Configuração de logon único (SSO) da conta do Adobe Connect

Pesquisar
Adobe Connect Guia do Usuário

Nesta página

Aplica-se a: Adobe Connect 10 Adobe Connect 9

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Como os administradores podem configurar o logon único (SSO) de uma conta do Adobe Connect para autenticação através de um servidor proxy ou NTLM.

Sobre o logon único

O logon único é um mecanismo que permite que um usuário se autentique uma vez e obtenha acesso a vários aplicativos. O logon único usa um servidor proxy para autenticar os usuários, de forma que eles não precisem fazer logon no Adobe Connect.

O Adobe Connect oferece suporte aos seguintes mecanismos de logon único:

Autenticação do cabeçalho HTTP

Configure um proxy de autenticação para interceptar a solicitação HTTP, analisar as credenciais do usuário no cabeçalho e passá-las para o Adobe Connect.

Autenticação do Microsoft NT LAN Manager (NTLM)

Configure o Adobe Connect para tentar conectar automaticamente clientes autenticados em um controlador de domínio do Windows, usando o protocolo NTLMv1. O Microsoft Internet Explorer no Microsoft Windows pode negociar autenticação NTLM sem pedir as credenciais do usuário.

Observação:

A autenticação NTLM não funciona em servidores de borda. Use o método de autenticação LDAP.

Observação:

Os clientes Mozilla Firefox podem negociar uma autenticação NTLM sem solicitação. Para obter informações sobre configuração, consulte este documento do Firefox.

Você também pode escrever seu próprio filtro de autenticação. Para obter mais informações, entre em contato com o Suporte da Adobe.

Configurar a autenticação do cabeçalho HTTP

Quando a autenticação do cabeçalho HTTP é configurada, as solicitações de logon do Adobe Connect são encaminhadas a um agente posicionado entre o cliente e o Adobe Connect. O agente pode ser um proxy de autenticação ou um software que autentique o usuário, adicione outro cabeçalho à solicitação HTTP e a envie ao Adobe Connect. No Adobe Connect, você deve excluir as barras de comentário do filtro de Java e configurar um parâmetro no arquivo custom.ini, que especifica o nome do cabeçalho HTTP adicional.

Configurar a autenticação de cabeçalho HTTP no Adobe Connect

Para ativar a autenticação do cabeçalho HTTP, configure um mapeamento do filtro Java e um parâmetro de cabeçalho no computador que hospeda o Adobe Connect.

  1. Abra o arquivo [dir_instalação_raiz]\appserv\web\WEB-INF\web.xml e faça o seguinte:

    1. Remova as marcas de comentário em torno dos elementos de mapeamento de filtro e filtro para HeaderAuthenticationFilter.

    2. Adicione marcas de comentário em torno do filtro filtroNtlmAuthenticationFilter e elementos de mapeamento de filtro.

  2. Pare o Adobe Connect Central Application Server e o Meeting Server.

  3. Adicione a seguinte linha ao arquivo custom.ini. Seu agente de autenticação deverá adicionar uma solicitação HTTP, que será enviada ao Adobe Connect. O nome do cabeçalho deverá ser nome_campo_cabeçalho.

    HTTP_AUTH_HEADER=header_field_name

    Seu agente de autenticação deverá adicionar uma solicitação HTTP, que será enviada ao Adobe Connect. O nome do cabeçalho deverá ser nome_campo_cabeçalho.

  4. Salve o arquivo custom.ini e reinicie o Adobe Connect Meeting Server e o Adobe Connect Central Application Server.

Escrever o código de autenticação

O código de autenticação deve autenticar o usuário, adicionar um campo ao cabeçalho HTTP que contiver o logon do usuário e enviar uma solicitação ao Adobe Connect.

  1. Defina o valor do campo de cabeçalho nome_campo_cabeçalho como um logon de usuário do Adobe Connect.

  2. Envie uma solicitação HTTP ao Adobe Connect no seguinte URL:
    http://example.com/system/login

    O filtro Java do Adobe Connect intercepta a solicitação, procura pelo cabeçalho nome_campo_cabeçalho e procura um usuário com a ID transmitida no cabeçalho. Se o usuário for localizado, ele será autenticado e será enviada uma resposta.

  3. Analise o conteúdo HTTP da resposta do Adobe Connect para obter a string "OK", indicando uma autenticação bem-sucedida.
  4. Analise a resposta do Adobe Connect para obter o cookie BREEZESESSION.
  5. Redirecione o usuário para o URL solicitado no Adobe Connect e passe o cookie BREEZESESSION como valor do parâmetro session, da seguinte forma:
    http://example.com?session=BREEZESESSION

    Observação:

    Você deve passar o cookie BREEZESESSION em todas as solicitações posteriores do Adobe Connect durante esta sessão do cliente.

Configurar a autenticação do cabeçalho HTTP com o Apache

O procedimento a seguir descreve um exemplo da implementação da autenticação do cabeçalho HTTP que usa o Apache como agente de autenticação.

