Domanda

Per abilitare l’autenticazione SSO con CQ5, in genere è necessaria un’autorità di terza parte che pre-autentichi un utente prima che una richiesta venga inoltrata a CQ5. Come si può ottenere questo risultato con IIS o Apache 2.x?

 

Risposta, Soluzione

Come prerequisito, SSO deve essere abilitato sia su CQ5 che CRX. Fai riferimento a questo articolo kb-article su come configurarlo.

Questo articolo descrive come integrare l’autenticazione Windows NTLM attraverso Apache e IIS con CQ5 per consentire l’accesso SSO a un’istanza di authoring CQ5. Si presume che sia in atto un’impostazione attiva del Dispatcher collegato all’istanza CQ5.

 

IIS

Microsoft IIS fornisce già il supporto integrato per l’autenticazione NTLM che può essere attivata tramite configurazione:

  • attiva l’autenticazione integrata di Windows nella scheda Directory Security di IIS per l’istanza CQ servita da questo server IIS
  • abilita le variabili del server a essere trasmesse insieme alla richiesta come intestazioni
  • assicurati che il tuo sito Web sia elencato nell’area Intranet nelle impostazioni di sicurezza di IE

Per abilitare le variabili del server, modifica il file disp_iis.ini e imposta le variabili del server a 1. Questo collegamento fornisce un elenco di variabili disponibili in IIS.
Le intestazioni tipiche sono REMOTE_USER o LOGON_USER. Assicurati che il valore dell’ID utente corrisponda agli ID degli utenti in CQ.

 

Apache

Apache richiede un modulo aggiuntivo per abilitare l’autenticazione NTLM chiamato mod_auth_sspi. L'ID dell'utente Windows corrente può quindi essere estratto dalla variabile d'ambiente REMOTE_USER di Apache che viene inviata come intestazione della richiesta.

Esempio di configurazione di httpd.conf:

LoadModule sspi_auth_module modules/mod_auth_sspi.so <VirtualHost *:80> ServerAdmin webmaster@xyz.com DocumentRoot "C:/Apache2.2/htdocs" ServerName localhost ErrorLog "logs/error.log" KeepAlive On <Location /> SetHandler dispatcher-handler AuthName "A Protected Place" AuthType SSPI SSPIAuth On SSPIUsernameCase lower require valid-user </Location> </VirtualHost>

 

Nota: il modulo mod_auth_sspi Apache funziona solo con la versione Windows di Apache 2.x.

Per le installazioni Linux, le soluzioni possibili sono mod_ntlm, o mod_headers.

 

Si applica a

CQ 5.x

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online