Question

Afin d’activer l’authentification SSO avec CQ5, une autorité tierce est généralement requise pour pré-authentifier un utilisateur avant qu’une requête ne soit transmise à CQ5. Comment cela peut-il être réalisé avec IIS ou Apache 2.x ?

 

Réponse, résolution

En tant que condition préalable, SSO doit également être activé dans CQ5 et CRX également. Reportez-vous à ce kb-article pour la manière de configurer ceci.

Cet article décrit comment intégrer l’authentification Windows NTLM via Apache et avec IIS avec CQ5 pour activer l’accès SSO à une instance de création CQ5. On suppose qu'une configuration opérationnelle du Dispatcher relié à une instance CQ5 est en place.

 

IIS

Microsoft IIS fournit déjà un support intégré pour l'authentification NTLM qui peut être activée par configuration :

  • Activez l'authentification intégrée de Windows sous l'onglet Sécurité du répertoire d'IIS pour l'instance CQ alimentée par ce serveur IIS.
  • Autorisez la transmission des variables serveur avec la requête sous forme d'en -têtes
  • Assurez-vous que votre site Web est répertorié dans la zone Intranet des paramètres de sécurité IE.

Pour activer les variables serveur, modifiez le fichier disp_iis.ini et fixez les variables serveur sur 1. Ce lien fournit une liste de variables disponible dans IIS.
Les en-têtes habituelles sont REMOTE_USER ou LOGON_USER. Assurez-vous que la valeur de la propriété user-ID correspond aux ID des utilisateurs dans CQ.

 

Apache

Apache nécessite un module supplémentaire afin de permettre l’authentification NTLM appelé mod_auth_sspi. L’ID de l'utilisateur Windows actuel peut ensuite être extrait de la variable d'environnement d’Apache REMOTE_USER, envoyée sous l'en-tête de requête.

Exemple de configuration de httpd.conf :

LoadModule sspi_auth_module modules/mod_auth_sspi.so <VirtualHost *:80> ServerAdmin webmaster@xyz.com DocumentRoot "C:/Apache2.2/htdocs" ServerName localhost ErrorLog "logs/error.log" KeepAlive On <Location /> SetHandler dispatcher-handler AuthName "A Protected Place" AuthType SSPI SSPIAuth On SSPIUsernameCase lower require valid-user </Location> </VirtualHost>

 

Remarque : Le module Apache mod_auth_sspi fonctionne uniquement avec la version Windows Apache 2.x.

Pour les installations sur Linux, les solutions possibles sont soit mod_ntlm ou mod_headers .

 

S’applique à

CQ5.x.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne