Hier vindt u informatie over hoe beheerders Single Sign-On (SSO) voor een Adobe Connect-account kunnen configureren voor verificatie via een proxyserver of NTLM.

Informatie over Single Sign-On

Single Sign-On is een mechanisme waarbij een gebruiker één keer wordt geverifieerd en vervolgens toegang krijgt tot meerdere toepassingen. Bij Single Sign-On wordt een proxyserver gebruikt voor het verifiëren van gebruikers, zodat zij zich niet hoeven aan te melden bij Adobe Connect.

Adobe Connect ondersteunt de volgende SSO-mechanismen:

HTTP-headerverificatie

Configureer een verificatieproxy om de HTTP-aanvraag te onderscheppen, de aanmeldingsgegevens van de gebruiker in de header te analyseren en de gegevens door te geven aan Adobe Connect.

NTLM-verificatie (Microsoft NT LAN Manager)

Configureer Adobe Connect zodat verbindende clients automatisch met het NTLMv1-protocol worden geverifieerd op basis van een Windows-domeincontroller. In Microsoft Internet Explorer in Microsoft Windows kan NTLM-verificatie worden afgehandeld zonder dat de gebruiker zijn of haar aanmeldingsgegevens hoeft in te voeren.

Opmerking:

NTLM-verificatie werkt niet op Edge-servers. Gebruik in plaats daarvan LDAP-verificatie.

Opmerking:

in Mozilla Firefox-clients kan NTLM-verificatie mogelijk worden afgehandeld zonder dat er om aanmeldingsgegevens wordt gevraagd. Zie dit Firefox-document voor informatie over configuraties.

Desgewenst kunt u ook uw eigen verificatiefilter samenstellen. Neem voor meer informatie contact op met de ondersteuning van Adobe.

HTTP-headerverificatie configureren

Wanneer HTTP-headerverificatie is geconfigureerd, worden Adobe Connect-aanmeldingsaanvragen gerouteerd naar een agent die zich tussen de client en Adobe Connect bevindt. De agent kan een verificatieproxy of een softwaretoepassing zijn die de gebruiker verifieert, nog een header toevoegt aan de HTTP-aanvraag en de aanvraag naar Adobe Connect verzendt. Onder Adobe Connect dient u de commentaarmarkering van een Java-filter te verwijderen en een parameter te configureren in het bestand custom.ini, die de naam van de extra HTTP-header aangeeft.

HTTP-headerverificatie configureren onder Adobe Connect

Om HTTP-headerverificatie mogelijk te maken, dient u een Java-filtertoewijzing en een headerparameter te configureren op de computer die als host fungeert voor Adobe Connect.

  1. Open het bestand [basisinstallatiemap]\appserv\web\WEB-INF\web.xml en doe het volgende:

    1. Verwijder de commentaarmarkeringen rond het filter en filtertoewijzingselementen voor HeaderAuthenticationFilter.

    2. Voeg commentaarmarkeringen toe aan het NtlmAuthenticationFilter-filter en filtertoewijzingselementen.

  2. Stop de Adobe Connect Central-toepassingsserver en Meeting Server.

  3. Voeg de volgende regel toe aan het bestand custom.ini. De verificatieagent moet een header toevoegen aan de HTTP-aanvraag die naar Adobe Connect wordt verzonden. De header moet de volgende naam hebben: header_field_name.

    HTTP_AUTH_HEADER=header_field_name

    De verificatieagent moet een header toevoegen aan de HTTP-aanvraag die naar Adobe Connect wordt verzonden. De header moet de volgende naam hebben: header_field_name.

  4. Sla het bestand custom.ini op en start Adobe Connect Meeting Server en Adobe Connect Central-toepassingsserver weer op.

De verificatiecode schrijven

De verificatiecode moet de gebruiker verifiëren, een veld met de gebruikersaanmelding aan de HTTP-header toevoegen en een aanvraag naar Adobe Connect verzenden.

  1. Stel de waarde van het headerveld header_field_name in op een Adobe Connect-gebruikersaanmelding.

  2. Verzend een HTTP-aanvraag naar Adobe Connect op de volgende URL:
    http://example.com/system/login

    Het Java-filter op Adobe Connect onderschept de aanvraag, zoekt naar de header header_field_name en naar een gebruiker met de id die in de header staat. Wanneer de gebruiker wordt gevonden, wordt de gebruiker geverifieerd en wordt een antwoord verzonden.

