Comment les administrateurs peuvent configurer l’authentification unique (SSO) pour un compte Adobe Connect afin de procéder à une authentification via le serveur proxy ou NTLM.

À propos de l’authentification unique

L’authentification unique est un mécanisme permettant à un utilisateur de s’authentifier une fois et d’accéder à plusieurs applications. L’authentification unique utilise un serveur proxy pour authentifier les utilisateurs afin que ces derniers n’aient pas à ouvrir de session dans Adobe Connect.

Adobe Connect prend en charge les mécanismes d’authentification uniques suivants :

Authentification des en-têtes HTTP

Configurez un proxy d’authentification pour intercepter la requête HTTP, analysez les informations de connexion de l’utilisateur dans l’en-tête et transmettez-les à Adobe Connect.

Authentification NTLM (Microsoft NT LAN Manager)

Configurez Adobe Connect pour qu’il tente d’authentifier automatiquement la connexion des clients par rapport à un contrôleur de domaine Windows utilisant le protocole NTLMv1. Microsoft Internet Explorer sous Microsoft Windows peut négocier une authentification NTLM sans demander ses informations de connexion à l’utilisateur.

Remarque :

L’authentification NTLM ne fonctionne pas sur les serveurs Edge. Utilisez plutôt l’authentification LDAP.

Remarque :

il se peut que les clients Mozilla Firefox puissent négocier une authentification NTLM sans la demander. Pour plus d’informations sur la configuration, consultez ce document Firefox.

Vous pouvez également écrire votre propre filtre d’authentification. Pour plus d’informations, contactez le support technique d’Adobe.

Configuration de l’authentification des en-têtes HTTP

Lorsque l’authentification des en-têtes HTTP est configurée, les requêtes de connexion à Adobe Connect sont acheminées vers un agent placé entre le client et Adobe Connect. Cet agent peut être un proxy d’authentification ou une application logicielle qui authentifie l’utilisateur, ajoute un autre en-tête dans la requête HTTP et envoie celle-ci à Adobe Connect. Sur Adobe Connect, vous devez retirer le commentaire d’un filtre Java et configurer un paramètre du fichier custom.ini qui indique le nom de l’en-tête HTTP supplémentaire.

Configuration d’une authentification des en-têtes HTTP sur Adobe Connect

Pour activer l’authentification des en-têtes HTTP, configurez le mappage d’un filtre Java et un paramètre d’en-tête sur l’ordinateur qui héberge Adobe Connect.

  1. Ouvrez le fichier [rép_install_racine]\appserv\web\WEB-INF\web.xml et procédez comme suit :

    1. Supprimez les balises de commentaire de part et d’autre du filtre et des éléments de mappage de HeaderAuthenticationFilter.

    2. Ajoutez des balises de commentaire de part et d’autre du filtre NtlmAuthenticationFilter et des éléments de mappage.

  2. Arrêter Adobe Connect Central Application Server et Meeting Server.

  3. Ajoutez la ligne suivante dans le fichier custom.ini. Votre agent d’authentification doit ajouter un en-tête à la requête HTTP envoyée à Adobe Connect. Le nom de l’en-tête doit être header_field_name.

    HTTP_AUTH_HEADER=header_field_name

    Votre agent d’authentification doit ajouter un en-tête à la requête HTTP envoyée à Adobe Connect. Le nom de l’en-tête doit être header_field_name.

  4. Enregistrez le fichier custom.ini et redémarrez Adobe Connect Meeting Server et Adobe Connect Central Application Server.

Rédaction du code d’authentification

Le code d’authentification doit authentifier l’utilisateur, ajouter un champ dans l’en-tête HTTP contenant le nom d’utilisateur et envoyer une requête à Adobe Connect.

  1. Sélectionnez la valeur du champ d’en-tête header_field_name pour une connexion utilisateur à Adobe Connect

  2. Envoyez une requête HTTP à Adobe Connect à l’adresse URL suivante :
    http://example.com/system/login

    Le filtre Java sur Adobe Connect intercepte la requête, recherche l’en-tête header_field_name, puis recherche un utilisateur avec l’ID transmis dans l’en-tête. Si l’utilisateur est localisé, il est authentifié et une réponse est envoyée.

  3. Dans le contenu HTTP de la réponse d’Adobe Connect, recherchez la chaîne "OK" qui indique une authentification réussie.
  4. Dans la réponse d’Adobe Connect, recherchez le cookie BREEZESESSION.
  5. Redirigez l’utilisateur vers l’URL requise sur Adobe Connect et transmettez le cookie BREEZESESSION représentant la valeur du paramètre session, comme suit :
    http://example.com?session=BREEZESESSION

    Remarque :

    Vous devez transmettre le cookie BREEZESESSION dans toute requête ultérieure à Adobe Connect au cours de la session client.

Configuration de l’authentification des en-têtes HTTP avec Apache

La procédure suivante décrit un exemple d’implémentation de l’authentification des en-têtes HTTP qui utilise Apache comme agent d’authentification.

  1. Installez Apache en tant que proxy inverse sur un autre ordinateur que celui qui héberge Adobe Connect.

  2. Choisissez Démarrer > Programmes > Apache HTTP Server > Configure Apache Server > fichier de configuration Edit the Apache httpd.conf. Effectuez ensuite les opérations suivantes :

    1. Retirez les commentaires des lignes suivantes :

      • LoadModule headers_module modules/mod_headers.so
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_connect_module modules/mod_proxy_connect.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
    2. Ajoutez les lignes suivantes à la fin du fichier :

      RequestHeader append custom-auth "ext-login"
      ProxyRequests Off
      <Proxy *>
      Order deny,allow
      Allow from all
      </Proxy>
      ProxyPass / http://hostname:[port]/
      ProxyPassReverse / http://[hostname]:[port]/
      ProxyPreserveHost On
  3. Arrêter Adobe Connect Central Application Server et Adobe Connect Meeting Server.

  4. Ajoutez l’élément suivant au fichier custom.ini. Le paramètre HTTP_AUTH_HEADER doit correspondre au nom configuré sur le proxy. Le paramètre correspond à l’en-tête HTTP supplémentaire.

    HTTP_AUTH_HEADER=custom-auth
  5. Enregistrez le fichier custom.ini et redémarrez Adobe Connect Meeting Server et Central Application Server.

  6. Ouvrez le fichier [rép_install_racine]]\appserv\web\WEB-INF\web.xml, retirez les commentaires du filtre HeaderAuthenticationFilter et du filtre NtlmAuthenticationFilter.

Configuration de l’authentification NTLM

NTLMv1 est un protocole d’authentification utilisé avec le protocole de réseau SMB sur les réseaux Microsoft Windows. Vous pouvez utiliser NTLM pour permettre à un utilisateur de prouver son identité sur un domaine Windows une fois puis l’autoriser à accéder à une autre ressource de réseau, comme Adobe Connect. Pour créer les informations de connexion de l’utilisateur, le navigateur Web de l’utilisateur exécute automatiquement une authentification de défi et de réponse avec le contrôleur de domaine via Adobe Connect. Si ce mécanisme échoue, l’utilisateur peut se connecter directement à Adobe Connect. Seul Internet Explorer sur Windows prend en charge la connexion unique avec une authentification NTLMv1.

Remarque :

vous pouvez installer Adobe Connect et NTLM sur Windows 2003, car Adobe Connect prend en charge NTLM v1. En outre, Windows 7 et les versions ultérieures ne prennent pas en charge la connexion SSO NTLM v1.

Remarque :

par défaut, les contrôleurs de domaine Windows Server 2003 nécessitent une fonction de sécurité appelée signatures SMB. La configuration par défaut du filtre d’authentification NTLM ne prend pas en charge les signatures SMB. Vous pouvez configurer le filtre pour fonctionner sous cette condition. Pour plus d’informations sur cette option et sur d’autres options de configuration avancées, consultez la documentation d’authentification JCIFS NTLM HTTP.

Ajout de paramètres de configuration

Procédez comme suit pour chaque hôte du cluster Adobe Connect.

