O logon único é um mecanismo que permite que um usuário se autentique uma vez e obtenha acesso a vários aplicativos. O logon único usa um servidor proxy para autenticar os usuários, de forma que eles não precisem fazer logon no Adobe Connect.
O Adobe Connect oferece suporte aos seguintes mecanismos de logon único:
Autenticação do cabeçalho HTTP
Configure um proxy de autenticação para interceptar a solicitação HTTP, analisar as credenciais do usuário no cabeçalho e passá-las para o Adobe Connect.
Autenticação do Microsoft NT LAN Manager (NTLM)
Configure o Adobe Connect para tentar conectar automaticamente clientes autenticados em um controlador de domínio do Windows, usando o protocolo NTLMv1. O Microsoft Internet Explorer no Microsoft Windows pode negociar autenticação NTLM sem pedir as credenciais do usuário.
Observação:
A autenticação NTLM não funciona em servidores de borda. Use o método de autenticação LDAP.
Observação:
Os clientes Mozilla Firefox podem negociar uma autenticação NTLM sem solicitação. Para obter informações sobre configuração, consulte este documento do Firefox.
Você também pode escrever seu próprio filtro de autenticação. Para obter mais informações, entre em contato com o Suporte da Adobe.
Quando a autenticação do cabeçalho HTTP é configurada, as solicitações de logon do Adobe Connect são encaminhadas a um agente posicionado entre o cliente e o Adobe Connect. O agente pode ser um proxy de autenticação ou um software que autentique o usuário, adicione outro cabeçalho à solicitação HTTP e a envie ao Adobe Connect. No Adobe Connect, você deve excluir as barras de comentário do filtro de Java e configurar um parâmetro no arquivo custom.ini, que especifica o nome do cabeçalho HTTP adicional.
Para ativar a autenticação do cabeçalho HTTP, configure um mapeamento do filtro Java e um parâmetro de cabeçalho no computador que hospeda o Adobe Connect.
O código de autenticação deve autenticar o usuário, adicionar um campo ao cabeçalho HTTP que contiver o logon do usuário e enviar uma solicitação ao Adobe Connect.
-
http://example.com/system/login
-
Redirecione o usuário para o URL solicitado no Adobe Connect e passe o cookie BREEZESESSION como valor do parâmetro session, da seguinte forma:
http://example.com?session=BREEZESESSION
Observação:
Você deve passar o cookie BREEZESESSION em todas as solicitações posteriores do Adobe Connect durante esta sessão do cliente.
O procedimento a seguir descreve um exemplo da implementação da autenticação do cabeçalho HTTP que usa o Apache como agente de autenticação.
O NTLMv1 é um protocolo de autenticação usado com o protocolo de rede SMB nas redes do Microsoft Windows. Você pode usar o NTLM para permitir que um usuário forneça sua identidade para um domínio do Windows uma vez e posteriormente para ser autorizado a acessar outro recurso de rede, como o Adobe Connect. Para estabelecer as credenciais de usuário, o navegador da Web do usuário gera automaticamente uma contestação e uma resposta de autenticação com o controlador de domínio através do Adobe Connect. Se esse mecanismo falhar, o usuário poderá fazer logon diretamente no Adobe Connect. Somente o Internet Explorer no Windows oferece suporte a single sign-on com autenticação NTLMv1.
Observação:
Configure o Adobe Connect e o NTLM no Windows 2003, pois o Adobe Connect é compatível com NTLM v1. Além disso, o Windows 7 e versões posteriores não são compatíveis com o NTLM v1 SSO.
Observação:
Por padrão, os controladores de domínio do Windows Server 2003 exigem um recurso de segurança chamado assinaturas SMB. A configuração padrão do filtro de autenticação NTLM não é compatível com as assinaturas SMB. Você pode configurar o filtro para funcionar com esse requisito. Para obter mais informações sobre essa e outras opções de configuração avançada, consulte a documentação de autenticação JCIFS NTLM HTTP.
-
Sincronize usuários do LDAP de seu domínio no Adobe Connect via 8510 Management Console. Para integrar o Adobe Connect com o LDAP, consulte Integrar o Adobe Connect com um diretório LDAP.
Observação:
Depois de sincronizar o LDAP no Adobe Connect, filtre os dados do LDAP de forma que o nome de usuário do domínio NTLM seja preenchido no banco de dados do Adobe Connect. Caso contrário, o login de SSO do NTLM não funciona e você observa falhas de logon no debug.log.
-
Abra o arquivo [dir_instalação_raiz]\custom.ini no editor de texto e adicione os seguintes parâmetros:
O valor [domain] é o nome do domínio do Windows dos quais os usuários são membros e nos quais eles são autenticados, por exemplo, CORPNET. Se necessário, defina esse valor com o nome de domínio de uma versão compatível anterior ao Windows 2000. Para obter mais informações, consulte TechNote 27e73404. Esse valor é mapeado para a propriedade de filtro jcifs.smb.client.domain. Configurar o valor diretamente no arquivo web.xml substitui o valor no arquivo custom.ini.
O valor [WINS_server_IP_address] é o endereço IP ou uma lista separada por vírgulas de endereços IP de servidores WINS. Use o endereço IP, o nome de host não funciona. Os servidores WINS são consultados na ordem especificada para resolver o endereço IP de um controlador de domínio especificado no parâmetro NTLM_DOMAIN. O controlador de domínio autentica usuários. Você também pode especificar o endereço IP do controlador de domínio, por exemplo, 10.169.10.77, 10.169.10.66. Esse valor é mapeado para a propriedade de filtro jcifs.netbios.wins. Configurar o valor no arquivo web.xml substitui o valor no arquivo custom.ini.
O Adobe Connect e o NTLM têm políticas de logon diferentes para a autenticação de usuários. Concilie essas políticas antes de implantar um logon único.
O protocolo NTLM usa um identificador de logon, que pode ser um nome de usuário (jsilva), uma ID de funcionário (1234) ou um nome criptografado, dependendo da política ou da organização. Por padrão, o Adobe Connect usa um endereço de e-mail (jsilva@minhaempresa.com) como identificador do logon. Altere a política de logon do Adobe Connect para que ele compartilhe um identificador exclusivo com NTLM.