Configurazione di Single Sign-On (SSO) per l’account Adobe Connect

Cerca
Adobe Connect Guida utente

Su questa pagina

Prodotti interessati: Adobe Connect 10 Adobe Connect 9

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Scopri come gli amministratori possono configurare il Single Sign-On (SSO) per un account Adobe Connect per l’autenticazione tramite server proxy o NTLM.

Informazioni su Single Sign-On

Single Sign-On è un meccanismo che consente agli utenti di effettuare il login in più applicazioni autenticandosi una sola volta. Single Sign-On usa un server proxy per l’autenticazione degli utenti in modo che questi non debbano accedere ad Adobe Connect.

Adobe Connect supporta le soluzioni di Single Sign-On seguenti:

Autenticazione dell’intestazione HTTP

Configura un proxy di autenticazione per intercettare le richieste HTTP, analizzare le credenziali utente dall’intestazione e passarle ad Adobe Connect.

Autenticazione Microsoft NT LAN Manager (NTLM)

Configurate Adobe Connect in modo che tenti l'autenticazione automatica dei client che si connettono con un controller di dominio Windows mediante il protocollo NTLMv1. Microsoft Internet Explorer in Microsoft Windows è in grado di negoziare l'autenticazione NTLM senza richiedere le credenziali all'utente.

Nota:

L'autenticazione NTLM non funziona sui server periferici. Utilizza l'autenticazione LDAP.

Nota:

I client Mozilla Firefox potrebbero essere in grado di negoziare l'autenticazione senza richieste. Per informazioni sulla configurazione, consulta questo documento Firefox.

Puoi inoltre creare un filtro di autenticazione personalizzato. Per ulteriori informazioni, contatta il supporto Adobe.

Configurare l’autenticazione dell’intestazione HTTP

Quando è configurata l’autenticazione dell’intestazione HTTP, le richieste di login di Adobe Connect vengono instradate a un agente posizionato tra il client e Adobe Connect. L’agente può essere un proxy di autenticazione o un’applicazione software che esegue l’autenticazione dell’utente, aggiunge un’altra intestazione alla richiesta HTTP e invia la richiesta ad Adobe Connect. In Adobe Connect dovete rimuovere il commento a un filtro Java e configurare un parametro nel file custom.ini che specifica il nome dell’intestazione HTTP aggiuntiva.

Configurare l’autenticazione dell’intestazione HTTP su Adobe Connect

Per attivare l’autenticazione dell’intestazione HTTP, configura una mappatura di filtro Java e un parametro di intestazione nel computer in cui è installato Adobe Connect.

  1. Apri il file [root_install_dir]\appserv\web\WEB-INF\web.xml ed effettua quanto segue:

    1. Rimuovete i tag dei commenti dal filtro e dagli elementi di mappatura del filtro per HeaderAuthenticationFilter.

    2. Aggiungete i tag dei commenti al filtro NtlmAuthenticationFilter e agli elementi di mappatura del filtro.

  2. Arresta Adobe Connect Central Application Server e Meeting Server.

  3. Aggiungi la riga seguente al file custom.ini. L’agente di autenticazione deve aggiungere un’intestazione alla richiesta HTTP inviata ad Adobe Connect. Il nome dell’intestazione deve essere nome_campo_intestazione.

    HTTP_AUTH_HEADER=header_field_name

    L’agente di autenticazione deve aggiungere un’intestazione alla richiesta HTTP inviata ad Adobe Connect. Il nome dell’intestazione deve essere nome_campo_intestazione.

  4. Salva il file custom.ini e riavvia Adobe Connect Meeting Server e Adobe Connect Central Application Server.

Scrivere il codice di autenticazione

Il codice di autenticazione deve autenticare l’utente, aggiungere un campo all’intestazione HTTP che contiene il login utente e inviare una richiesta ad Adobe Connect.

  1. Imposta il valore del campo dell’intestazione header_field_name su un login utente di Adobe Connect.

  2. Invia una richiesta HTTP ad Adobe Connect al seguente URL:
    http://example.com/system/login

    Il filtro Java in Adobe Connect intercetta la richiesta, cerca l’intestazione header_field_name, quindi un utente con l’ID passato nell’intestazione. Una volta individuato, l'utente viene autenticato e viene inviata una risposta.

  3. Nel contenuto HTTP della risposta di Connect, individuate la stringa "OK" che indica l’esito positivo dell’autenticazione.
  4. Nella risposta di Connect, verificate la presenza del cookie BREEZESESSION.
  5. Reindirizza l’utente all’URL richiesto su Adobe Connect e passa il cookie BREEZESESSION come valore del parametro session, come indicato di seguito:
    http://example.com?session=BREEZESESSION

    Nota:

    Devi passare il cookie BREEZESESSION in tutte le richieste successive ad Adobe Connect durante la sessione client.

Configurare l’autenticazione dell’intestazione HTTP con Apache

Nella seguente procedura viene descritto un esempio di implementazione di autenticazione dell’intestazione HTTP che usa Apache come agente di autenticazione.

  1. Installate Apache come proxy inverso su un computer diverso da quello in cui è installato Adobe Connect.

  2. Scegli Start > Programmi > Apache HTTP Server > Configure Apache Server > Edit the Apache httpd.conf Configuration file ed effettua quanto segue:

    1. Rimuovi il commento dalle seguenti linee:

      • LoadModule headers_module modules/mod_headers.so
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_connect_module modules/mod_proxy_connect.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so

    2. Aggiungi le seguenti righe alla fine del file:

      RequestHeader append custom-auth "ext-login"
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://hostname:[port]/
ProxyPassReverse / http://[hostname]:[port]/
ProxyPreserveHost On

  3. Arresta Adobe Connect Central Application Server e Adobe Connect Meeting Server.

  4. Aggiungi quanto segue al file custom.ini. Il parametro HTTP_AUTH_HEADER deve corrispondere al nome configurato nel proxy. Il parametro è l’intestazione HTTP aggiuntiva.

    HTTP_AUTH_HEADER=custom-auth

  5. Salva il file custom.ini e riavvia Adobe Connect Meeting Server e Central Application Server.

  6. Apri il file [root_install_dir]\appserv\web\WEB-INF\web.xml e rimuovi il commento nei filtri HeaderAuthenticationFilter e NtlmAuthenticationFilter completi.

Configurare l'autenticazione NTLM

NTLMv1 è un protocollo di autenticazione utilizzato con il protocollo di rete SMB nelle reti Microsoft Windows. Potete utilizzare il protocollo NTLM per consentire a un utente di dimostrare la propria identità in un dominio Windows solo dopo essere stato autorizzato ad accedere a un'altra risorsa di rete, come Adobe Connect. Per stabilire le credenziali dell'utente, il browser Web dell'utente esegue automaticamente un'autenticazione di tipo challenge/response con il controller del dominio attraverso Adobe Connect. Se questo meccanismo ha esito negativo, l’utente può accedere direttamente ad Adobe Connect. Solo Internet Explorer su Windows supporta l'accesso unico con l'autenticazione NTLMv1.

Nota:

Impostate Adobe Connect e NTLM su Windows 2003, in quanto Adobe Connect supporta NTLM v1. Windows 7 e le versioni successive non supportano NTLM v1 SSO.

Nota:

Per impostazione predefinita, i controller del dominio di Windows Server 2003 richiedono una funzione di sicurezza denominata firme SMB. La configurazione predefinita del filtro di autenticazione NTLM non supporta le firme SMB. Puoi configurare il filtro in modo che funzioni con questo requisito. Per ulteriori informazioni su questa e altre opzioni di configurazione avanzate, consulta la documentazione di autenticazione JCIFS NTLM HTTP.

Aggiungere parametri di configurazione

Effettuate le seguenti operazioni per ciascun host presente in un cluster Adobe Connect:

  1. Sincronizzate gli utenti LDAP dal dominio in Adobe Connect mediante la console di gestione 8510. Per integrare Adobe Connect con LDAP, consulta Integrazione di Adobe Connect con una directory LDAP.

    Nota:

    Al termine della sincronizzazione di LDAP in Adobe Connect, filtra i dati LDAP in modo che il nome utente del dominio NTLM sia popolato nel database di Adobe Connect. In caso contrario, il login a SSO NTLM non funziona e si verificano degli errori di accesso al file debug.log.

  2. Modifica i criteri di accesso per Adobe Connect per modificare l’accesso al nome utente del DOMINIO. Per impostazione predefinita, al contrario di Adobe Connect, NTLM non consente il login utilizzando l’e-mail.

  3. Apri il file [root_install_dir]\custom.ini in un editor di testo e aggiungi i seguenti parametri:

    NTLM_DOMAIN=[domain]
    NTLM_SERVER=[WINS_server_IP_address]

    Il valore [dominio] è il nome del dominio Windows a cui appartengono gli utenti e con cui eseguono l'autenticazione, ad esempio, RETEAZIENDA. Se necessario, imposta questo valore alla versione compatibile precedente a Windows 2000 del nome di dominio. Per ulteriori informazioni, consulta la nota tecnica 27e73404. Il valore viene mappato sulla proprietà del filtro jcifs.smb.client.domain. Se il valore viene impostato direttamente nel file web.xml, sostituisce anche il valore nel file custom.ini.

    Il valore [WINS_server_IP_address] corrisponde all'indirizzo IP o a un elenco di indirizzi IP separati da virgole dei server WINS. Utilizza l'indirizzo IP, il nome host non funziona. I server WINS vengono interrogati nell'ordine specificato per risolvere l'indirizzo IP di un controller di dominio specificato nel parametro NTLM_DOMAIN. (Il controller di dominio esegue l'autenticazione degli utenti). Inoltre puoi specificare l'indirizzo IP del controller di dominio stesso, ad esempio 10.169.10.77, 10.169.10.66. Questo valore viene mappato alle proprietà del filtro jcifs.netbios.wins. Se il valore viene impostato nel file web.xml, sostituisce anche il valore nel file custom.ini.

  4. Salvate il file custom.ini. 

  5. Apri il file [root_install_dir]\appserv\web\WEB-INF\web.xml in un editor di testo e rimuovi i commenti:

    • gli elementi NtlmAuthenticationFilter e filter-mapping completi
    • il filtro HeaderAuthenticationFilter e gli elementi filter-mapping completi

  6. Salva il file web.xml e riavvia Adobe Connect Server.

Riconciliare i criteri di login

Adobe Connect e NTLM hanno criteri di login diversi per l'autenticazione degli utenti. Questi criteri vanno conformati prima che gli utenti possano utilizzare un unico login.

A seconda dei criteri utilizzati, il protocollo NTLM usa un identificatore di login che può essere un nome utente (mrossi), un ID di dipendente (1234) o un nome crittografato. Per impostazione predefinita, Adobe Connect utilizza un indirizzo e-mail (mrossi@miaazienda.com) come identificatore di login. Modificate i criteri di login di Adobe Connect in modo che possa condividere un unico identificativo con NTLM.

  1. Aprite Adobe Connect Central.

    Per aprire Adobe Connect Central, aprite una finestra del browser e inserite l'FQDN dell'host di Adobe Connect (ad esempio, http://connect.mycompany.com). Il valore host di Adobe Connect è stato immesso nella schermata Impostazioni server della console di gestione applicazione.

  2. Selezionate la scheda Amministrazione. Fate clic su Utenti e gruppi. Fate clic su Modifica criteri di login e password.

  3. Nella sezione Criterio di login, seleziona No per l’utilizzo dell’indirizzo e-mail come login.