Índice
| Índice |
|---|
| maxLevel | 4 |
|---|
| outline | true |
|---|
| exclude | .*ndice |
|---|
| style | none |
|---|
|
...
...
O Desktop SSO é um componente não obrigatório na arquitetura do fluig Identity e que pode ser habilitado pelo administrador do contexto. Ele é responsável pelo Single Sign On (SSO), o que permite aos usuários que já estejam autenticados no Windows da estação de trabalho acessar o fluig Identity sem informar as credenciais (e-mail e senha) manualmente.
A validação das credenciais do Windows no fluig Identity é realizada através de um script ASP, que é gerado pelo próprio fluig Identity e deve ser hospedado em um servidor IIS (Internet Information Service). O script consulta as credenciais no Active Directory, recupera o e-mail associado ao usuário e o valida no fluig Identity.
Se as credenciais forem legítimas, o usuário obterá acesso ao fluig Identity sem a necessidade de informá-las manualmente. Caso as credenciais não sejam válidas, será apresentada ao usuário a página de login do fluig Identity, onde ele deverá informar o e-mail e senha para ter acesso às aplicações.
Para maior segurança, é possível cadastrar intervalos de IPs, que restringem a permissão para utilização do recurso de SSO. Isto permite, por exemplo, que usuários internos da empresa tenham a experiência SSO habilitada, enquanto usuários externos à rede corporativa serão obrigados a entrar com credenciais manualmente para ter acesso ao fluig Identity e seus aplicativos.
Habilitando o Desktop SSO no
...
Identity
Siga os passos abaixo como administrador do contexto para habilitar o Desktop SSO.
| Deck of Cards |
|---|
| effectDuration | 0.5 |
|---|
| history | false |
|---|
| id | samples |
|---|
| effectType | fade |
|---|
|
| Card |
|---|
default | true |
|---|
| - Para habilitar o SSO em um contexto do fluig Identity, o administrador deve acessar
 Image Removed (Menu Principal) e selecionar Configuração.
- Acessar a aba Active Directory.
 Image Removed
| Card |
|---|
| - No final da página, marcar a opção Permitir o acesso via Desktop SSO.
- Acionar o link Configurações do Desktop SSO.
 Image Removed
| Card |
|---|
| - Nesta página será realizada a definição dos intervalos de endereços IP que serão liberados para executar o SSO.
- Acionar
 Image Removed (Editar).
- É importante que o responsável pela infraestrutura do cliente acompanhe o processo de configuração do Identity, inclusive a configuração do Desktop SSO. Este profissional poderá facilitar algumas configurações como por exemplo, IPs externos, dados de conexão com o Active Directory e usuários para teste.
 Image Removed
| Card |
|---|
| - Informar um endereço IP externo permitido. Os endereços IP informados na configuração do Desktop SSO devem ser IPs externos para garantir a comunicação com o fluig Identity, que não possui acesso aos IPs internos da rede. Caso não saiba qual o endereço o IP externo, o administrador pode usar sites como http://www.meuip.com.br/ para identifica-los.
- Além de informar um endereço IP específico, é possível informar um intervalo de IPs. Por exemplo: 192.168.4.[0-10]. Essa expressão indica que todos os endereços IP entre 192.168.4.0 e 192.168.4.10 serão permitidos.
| Informações |
|---|
Os IPs externos não cadastrados serão redirecionados para a página de login, onde os usuários deverão informar manualmente as credenciais para obter acesso ao contexto. É necessário que a empresa possua um IP externo estático garantindo que usuários deste IP utilizem o Desktop SSO e os IPs diferentes do cadastrado possam utilizar suas credenciais pela tela de autenticação. |
- Informar a URL do script de Autenticação, abordado no próximo tópico. Essa URL é o endereço do servidor IIS para acesso ao script de autenticação, por exemplo: https://acme.com/remote_auth.asp. Nesse momento ainda não é necessário ter o script totalmente configurado no IIS, apenas informar o endereço em que o script será hospedado.
 Image Removed
| Nota |
|---|
Se o administrador cadastrar [0-255]. [0-255]. [0-255]. [0-255] como endereço permitido, o fluig Identity entenderá que todos os endereços de acesso são válidos. Contudo, essa configuração poderá acarretar problemas, pois usuários de fora da rede não terão acesso ao endereço do Desktop SSO e receberão uma mensagem erro. |
O primeiro passo é realizar a definição dos endereços IPs permitidos. Essa configuração é realizada no Identity, com um usuário administrador, seguindo as instruções da documentação Acesso via Desktop SSO. | Nota |
|---|
É importante que o responsável pela infraestrutura do cliente acompanhe o processo de configuração do Identity, inclusive a configuração do Desktop SSO. Este profissional poderá facilitar algumas configurações como por exemplo, IPs externos, dados de conexão com o Active Directory e usuários para teste. |
|
| Card |
|---|
| | Card |
|---|
| - A definição dos endereços IPs permitidos é apenas o primeiro passo para configuração do acesso via Single Sign On. O próximo passo é a configuração do script remote_auth.asp no servidor IIS.O O script remote_auth.asp é único para cada contexto e seu download é habilitado apenas após a definição dos IPs pelo administrador (acionando o botão Salvar).
- Para fazer o download, acionar o botão Baixar, que será ativado na seção Baixar o Script de Autenticação SSO.
| Nota |
|---|
O Single Sign On só será realizado caso o usuário acesse o fluig Identity através do subdomínio cadastrado para o contexto, por exemplo, [empresa].fluigidentity.com. |
 Image Removed |
|
...
Para o correto funcionamento do Single Sign On, é fundamental adicionar os seguintes roles ao servidor Windows:
| Deck of Cards |
|---|
|
| Card |
|---|
|
- O role Web Server inclui o IIS (Internet Information Services) e é um pré-requisito para os demais roles exigidos para o SSO.
- No Server Manager do Windows, acionar Manage → Add Roles and Features.
- No wizard apresentado, acionar Next até chegar à pagina Server Roles.
- Marcar a opção Web Server (IIS) e acionar Next.
- Será apresentando um quadro questionando se os recursos (features) necessários para o IIS também devem ser instalados. Acionar Add Features.
- Acionar Next até chegar à página Confirmation e acionar Install para instalar o role Web Server.
|
| Card |
|---|
|
- Por padrão, o IIS executa aplicações ASP .NET (deve ser a versão 4.5), mas também é preciso habilitar aplicações ASP Classic.
- Para isso, após a instalação do IIS, acessar novamente o Server Manager do Windows, acionar Manage → Add Roles and Features.
- Na página Server Roles, expandir Web Server (IIS) → Web Server → Application Development e marcar o role ASP.
- Acionar Next até concluir o wizard.
|
| Card |
|---|
| label | Windows Authentication |
|---|
|
- Outro role que deve ser habilitado no IIS é a autenticação Windows no Desktop SSO. Desta forma, o navegador poderá enviar as credenciais para a aplicação efetuar as validações necessárias no Active Directory.
- Acessar o Server Manager do Windows, acionar Manage → Add Roles and Features.
- Na página Server Roles, expandir Web Server (IIS) → Web Server → Security e marcar o role Windows Authentication.
- Acionar Next até concluir o wizard.
|
|
...
| Deck of Cards |
|---|
| effectDuration | 0.5 |
|---|
| history | false |
|---|
| id | samples |
|---|
| effectType | fade |
|---|
|
| Card |
|---|
|
- Abrir o Internet Information Services (IIS) Manager.
|
| Card |
|---|
|
- Preencher as informações necessárias para a criação do site e acionar OK.
- No exemplo abaixo, o Site name será "desktopSSO", uma pasta chamada "DSSO" foi criada no diretório padrão "C:\inetpub\wwwroot" e definida como Physical path, e a porta será "81".
|
| Card |
|---|
|
- Copiar o script de autenticação do Desktop SSO "remote_auth.asp" para a pasta criada no passo anterior.
| Informações |
|---|
Para obter o script, seguir as orientações do passo a passo Habilitando o Desktop SSO no fluig Identity. Lembrando que é preciso informar nas configurações do Desktop SSO no fluig Identity o endereço de hospedagem do remote_auth.asp no IIS, por exemplo: http://localhost:81/remote_auth.asp. |
|
| Card |
|---|
|
- No Internet Information Services (IIS) Manager, acionar Add Application... para criar uma nova aplicação ASP ao website.
|
| Card |
|---|
|
- Preencher os campos necessários para a criação da aplicação e acionar OK.
- No exemplo abaixo, o Alias da aplicação será "dsso" e o Physical path será o mesmo do website.
|
| Card |
|---|
|
- Após a criação da aplicação, deve-se configurar as regras de autenticação.
|
| Card |
|---|
|
- O status da opção Windows Authentication deve ser definido como Enabled (Habilitado).
- Todas as demais opções disponíveis devem ter os status definidos como Disabled (Desabilitado).
|
| Card |
|---|
|
- Clicar com o botão direito do mouse sobre o item Windows Authentication e acionar a opção Providers... para definir os provedores utilizados pela autenticação.
|
| Card |
|---|
|
- No quadro Providers, apenas a opção NTLM deve ser mantida. Todos os demais provedores listados (caso existam) devem ser removidos.
- Se este procedimento não for executado, o navegador pode vir a exigir as credenciais de acesso ao usuário através de uma caixa de diálogo.
| Dica |
|---|
| title | Sobre o protocolo NTLM |
|---|
| O NTLM é um protocolo de autenticação utilizado em uma rede Windows. São necessárias configurações específicas nos navegadores (Internet Explorer, Google Chrome e Mozilla Firefox) para que eles utilizem este protocolo e também no script remote_auth.asp (Desktop SSO) para utilizar a Autenticação Windows. Os sistemas operacionais Linux e macOS não suportam o protocolo NTLM, portanto não é possível utilizá-los para realizar o SSO. Nestes sistemas é realizado um contorno para que, ao tentar o acesso via SSO, sejam requisitadas as credenciais do usuário. As orientações para configurar este contorno estão disponíveis no item Configuração para Linux e macOS. |
- Ao finalizar esse passo, a configuração do script de autenticação do Desktop SSO no IIS está completa e deve ser testada para confirmar se todos os procedimentos foram realizados corretamente.
|
|
...
| Deck of Cards |
|---|
|
| Card |
|---|
| default | true |
|---|
| label | Executar script |
|---|
|
- No exemplo abaixo, o usuário "usuarioteste9" estava logado diretamente no servidor. A mensagem abaixo mostra que o usuário foi localizado no Active Directory, porém não possuía um e-mail cadastrado, o que é primordial para o fluig Identity.
- Em uma situação como essa, ao tentar acessar o contexto da empresa no fluig Identity, o usuário seria redirecionado para a página de login e uma mensagem de login SSO inválido seria exibida.
|
| Card |
|---|
|
- O script de autenticação possui instruções para realizar o debug da aplicação. Este modo exibe dados adicionais para auxiliar na identificação de problemas na configuração do SSO.
- No exemplo abaixo, o usuário não possui e-mail cadastrado no Active Directory, o que é um pré-requisito do fluig Identity.
|
|
Configurar navegadores
...
Mesmo que o Desktop SSO tenha sido configurado para utilizar autenticação Windows no IIS, o navegador do cliente precisa enviar as credenciais para que o script possa fazer as validações necessárias no Active Directory e no fluig Identity.
| Deck of Cards |
|---|
| effectDuration | 0.5 |
|---|
| history | false |
|---|
| id | samples |
|---|
| effectType | fade |
|---|
|
| Card |
|---|
| default | true |
|---|
| id | 1 |
|---|
| label | Passo 1 |
|---|
|
- Acessar o menu Opções da Internet.
|
| Card |
|---|
| default | true |
|---|
| id | 2 |
|---|
| label | Passo 2 |
|---|
|
- Selecionar a aba Segurança.
- Marcar a zona de segurança Intranet local. Isto garante o envio das credenciais do Windows apenas para a URL do Desktop SSO. Outras aplicações e websites não serão afetados.
- Acionar Sites para adicionar a URL do Desktop SSO.
|
| Card |
|---|
| default | true |
|---|
| id | 3 |
|---|
| label | Passo 3 |
|---|
|
- Informar a URL do Desktop SSO e acionar Adicionar.
|
| Card |
|---|
| default | true |
|---|
| id | 4 |
|---|
| label | Passo 4 |
|---|
|
- De volta à aba Segurança, com a zona Intranet local selecionada, acionar Nível personalizado....
- Na opção Logon, marcar a opção Login automático com o nome de usuário e senha atuais.
|
|
...
Chamado de check_remote_auth.asp, este script não é distribuído pelo fluig Identity, mas foi construído especificamente para implantações com ecossistemas mais complexos, envolvendo diferentes sistemas operacionais.
| Deck of Cards |
|---|
|
| Card |
|---|
|
- Fazer o download do arquivo check_remote_auth.asp nesse link. (É necessário editá-lo e ajustar os parâmetros conforme descrição disponível dentro do próprio script).
- Esse arquivo deve ser hospedado no mesmo IIS em que foi armazenado o script do Desktop SSO.
- Para isso, criar uma pasta dentro do diretório "C:/inetpub/wwwroot", assim como foi feito para o remote_auth.asp.
|
| Card |
|---|
|
- No Internet Information Services (IIS) Manager, criar um website e uma aplicação para o check_remote_auth.asp. No exemplo abaixo foi usado o nome "check_dsso".
- É importante que a aplicação seja configurada para usar autenticação Anonymous Authentication, pois a única finalidade dela é redirecionar o usuário para a URL correta.
|
| Card |
|---|
|
- Após a configuração do script, acessar as configurações de Desktop SSO no fluig Identity e alterar o campo URL de Autenticação para o endereço do check_remote_auth.asp.
- Se o usuário estiver utilizando Windows, ele será redirecionado para o script Desktop SSO. Caso contrário, será direcionado para uma URL do fluig Identity que solicitará as credenciais de acesso.
|
|
...
O Desktop SSO pode utilizar uma arquitetura baseada em um único servidor. O problema é que neste cenário, se o script estiver offline, o usuário não conseguirá autenticar no fluig Identity.
O administrador deverá desabilitar o Single Sign On do contexto do cliente, no Identity, ou corrigir o que for necessário para que o script fique online.
...