autenticação remota.

Para isso é necessário disponibilizar um Load Balancer que terá a responsabilidade de fazer o redirecionamento, caso um dos dois servidores de autenticação remota esteja off-line.