  1. Synchronisez les utilisateurs LDAP de votre domaine dans Adobe Connect par le biais de la console de gestion 8510. Pour intégrer Adobe Connect à LDAP, voir Intégration d’Adobe Connect à un annuaire LDAP.

    Remarque :

    Après la synchronisation LDAP dans Adobe Connect, filtrez les données LDAP de manière à ce que le nom d’utilisateur du domaine NTLM apparaisse dans la base de données Adobe Connect. Sinon, la connexion SSO NTLM ne fonctionne pas et vous constatez des échecs de connexion dans debug.log.

  2. Modifiez les stratégies de connexion d’Adobe Connect afin de choisir le nom d’utilisateur DOMAIN. Par défaut, il s’agit de l’adresse électronique, mais NTLM n’autorise pas l’utilisation des adresses.

  3. Ouvrez le fichier [rép_install_racine]\custom.ini dans un éditeur de texte et ajoutez les paramètres suivants :

    NTLM_DOMAIN=[domain]
    NTLM_SERVER=[WINS_server_IP_address]

    La valeur [domain] correspond au nom du domaine Windows dont les utilisateurs sont des membres et avec lequel ils s’authentifient, par exemple, CORPNET. Si nécessaire, paramétrez cette valeur sur la version du nom de domaine compatible avec les versions antérieures à Windows 2000. Pour plus d’informations, consultez la TechNote 27e73404. Cette valeur est mappée sur la propriété de filtre jcifs.smb.client.domain. Définir directement la valeur dans le fichier web.xml remplace la valeur figurant dans le fichier custom.ini.

    La valeur [WINS_server_IP_address] est l’adresse IP ou une liste d’adresses IP de serveurs WINS séparées par des virgules. Utilisez l’adresse IP, le nom d’hôte ne fonctionne pas. Les serveurs WINS sont interrogés dans l’ordre spécifié pour résoudre l’adresse IP d’un contrôleur de domaine pour le domaine spécifié dans le paramètre NTLM_DOMAIN. (Le contrôleur de domaine authentifie ses utilisateurs.) Vous pouvez également spécifier l’adresse IP du contrôleur de domaine lui-même, par exemple, 10.169.10.77, 10.169.10.66. Cette valeur est mappée vers la propriété de filtre jcifs.netbios.wins. Définir la valeur dans le fichier web.xml remplace la valeur figurant dans le fichier custom.ini.

  4. Enregistrez le fichier custom.ini. 

  5. Ouvrez le fichier [rép_install_racine]\appserv\web\WEB-INF\web.xml dans un éditeur de texte et supprimez les commentaires des éléments suivants :

    • les éléments complets NtlmAuthenticationFilter et de mappage de filtre
    • les éléments complets HeaderAuthenticationFilter et de mappage de filtre
  6. Enregistrez le fichier web.xml et redémarrez Adobe Connect Server.

Rapprochement des stratégies de connexion

Les stratégies de connexion d’Adobe Connect et NTLM diffèrent quant à l’authentification des utilisateurs. Conciliez ces stratégies avant que les utilisateurs puissent employer une seule connexion.

L’identifiant de connexion utilisé par le protocole NTLM peut être un nom d’utilisateur (jdoe), un numéro d’employé (1234) ou un nom codé, selon la stratégie ou l’organisation. Par défaut, Adobe Connect utilise une adresse électronique (jdoe@masociete.com) comme identifiant de connexion. Modifiez la stratégie de connexion à Adobe Connect pour que Adobe Connect partage un identifiant unique avec NTLM.

  1. Ouvrez Adobe Connect Central.

    Pour ouvrir Adobe Connect Central, ouvrez une fenêtre de navigateur, puis entrez le nom de domaine pleinement qualifié de l’hôte Adobe Connect (par exemple http://connect.masociété.com). Entrez la valeur de l’hôte Adobe Connect dans l’écran Paramètres du serveur de la Console de gestion des applications.

  2. Sélectionnez l’onglet Administration. Cliquez sur Utilisateurs et groupes. Cliquez sur Modifier les stratégies de nom d’utilisateur et de mot de passe.
  3. Dans la section Stratégie de connexion, sélectionnez Non pour Utiliser l’adresse électronique comme identifiant de connexion.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne