Single Sign-On è un meccanismo che consente agli utenti di effettuare il login in più applicazioni autenticandosi una sola volta. Single Sign-On usa un server proxy per l’autenticazione degli utenti in modo che questi non debbano accedere ad Adobe Connect.
Adobe Connect supporta le soluzioni di Single Sign-On seguenti:
Autenticazione dell’intestazione HTTP
Configura un proxy di autenticazione per intercettare le richieste HTTP, analizzare le credenziali utente dall’intestazione e passarle ad Adobe Connect.
Autenticazione Microsoft NT LAN Manager (NTLM)
Configurate Adobe Connect in modo che tenti l'autenticazione automatica dei client che si connettono con un controller di dominio Windows mediante il protocollo NTLMv1. Microsoft Internet Explorer in Microsoft Windows è in grado di negoziare l'autenticazione NTLM senza richiedere le credenziali all'utente.
Nota:
L'autenticazione NTLM non funziona sui server periferici. Utilizza l'autenticazione LDAP.
Nota:
I client Mozilla Firefox potrebbero essere in grado di negoziare l'autenticazione senza richieste. Per informazioni sulla configurazione, consulta questo documento Firefox.
Puoi inoltre creare un filtro di autenticazione personalizzato. Per ulteriori informazioni, contatta il supporto Adobe.
Quando è configurata l’autenticazione dell’intestazione HTTP, le richieste di login di Adobe Connect vengono instradate a un agente posizionato tra il client e Adobe Connect. L’agente può essere un proxy di autenticazione o un’applicazione software che esegue l’autenticazione dell’utente, aggiunge un’altra intestazione alla richiesta HTTP e invia la richiesta ad Adobe Connect. In Adobe Connect dovete rimuovere il commento a un filtro Java e configurare un parametro nel file custom.ini che specifica il nome dell’intestazione HTTP aggiuntiva.
Per attivare l’autenticazione dell’intestazione HTTP, configura una mappatura di filtro Java e un parametro di intestazione nel computer in cui è installato Adobe Connect.
Il codice di autenticazione deve autenticare l’utente, aggiungere un campo all’intestazione HTTP che contiene il login utente e inviare una richiesta ad Adobe Connect.
-
http://example.com/system/login
-
Reindirizza l’utente all’URL richiesto su Adobe Connect e passa il cookie BREEZESESSION come valore del parametro session, come indicato di seguito:
http://example.com?session=BREEZESESSION
Nota:
Devi passare il cookie BREEZESESSION in tutte le richieste successive ad Adobe Connect durante la sessione client.
Nella seguente procedura viene descritto un esempio di implementazione di autenticazione dell’intestazione HTTP che usa Apache come agente di autenticazione.
NTLMv1 è un protocollo di autenticazione utilizzato con il protocollo di rete SMB nelle reti Microsoft Windows. Potete utilizzare il protocollo NTLM per consentire a un utente di dimostrare la propria identità in un dominio Windows solo dopo essere stato autorizzato ad accedere a un'altra risorsa di rete, come Adobe Connect. Per stabilire le credenziali dell'utente, il browser Web dell'utente esegue automaticamente un'autenticazione di tipo challenge/response con il controller del dominio attraverso Adobe Connect. Se questo meccanismo ha esito negativo, l’utente può accedere direttamente ad Adobe Connect. Solo Internet Explorer su Windows supporta l'accesso unico con l'autenticazione NTLMv1.
Nota:
Impostate Adobe Connect e NTLM su Windows 2003, in quanto Adobe Connect supporta NTLM v1. Windows 7 e le versioni successive non supportano NTLM v1 SSO.
Nota:
Per impostazione predefinita, i controller del dominio di Windows Server 2003 richiedono una funzione di sicurezza denominata firme SMB. La configurazione predefinita del filtro di autenticazione NTLM non supporta le firme SMB. Puoi configurare il filtro in modo che funzioni con questo requisito. Per ulteriori informazioni su questa e altre opzioni di configurazione avanzate, consulta la documentazione di autenticazione JCIFS NTLM HTTP.
-
Sincronizzate gli utenti LDAP dal dominio in Adobe Connect mediante la console di gestione 8510. Per integrare Adobe Connect con LDAP, consulta Integrazione di Adobe Connect con una directory LDAP.
Nota:
Al termine della sincronizzazione di LDAP in Adobe Connect, filtra i dati LDAP in modo che il nome utente del dominio NTLM sia popolato nel database di Adobe Connect. In caso contrario, il login a SSO NTLM non funziona e si verificano degli errori di accesso al file debug.log.
-
Il valore [dominio] è il nome del dominio Windows a cui appartengono gli utenti e con cui eseguono l'autenticazione, ad esempio, RETEAZIENDA. Se necessario, imposta questo valore alla versione compatibile precedente a Windows 2000 del nome di dominio. Per ulteriori informazioni, consulta la nota tecnica 27e73404. Il valore viene mappato sulla proprietà del filtro jcifs.smb.client.domain. Se il valore viene impostato direttamente nel file web.xml, sostituisce anche il valore nel file custom.ini.
Il valore [WINS_server_IP_address] corrisponde all'indirizzo IP o a un elenco di indirizzi IP separati da virgole dei server WINS. Utilizza l'indirizzo IP, il nome host non funziona. I server WINS vengono interrogati nell'ordine specificato per risolvere l'indirizzo IP di un controller di dominio specificato nel parametro NTLM_DOMAIN. (Il controller di dominio esegue l'autenticazione degli utenti). Inoltre puoi specificare l'indirizzo IP del controller di dominio stesso, ad esempio 10.169.10.77, 10.169.10.66. Questo valore viene mappato alle proprietà del filtro jcifs.netbios.wins. Se il valore viene impostato nel file web.xml, sostituisce anche il valore nel file custom.ini.
Adobe Connect e NTLM hanno criteri di login diversi per l'autenticazione degli utenti. Questi criteri vanno conformati prima che gli utenti possano utilizzare un unico login.
A seconda dei criteri utilizzati, il protocollo NTLM usa un identificatore di login che può essere un nome utente (mrossi), un ID di dipendente (1234) o un nome crittografato. Per impostazione predefinita, Adobe Connect utilizza un indirizzo e-mail (mrossi@miaazienda.com) come identificatore di login. Modificate i criteri di login di Adobe Connect in modo che possa condividere un unico identificativo con NTLM.