  3. Analyseer de HTTP-inhoud van het Adobe Connect-antwoord voor de tekenreeks "OK" om aan te geven dat de verificatie goed is uitgevoerd.
  4. Analyseer het Adobe Connect-antwoord op het cookie BREEZESESSION.
  5. Leid de gebruiker om naar de aangevraagde URL op Adobe Connect. Het BREEZESESSION-cookie wordt doorgegeven als de waarde van de parameter session:
    http://example.com?session=BREEZESESSION

    Opmerking:

    U moet de BREEZESESSION-cookie in alle volgende aanvragen aan Adobe Connect tijdens deze clientsessie doorgeven.

HTTP-headerverificatie configureren met Apache

Hieronder wordt een voorbeeldimplementatie beschreven van een HTTP-headerverificatie, waarbij Apache wordt gebruikt als verificatieagent.

  1. Installeer Apache als een reverse-proxy op een andere computer dan de computer die als host fungeert voor Adobe Connect.

  2. Kies Start > Programma's > Apache HTTP Server > Configure Apache Server > Edit the Apache httpd.conf Configuration file en voer de volgende handelingen uit:

    1. Verwijder de commentaarmarkering van de volgende regels:

      • LoadModule headers_module modules/mod_headers.so
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_connect_module modules/mod_proxy_connect.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
    2. Voeg de volgende regels toe aan het einde van het bestand:

      RequestHeader append custom-auth "ext-login"
      ProxyRequests Off
      <Proxy *>
      Order deny,allow
      Allow from all
      </Proxy>
      ProxyPass / http://hostname:[port]/
      ProxyPassReverse / http://[hostname]:[port]/
      ProxyPreserveHost On
  3. Stop de Adobe Connect Central-toepassingsserver en de Adobe Connect Meeting Server.

  4. Voeg het volgende toe aan het bestand custom.ini. De parameter HTTP_AUTH_HEADER moet overeenkomen met de naam die is geconfigureerd in de proxy. De parameter is de extra HTTP-header.

    HTTP_AUTH_HEADER=custom-auth
  5. Sla het bestand custom.ini op en start de Adobe Connect Meeting Server en de Central-toepassingsserver weer op.

  6. Open het bestand [basisinstallatiemap]\appserv\web\WEB-INF\web.xml en verwijder de commentaarmarkering van het volledige HeaderAuthenticationFilter-filter en NtlmAuthenticationFilter-filter.

NTLM-verificatie configureren

NTLMv1 is een verificatieprotocol dat in Microsoft Windows-netwerken met het SMB-netwerkprotocol wordt gebruikt. U kunt NTLM gebruiken om een gebruiker de mogelijkheid te bieden zijn of haar identiteit één keer te bewijzen aan een Windows-domein waarna hij of zij ook toegang heeft tot andere netwerkbronnen, zoals Adobe Connect. Om de referenties van de gebruiker te controleren, wordt door de webbrowser van de gebruiker automatisch een challenge- en response-verificatie met de domeincontroller uitgevoerd via Adobe Connect. Als dit mechanisme niet werkt, kan de gebruiker zich direct aanmelden bij Adobe Connect. Alleen in Internet Explorer in Windows wordt een eenmalige aanmelding met NTLMv1-verificatie ondersteund.

Opmerking:

Stel Adobe Connect en NTLM in Windows 2003 in, want Adobe Connect ondersteunt NTLM v1. Bovendien ondersteunen Windows 7 en latere versies geen NTLM v1 SSO.

Opmerking:

Standaard vereisen Windows Server 2003-domeincontrollers de beveiligingsfunctie SMB-handtekeningen. SMB-handtekeningen worden niet ondersteund door de standaardconfiguratie van het NTLM-verificatiefilter. U kunt het filter zo configureren dat wordt voldaan aan deze vereiste. Zie het artikel JCIFS NTLM HTTP authentication documentation voor meer informatie over deze en andere geavanceerde configuratieopties.

Configuratieparameters toevoegen

Doe het volgende voor elke host in een Adobe Connect-cluster:

  1. Synchroniseer de LDAP-gebruikers van uw domein in Adobe Connect via de beheerconsole 8510. Zie Adobe Connect integreren met een LDAP-directory voor meer informatie over het integreren van Adobe Connect met LDAP.

    Opmerking:

    Na het synchroniseren van LDAP in Adobe Connect, filtert u de LDAP-gegevens zodanig dat de gebruikersnaam van het NTLM-domein wordt ingevuld in de Adobe Connect-database. Anders werkt de aanmelding van NTLM SSO niet en bevat het bestand debug.log aanmeldingsfouten.

  2. Bewerk de aanmeldingsbeleidsregels voor Adobe Connect om de aanmelding in DOMEIN gebruikersnaam te wijzigen. Standaard is dit het e-mailadres maar NTLM staat geen e-mailadres toe.

  3. Open het bestand [basisinstallatiemap]\custom.ini in een teksteditor en voeg de volgende parameters toe:

    NTLM_DOMAIN=[domain]
    NTLM_SERVER=[WINS_server_IP_address]

    De waarde [domain] is de naam van het Windows-domein waarvan gebruikers lid zijn en op basis waarvan ze worden geverifieerd, bijvoorbeeld CORPNET. Mogelijk moet u deze waarde instellen op de versie van de domeinnaam die compatibel is met eerdere besturingssysteemversies dan Windows 2000. Zie TechNote 27e73404 voor meer informatie. Deze waarde wordt toegewezen aan de filtereigenschap jcifs.smb.client.domain. Wanneer u de waarde direct in het bestand web.xml instelt, wordt de waarde in het bestand custom.ini overschreven.

    De waarde [WINS_server_IP_address] is het IP-adres of een door komma's gescheiden lijst met IP-adressen van WINS-servers. Gebruik het IP-adres, de hostnaam werkt niet. De WINS-servers worden in de opgegeven volgorde doorzocht om het IP-adres van een domeincontroller voor het opgegeven domein in de parameter NTLM_DOMAIN om te zetten. (De domeincontroller verifieert gebruikers.) U kunt ook het IP-adres van de domeincontroller zelf opgeven, bijvoorbeeld 10.169.10.77, 10.169.10.66. Deze waarde wordt toegewezen aan de filtereigenschap jcifs.netbios.wins. Wanneer u de waarde in het bestand web.xml instelt, wordt de waarde in het bestand custom.ini overschreven.

  4. Sla het bestand custom.ini op. 

  5. Open het bestand [basisinstallatiemap]\appserv\web\WEB-INF\web.xml in een teksteditor en verwijder de commentaarmarkering van:

    • het volledige NtlmAuthenticationFilter-filter en filtertoewijzingselementen
    • het volledige HeaderAuthenticationFilter-filter en filtertoewijzingselementen
  6. Sla het bestand web.xml op en start de Adobe Connect-server opnieuw.

Aanmeldingsbeleidsregels met elkaar in overeenstemming brengen

Adobe Connect en NTLM gebruiken verschillende aanmeldingsbeleidsregels voor het verifiëren van gebruikers. Breng deze beleidsregels met elkaar in overeenstemming voordat gebruikers een eenmalige aanmelding kunnen gebruiken.

Bij het NTLM-protocol wordt gebruikgemaakt van een aanmeldingsidentificatie die, afhankelijk van het beleid van de onderneming, kan bestaan uit een gebruikersnaam (jsmit), een werknemersnummer (1234) of een gecodeerde naam. Standaard gebruikt Adobe Connect een e-mailadres (jsmit@mijnbedrijf.nl) als aanmeldingsidentificatie. Wijzig het Adobe Connect-aanmeldingsbeleid zodat Adobe Connect een unieke identificatie deelt met NTLM.

  1. Open Adobe Connect Central.

    U opent Adobe Connect Central door een browservenster te openen en de FQDN-naam van de Adobe Connect-host (bijvoorbeeld http://connect.mijnbedrijf.nl) in te voeren. U hebt de waarde voor de Adobe Connect-host ingevoerd in het scherm Serverinstellingen van de toepassingsbeheerconsole.

  2. Selecteer het tabblad Beheer. Klik op Gebruikers en groepen. Klik op Aanmelding- en wachtwoordregels bewerken.
  3. Selecteer in het gedeelte Aanmeldingsbeleid bij E-mailadres gebruiken als aanmelding de optie Nee.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid