...
Deck of Cards |
---|
|
Card |
---|
|
- O role Web Server inclui o IIS (Internet Information Services) e é um pré-requisito para os demais roles exigidos para o SSO.
- No Server Manager do Windows, acionar Manage → Add Roles and Features.
- No wizard apresentado, acionar Next até chegar à pagina Server Roles.
- Marcar a opção Web Server (IIS) e acionar Next.
- Será apresentando um quadro questionando se os recursos (features) necessários para o IIS também devem ser instalados. Acionar Add Features.
- Acionar Next até chegar à página Confirmation e acionar Install para instalar o role Web Server.
|
Card |
---|
|
- Por padrão, o IIS executa aplicações ASP .NET (deve ser a versão 4.5), mas também é preciso habilitar aplicações ASP Classic.
- Para isso, após a instalação do IIS, acessar novamente o Server Manager do Windows, acionar Manage → Add Roles and Features.
- Na página Server Roles, expandir Web Server (IIS) → Web Server → Application Development e marcar o role ASP.
- Acionar Next até concluir o wizard.
|
Card |
---|
label | Windows Authentication |
---|
|
- Outro role que deve ser habilitado no IIS é a autenticação Windows no Desktop SSO. Desta forma, o navegador poderá enviar as credenciais para a aplicação efetuar as validações necessárias no Active Directory.
- Acessar o Server Manager do Windows, acionar Manage → Add Roles and Features.
- Na página Server Roles, expandir Web Server (IIS) → Web Server → Security e marcar o role Windows Authentication.
- Acionar Next até concluir o wizard.
|
|
Configurar o Script no IIS
Ativar tráfego NTLM
O Desktop SSO depende do protocolo NTLM para funcionar corretamente. Confira os passos abaixo para ativar o tráfego NTLMApós a habilitação dos roles obrigatórios, o script de autenticação do Desktop SSO deve ser configurado e hospedado no IIS.
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | samples |
---|
effectType | fade |
---|
|
Card |
---|
default | true |
---|
| Pressione a tecla Windows e a tecla R para abrir a janela de Executar (Run). Digite gpmc.msc. Image Added - Abrir o Internet Information Services (IIS) Manager.
Image Removed |
Card |
---|
| Irá abrir a janela Group Policy Management. Expanda o item Forest, em seguida Domains, o seu domínio, até chegar no item Default Domain Policy. Image Added - Preencher as informações necessárias para a criação do site e acionar OK.
- No exemplo abaixo, o Site name será "desktopSSO", uma pasta chamada "DSSO" foi criada no diretório padrão "C:\inetpub\wwwroot" e definida como Physical path, e a porta será "81".
Image Removed |
Card |
---|
| - Copiar o script de autenticação do Desktop SSO "remote_auth.asp" para a pasta criada no passo anterior.
Image Removed Card |
---|
| - No Internet Information Services (IIS) Manager, acionar Add Application... para criar uma nova aplicação ASP ao website.
Image Removed Card |
---|
| - Preencher os campos necessários para a criação da aplicação e acionar OK.
- No exemplo abaixo, o Alias da aplicação será "dsso" e o Physical path será o mesmo do website.
Image Removed Card |
---|
| - Após a criação da aplicação, deve-se configurar as regras de autenticação.
Image Removed Card |
---|
| - O status da opção Windows Authentication deve ser definido como Enabled (Habilitado).
- Todas as demais opções disponíveis devem ter os status definidos como Disabled (Desabilitado).
Image Removed Card |
---|
| - Clicar com o botão direito do mouse sobre o item Windows Authentication e acionar a opção Providers... para definir os provedores utilizados pela autenticação.
Image Removed Card |
---|
| - No quadro Providers, apenas a opção NTLM deve ser mantida. Todos os demais provedores listados (caso existam) devem ser removidos.
- Se este procedimento não for executado, o navegador pode vir a exigir as credenciais de acesso ao usuário através de uma caixa de diálogo.
Dica |
---|
title | Sobre o protocolo NTLM |
---|
| O NTLM é um protocolo de autenticação utilizado em uma rede Windows. São necessárias configurações específicas nos navegadores (Internet Explorer, Google Chrome e Mozilla Firefox) para que eles utilizem este protocolo e também no script remote_auth.asp (Desktop SSO) para utilizar a Autenticação Windows. Os sistemas operacionais Linux e macOS não suportam o protocolo NTLM, portanto não é possível utilizá-los para realizar o SSO. Nestes sistemas é realizado um contorno para que, ao tentar o acesso via SSO, sejam requisitadas as credenciais do usuário. As orientações para configurar este contorno estão disponíveis no item Configuração para Linux e macOS. |
- Ao finalizar esse passo, a configuração do script de autenticação do Desktop SSO no IIS está completa e deve ser testada para confirmar se todos os procedimentos foram realizados corretamente.
Image Removed
|
Verificar a configuração do SSO
Após a configuração do script de autenticação do Desktop SSO no IIS, é possível executá-lo para confirmar se o procedimento foi realizado corretamente.
...
...
default | true |
---|
label | Executar script |
---|
- Abrir o navegador e acessar a URL do script, por exemplo, http://localhost/dsso/remote_auth.asp.
- No exemplo abaixo, o usuário "usuarioteste9" estava logado diretamente no servidor. A mensagem abaixo mostra que o usuário foi localizado no Active Directory, porém não possuía um e-mail cadastrado, o que é primordial para o Identity.
- Em uma situação como essa, ao tentar acessar o contexto da empresa no Identity, o usuário seria redirecionado para a página de login e uma mensagem de login SSO inválido seria exibida.
Image Removed
Clique com botão direito no Default Domain Policy. Clique em Edit. Image Added |
Card |
---|
| Irá abrir a janela Group Policy Management Editor. Image Added |
Card |
---|
| Acesse Policies > Windows Settings > Security Settings > Local Policies > Security Options. Image Added |
Card |
---|
| Localize a opção indicada abaixo e altere para Permitir tudo. Image Added |
|
Configurar o Script no IIS
Após a habilitação dos roles obrigatórios, o script de autenticação do Desktop SSO deve ser configurado e hospedado no IIS.
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | samples |
---|
effectType | fade |
---|
|
Card |
---|
|
- Abrir o Internet Information Services (IIS) Manager.
Image Added
|
Card |
---|
|
- Preencher as informações necessárias para a criação do site e acionar OK.
- No exemplo abaixo, o Site name será "desktopSSO", uma pasta chamada "DSSO" foi criada no diretório padrão "C:\inetpub\wwwroot" e definida como Physical path, e a porta será "81".
Image Added
|
Card |
---|
|
- Copiar o script de autenticação do Desktop SSO "remote_auth.asp" para a pasta criada no passo anterior.
Image Added
|
Card |
---|
|
- No Internet Information Services (IIS) Manager, acionar Add Application... para criar uma nova aplicação ASP ao website.
Image Added
|
Card |
---|
|
- Preencher os campos necessários para a criação da aplicação e acionar OK.
- No exemplo abaixo, o Alias da aplicação será "dsso" e o Physical path será o mesmo do website.
Image Added
|
Card |
---|
|
- Após a criação da aplicação, deve-se configurar as regras de autenticação.
Image Added
|
Card |
---|
|
- O status da opção Windows Authentication deve ser definido como Enabled (Habilitado).
- Todas as demais opções disponíveis devem ter os status definidos como Disabled (Desabilitado).
Image Added
|
Card |
---|
|
- Clicar com o botão direito do mouse sobre o item Windows Authentication e acionar a opção Providers... para definir os provedores utilizados pela autenticação.
Image Added
|
Card |
---|
|
- No quadro Providers, apenas a opção NTLM deve ser mantida. Todos os demais provedores listados (caso existam) devem ser removidos.
- Se este procedimento não for executado, o navegador pode vir a exigir as credenciais de acesso ao usuário através de uma caixa de diálogo.
Dica |
---|
title | Sobre o protocolo NTLM |
---|
| O NTLM é um protocolo de autenticação utilizado em uma rede Windows. São necessárias configurações específicas nos navegadores (Internet Explorer, Google Chrome e Mozilla Firefox) para que eles utilizem este protocolo e também no script remote_auth.asp (Desktop SSO) para utilizar a Autenticação Windows. Os sistemas operacionais Linux e macOS não suportam o protocolo NTLM, portanto não é possível utilizá-los para realizar o SSO. Nestes sistemas é realizado um contorno para que, ao tentar o acesso via SSO, sejam requisitadas as credenciais do usuário. As orientações para configurar este contorno estão disponíveis no item Configuração para Linux e macOS. |
- Ao finalizar esse passo, a configuração do script de autenticação do Desktop SSO no IIS está completa e deve ser testada para confirmar se todos os procedimentos foram realizados corretamente.
Image Added |
|
Verificar a configuração do SSO
Após a configuração do script de autenticação do Desktop SSO no IIS, é possível executá-lo para confirmar se o procedimento foi realizado corretamente.
Deck of Cards |
---|
|
Card |
---|
default | true |
---|
label | Executar script |
---|
|
- No exemplo abaixo, o usuário "usuarioteste9" estava logado diretamente no servidor. A mensagem abaixo mostra que o usuário foi localizado no Active Directory, porém não possuía um e-mail cadastrado, o que é primordial para o Identity.
- Em uma situação como essa, ao tentar acessar o contexto da empresa no Identity, o usuário seria redirecionado para a página de login e uma mensagem de login SSO inválido seria exibida.
Image Added
|
Card |
---|
|
- O script de autenticação possui instruções para realizar o debug da aplicação. Este modo exibe dados adicionais para auxiliar na identificação de problemas na configuração do SSO.
- No exemplo abaixo, o usuário não possui e-mail cadastrado no Active Directory, o que é um pré-requisito do Identity.
Image Added |
|
...
- O script de autenticação possui instruções para realizar o debug da aplicação. Este modo exibe dados adicionais para auxiliar na identificação de problemas na configuração do SSO.
- Para acessar o modo debug, basta inclui o parâmetro debug=1 no final da URL do script. Por exemplo: http://localhost/dsso/remote_auth.asp?debug=1.
- No exemplo abaixo, o usuário não possui e-mail cadastrado no Active Directory, o que é um pré-requisito do Identity.
Image Removed
Ativar tráfego NTLM
O Desktop SSO depende do protocolo NTLM para funcionar corretamente. Confira os passos abaixo para ativar o tráfego NTLM.
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | samples |
---|
effectType | fade |
---|
|
Card |
---|
| Pressione a tecla Windows e a tecla R para abrir a janela de Executar (Run). Digite gpmc.msc. Image Removed |
Card |
---|
| Irá abrir a janela Group Policy Management. Expanda o item Forest, em seguida Domains, o seu domínio, até chegar no item Default Domain Policy. Image Removed |
Card |
---|
| Clique com botão direito no Default Domain Policy. Clique em Edit. Image Removed |
Card |
---|
| Irá abrir a janela Group Policy Management Editor. Image Removed |
Card |
---|
| Acesse Policies > Windows Settings > Security Settings > Local Policies > Security Options. Image Removed |
Card |
---|
| Localize a opção indicada abaixo e altere para Permitir tudo. Image Removed
|
|
Configurar navegadores
...