Árvore de páginas

Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Índice
maxLevel4
outlinetrue
stylenone
exclude.*ndice

 

Objetivo

O objetivo deste guia é habilitar e configurar a autenticação integrada com Windows no Fluig.

 

Visão Geral

A autenticação integrada com o Windows possibilita que os usuários que estejam registrados no Active Directory possam acessar o Fluig sem precisar informar manualmente seus dados de acesso através da tela de login, desde que já  esteja autenticado no Windows.

...

  1. O usuário acessa o Fluig através do seu navegador;
  2. Fluig inicia o processo de autenticação integrada, redirecionando para o servidor IIS;
  3. O script de autenticação remota no IIS sabe como autenticar o usuário pelas credenciais de domínio do Windows;
  4. O usuário é consultado e validado no Active Directory pelo IIS;
  5. IIS redireciona novamente ao Fluig com as informações de identidade do usuário retornadas pelo Active Directory;
  6. Fluig valida a integridade das informações recebidas do servidor IIS;
  7. Caso as informações do usuário forem válidas autentica o usuário no Fluig, caso contrário redireciona para a tela de login.

NTLM

O NTLM é um protocolo de autenticação utilizado em uma rede Windows. Como veremos nos tópicos a seguir, existem uma série de configurações que devemos realizar nos browsers para que eles utilizem este protocolo, e também no script de autenticação remota para que utilize a chamada Autenticação Windows.

Além disso, é importante lembrar que existem limitações com relação a sistemas operacionais não Windows. Linux e Mac não podem utilizar o protocolo NTLM. O efeito nestes sistemas operacionais é que se tentarem o acesso via autenticação integrada, uma caixa de diálogo proveniente do browser pedirá para que o usuário entre com informe suas credenciais.

 

Configuração da Autenticação Integrada

Para usufruir da autenticação integrada com o Windows, é necessário habilitar este recurso no Fluig e realizar algumas configurações, como a criação do serviço de autenticação remota. As configurações necessárias para o correto funcionamento da autenticação integrada são apresentadas nos tópicos abaixo.


Habilitando e Configurando no Fluig

O primeiro passo para a configuração da autenticação integrada é habilitar ela habilitá-la no Fluig:

 

Deck of Cards
effectDuration0.5
idfluig-config
historyfalse
effectTypefade
Card
defaulttrue
id1
labelPasso 1
titleAcessando as configurações do sistema

 

  • Efetue o login no Fluig utilizando o usuário wcmadmin, e então acesse Painel de Controle  ► WCM ► Configurações do Sistema.

 

 

Card
id2
labelPasso 2
titleHabilitar Autenticação Integrada

 

  • Na tela de configurações do sistema, acesse a aba Autenticação. Para habilitar a autenticação integrada assinale a opção Habilitar autenticação integrada.

 

 

Card
id3
labelPasso 3
titleURL Script Autenticação

 

  • Insira a URL do servidor IIS onde será executado o script de autenticação remota no campo URL script de autenticação. A URL deve apontar por padrão para http(s)://<endereço-iis>/remote_auth.asp (A configuração do servidor IIS e da URL para acesso será descrito no tópico Configuração IIS).

 

Card
id4
labelPasso 4
titleGerar Token

 

  • Clique no botão Gerar Novo Token para gerar um token de autenticação. O token é utilizado para validar a integridade e segurança das requisições de autenticação integrada recebidas pelo Fluig.

 

 

Card
id5
labelPasso 5
titleSalvar Configurações e Exportar Script

 

  • Clique no botão Salvar para salvar as configurações de autenticação. Em seguida clique no botão Exportar para gerar e salvar o script de autenticação remota que deverá ser publicado no servidor IIS.

 

 

Nota

É importante lembrar que existem diversas configurações [SÃO AS CONFIGURAÇÕES DESCRITAS A SEGUIR] à serem executadas antes que possamos utilizar a autenticação integrada. Se as configurações não forem finalizadas antes que a autenticação integrada seja habilitada, os usuários poderão ter dificuldades para logar autenticar no Fluig, ou até mesmo poderão ser impedidos de ter acesso.

 

 

Card
id6
labelPasso 6
titleEditar Script

 

  • Informe um login e senha do Active Directory que possua privilégios suficientes para ler informações dos usuários no Active Directory. O login deve ser informando na variável sLdapReaderUsername e a senha na variável sLdapReaderPassword. Após informado os dados, salve o arquivo.

 

 

Nota

É importante editar o script de autenticação remota antes de movê-lo para o servidor IIS.

 

 

Configuração IIS

Para disponibilizar o serviço de autenticação remota é necessário termos ter um servidor Windows com o Internet Information Services (IIS) habilitado. Siga o passo-a-passo abaixo para habilitar o IIS:

...

Deck of Cards
effectDuration0.5
idconfig-iis
historyfalse
effectTypefade
Card
id1
labelPasso 1

 

  • Para habilitar o IIS (caso não esta habilitado ainda), devemos utilizar o Gerenciador de Servidores, e adicionar uma nova função. Para adicionar uma nova função, clique na opção Funções e em seguida em Adicionar funções.

 

 

Card
id2
labelPasso 2

 

  • A tela de Assistente para Adicionar Funções é aberta. Assinale a opção Servidor Web (IIS) e clique no botão Próximo.

 

 

Card
id3
labelPasso 3

 

  • Uma tela com uma introdução ao Servidor Web (IIS) é apresentada. Clique no botão Próximo para continuar com a instalação.

 

 

Card
id4
labelPasso 4

 

  • Para que seja possível configurar e disponibilizar o serviço de autenticação remota é necessário a instalação dos seguintes serviços de função ASP, Extensões ISAPI e Autenticação do Windows. Assinale estes serviços de funções e clique em Próximo.

 

 

  • Os serviços de funções ASP e Extenções ISAPI são necessários para a execução do script ASP responsável pela autenticação remota e o serviço de função Autenticação do Windows é necessário para que o navegador possa enviar as credenciais para a aplicação efetuar as validações necessárias no Active Directory.

 

Card
id5
labelPasso 5

 

  • A tela de confirmação de instalação é apresentada. Clique em Instalar para finalizar a instalação do Servidor Web (IIS).

 

 

Card
id6
labelPasso 6

 

  • Após finalizar a instalação é apresentada a tela de Resultados da Instalação com o resumo dos itens instalados. Clique em Fechar.

 

 

 

Configuração e Disponibilização do Serviço

Após possuir o IIS instalado e com as funções de serviços necessárias é possível configurar o serviço de autenticação remota. Lembrando que o apoio da equipe de infraestrutura é fundamental, siga o passo-a-passo abaixo para configurar e disponibilizar o serviço de autenticação remota:

...

Deck of Cards
effectDuration0.5
iddsso-app-iis
historyfalse
effectTypefade
Card
id1
labelPasso 1

 

  • Primeiramente devemos criar um arquivo chamado redirect.html com o seguinte conteúdo (lembre-se que a chave FLUIG-HOST deve ser substituída pelo endereço do servidor Fluig):

 

Bloco de código
languagexml
titleredirect.html
<!DOCTYPE html>
<html> 
  <head>           
    <meta http-equiv="refresh" content="0;URL='http://{FLUIG-HOST}/portal/home?dssoError=invalidUser'" />    
  </head>
</html>

 

  • Seguindo, devemos criar um diretório de conteúdo para o site que iremos criar nos próximos passos. Neste diretório colocamos o script ASP baixado do Fluig (ver item Habilitando e Configurando no o Fluig) e o arquivo redirect.html.

 

 

Card
id2
labelPasso 2

 

  • No IIS agora precisamos criar um novo site, que será a aplicação responsável em fornecer o serviço de autenticação remota. Para criar um novo site clique na ação Adicionar Site . A tela Adicionar Site será apresentada, informe o nome do site (por exemplo fluigsso), o tipo, endereço IP e porta, que devem ser definidos pelo administrador do servidor.

 

 

Informações

O endereço informado nas configurações do site é valor que deve ser informado no campo URL script de autenticação na configuração da autenticação integrada no Fluig (ver passo 3 do item Habilitando e Configurando no o Fluig).

 

 

Card
id3
labelPasso 3

 

  • Outro ponto a ser configurado é autenticação deste site. Realizamos isto através do item Autenticação.


 

Card
id4
labelPasso 4

 

  • Devemos habilitar a forma de autenticação Autenticação do Windows e desabilitar todas as outras opções de autenticação.

 

 

Card
id5
labelPasso 5

 

  • Existe um detalhe que deve ser tratado na autenticação, que são os provedores utilizados pela Autenticação do Windows. Clique com o botão direito na opção Autenticação do Windows e em seguida clicar na opção Provedores.



 

Card
id6
labelPasso 6

 

  • Devemos deixar apenas a opção NTLM. Todas as outras devem ser excluídas. Se isso não for feito, pode ser exigido do usuário a entrada de credenciais via caixa de diálogo do navegador. Não esquecer que existe outra configuração a ser feita diretamente no navegador (que veremos em tópicos posteriores) para evitar este problema.



 

Card
id7
labelPasso 7

 

  • Em alguns casos, não será possível negociar as credenciais do usuário via NTML e então o IIS redirecionará o usuário para uma página de erro (HTTP 401.2 - Não autorizado). Para evitar este comportamento é possível definir uma página de erro personalizada onde o usuário é redirecionado para a página de login do Fluig ao invés de uma página de erro do IIS. 
  • Realizamos isto através do item Páginas de Erro.

 

 

Card
id8
labelPasso 8

 

  • Para adicionar uma nova página de erro clique na opção Adicionar.

 

 

Card
id9
labelPasso 9

 

  • A tela Adicionar Página de Erro Personalizado é apresentada. Informe o código de status 401.2, selecione a ação de Resposta resposta Inserir conteúdo do arquivo estático na resposta de erro e no campo caminho do arquivo informe o caminho relativo da raiz do site para o arquivo redirect.html.

 

 

  • Para finalizar e adicionar a página de erro clique no botão OK.

 

Card
id10
labelPasso 10

 

  • Finalizadas as configurações, podemos é possível realizar um teste diretamente no script. Para isto basta executar o script no navegador com o parâmetro de consulta debug=1, que neste exemplo foi http://10.80.128.251:8180/remote_auth.asp?debug=1
  • Quando acrescentado o parâmetro de consulta debug=1, o script é informado para executar em modo debug, no qual ele retorna diversos valores que nos ajudam a depurar o serviço de autenticação remota. No exemplo executado, podemos ver que foi retornado o usuário 'João da Silva' e que a autenticação está funcionando corretamente.

 

 

  • Uma vez concluída estas configurações é possível efetuar a autenticação integrada.
  • Como teste final, autentique no Windows utilizando as credenciais de um usuário válido do Active Directory. Em seguida acesse o Fluig. O acesso ao Fluig não exigirá login e senha e já autenticará o usuário autenticado no Windows.

 

 

 

Configuração do Browser

É necessário configurar o browser do usuário para que ele utilize autenticação Windows (NTLM) com o script de autenticação remota (remote_auth.asp).

Mesmo que o serviço de autenticação remota tenha sido configurado para utilizar autenticação Windows no IIS, o browser do cliente precisa enviar as credenciais para que o script possa fazer as validações necessárias no Active Directory.

 

Internet Explorer e Google Chrome

No caso do Internet Explorer e Google Chrome, basta configurar as opções de segurança e autenticação no Internet Explorer e o Google Chrome irá assumir as mesmas configurações.

[FICOU CONFUSA ESSA FRASE, O QUE QUIS DIZER? ]

 

Deck of Cards
effectDuration0.5
idie-chrome-config
historyfalse
effectTypefade
Card
defaulttrue
id1
labelPasso 1


  • Para começar, devemos acessar o menu Opções da Internet, no Internet Explorer:


Card
defaulttrue
id2
labelPasso 2


  • Na sequência, devemos escolher a aba Segurança, selecionar a opção Intranet Local e então clicar no botão Sites, para informar a URL do servidor de autenticação remota. Isto garante que possamos aplicar o envio de credenciais do Windows apenas para a URL do servidor de autenticação remota. Outras aplicações e sites permanecem como estão.


Card
defaulttrue
id3
labelPasso 3

 

  • Para adicionar o endereço do servidor de autenticação remota precisamos clicar no botão Avançadas:

 

 

  • Informamos a URL do servidor de autenticação remota no campo Adcionar Adicionar este site à zona e então clicamos no botão Adicionar. Podemos fechar a tela clicando no botão Fechar:

 


Card
defaulttrue
id4
labelPasso4

 

  • É importante garantir que as configurações de Autenticação do Usuário estejam definidas para Login automático com o nome de usuário e senha atuais, para a Intranet Local. Para consultar esta tela, basta selecionar Intranet Local e clicar no botão Nível personalizado:


 

Mozilla Firefox

O Firefox deve ser configurado de uma maneira um pouco diferente.:

 

Deck of Cards
effectDuration0.5
idfirefox-config
historyfalse
effectTypefade
Card
defaulttrue
id1
labelPasso 1

 

  • Em primeiro lugar, precisamos digitar about:config na barra de endereços, para poder acessar as configurações do Firefox:

 



  • Uma mensagem de alerta normalmente é exibida. Para continuar, basta clicar no botão de confirmação. No nosso exemplo, o botão Serei cuidadoso, prometo!


Card
defaulttrue
id2
labelPasso 2

 

  • As configurações de NTLM podem ser facilmente encontradas se digitarmos no campo Localizar, a palavra “ntlm”. Devemos manter as configurações como exibidas abaixo. A mais importante é network.automatic-ntlm-auth.trusted-urls, onde devemos informar a URL do servidor de autenticação remota:

 

 

  • Feito isso, temos também o Firefox configurado para utilização da autenticação integrada com o Windows do Fluig.

 

 

Group Policies

Configurar o browser de alguns poucos usuários é uma tarefa simples, porém, o cliente terá um grande problema problemas quando tem milhares de usuários a serem configurados.

Para estes casos, podemos utilizar a estratégia de distribuição das configurações, baseadas na utilização de Group Policies (GPO). Durante o procedimento de autenticação no domínio, pode ser executada uma série de tarefas automáticas, como por exemplo, configurar o navegador do usuário.

Internet Explorer e Google Chrome

O administrador deverá definir a seguinte configuração de GPO:

Configuração do Computador ► Modelos Administrativos ► Componentes do Windows ► Internet Explorer ► Painel de Controle da Internet ► Página Segurança:

 

 

 

Após habilitar a Lista de Atribuições de Sites a Zonas, o cliente deverá definir a URL do servidor de autenticação remota como membro da Zona da Intranet.

 

 

 

Desta forma, toda vez que um usuário membro do domínio efetuar o login, as configurações necessárias serão realizadas. Se executada todos os dias, a GPO também deve evitar que um usuário mais avançado desfaça as configurações necessárias para a autenticação remota.

 

 

Mozilla Firefox

No caso do navegador Mozilla Firefox, não existe maneira direta de configurar o navegador a partir da GPO, porém, existem scripts que realizam esta configuração, e estes scripts podem ser executados a partir de uma GPO.

...

Configuração do Usuário ► Configurações do Windows ► Scripts (Logon/Logoff) ► Logon

 

 

 

Opções de arquitetura para Alta Disponibilidade

...

Existe uma opção, onde podemos criar dois servidores de autenticação remota, o que fornece uma boa redundância do componente. Se um servidor estiver fora do ar, ou se uma aplicação estiver fora, o outro servidor assume a responsabilidade de manter online o serviço de autenticação remota.

[TRECHO ACIMA: "Existe uma opção..." QUE OPÇÃO É ESTA? PODEMOS DETALHAR?]

Para isso é necessário disponibilizar um Load Balancer que terá a responsabilidade de fazer o redirecionamento, caso um dos dois servidores de autenticação remota esteja off-line.