  1. Instale o Apache como proxy reverso em um computador diferente daquele que armazena o Adobe Connect.

  2. Selecione Iniciar > Programas > Apache HTTP Server > Configurar Apache Server > Editar o arquivo de configuração httpd.conf do Apache e execute este procedimento:

    1. Exclua os comentário das seguintes linhas:

      • LoadModule headers_module modules/mod_headers.so
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_connect_module modules/mod_proxy_connect.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so

    2. Adicione as seguintes linhas ao final do arquivo:

      RequestHeader append custom-auth "ext-login"
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://hostname:[port]/
ProxyPassReverse / http://[hostname]:[port]/
ProxyPreserveHost On

  3. Pare o Adobe Connect Central Application Server e o Adobe Connect Meeting Server.

  4. Adicione o seguinte ao arquivo custom.ini. O parâmetro HTTP_AUTH_HEADER deve corresponder ao nome configurado no proxy. O parâmetro é o cabeçalho HTTP adicional.

    HTTP_AUTH_HEADER=custom-auth

  5. Salve o arquivo custom.ini e reinicie o Adobe Connect Meeting Server e Central Application Server.

  6. Abra o arquivo [dir_instalação_raiz]\appserv\web\WEB-INF\web.xml e exclua os comentários do filtro HeaderAuthenticationFilter completo e do filtro NtlmAuthenticationFilter.

Configurar autenticação NTLM

O NTLMv1 é um protocolo de autenticação usado com o protocolo de rede SMB nas redes do Microsoft Windows. Você pode usar o NTLM para permitir que um usuário forneça sua identidade para um domínio do Windows uma vez e posteriormente para ser autorizado a acessar outro recurso de rede, como o Adobe Connect. Para estabelecer as credenciais de usuário, o navegador da Web do usuário gera automaticamente uma contestação e uma resposta de autenticação com o controlador de domínio através do Adobe Connect. Se esse mecanismo falhar, o usuário poderá fazer logon diretamente no Adobe Connect. Somente o Internet Explorer no Windows oferece suporte a single sign-on com autenticação NTLMv1.

Observação:

Configure o Adobe Connect e o NTLM no Windows 2003, pois o Adobe Connect é compatível com NTLM v1. Além disso, o Windows 7 e versões posteriores não são compatíveis com o NTLM v1 SSO.

Observação:

Por padrão, os controladores de domínio do Windows Server 2003 exigem um recurso de segurança chamado assinaturas SMB. A configuração padrão do filtro de autenticação NTLM não é compatível com as assinaturas SMB. Você pode configurar o filtro para funcionar com esse requisito. Para obter mais informações sobre essa e outras opções de configuração avançada, consulte a documentação de autenticação JCIFS NTLM HTTP.

Adicionar parâmetros de configuração

Execute os procedimentos a seguir para cada host de um Adobe Connect:

  1. Sincronize usuários do LDAP de seu domínio no Adobe Connect via 8510 Management Console. Para integrar o Adobe Connect com o LDAP, consulte Integrar o Adobe Connect com um diretório LDAP.

    Observação:

    Depois de sincronizar o LDAP no Adobe Connect, filtre os dados do LDAP de forma que o nome de usuário do domínio NTLM seja preenchido no banco de dados do Adobe Connect. Caso contrário, o login de SSO do NTLM não funciona e você observa falhas de logon no debug.log.

  2. Edite as Políticas de logon do Adobe Connect para alterar o login no nome de usuário DOMAIN. Por padrão, seu e-mail, mas o NTLM não permite e-mail.

  3. Abra o arquivo [dir_instalação_raiz]\custom.ini no editor de texto e adicione os seguintes parâmetros:

    NTLM_DOMAIN=[domain]
    NTLM_SERVER=[WINS_server_IP_address]

    O valor [domain] é o nome do domínio do Windows dos quais os usuários são membros e nos quais eles são autenticados, por exemplo, CORPNET. Se necessário, defina esse valor com o nome de domínio de uma versão compatível anterior ao Windows 2000. Para obter mais informações, consulte TechNote 27e73404. Esse valor é mapeado para a propriedade de filtro jcifs.smb.client.domain. Configurar o valor diretamente no arquivo web.xml substitui o valor no arquivo custom.ini.

    O valor [WINS_server_IP_address] é o endereço IP ou uma lista separada por vírgulas de endereços IP de servidores WINS. Use o endereço IP, o nome de host não funciona. Os servidores WINS são consultados na ordem especificada para resolver o endereço IP de um controlador de domínio especificado no parâmetro NTLM_DOMAIN. O controlador de domínio autentica usuários. Você também pode especificar o endereço IP do controlador de domínio, por exemplo, 10.169.10.77, 10.169.10.66. Esse valor é mapeado para a propriedade de filtro jcifs.netbios.wins. Configurar o valor no arquivo web.xml substitui o valor no arquivo custom.ini.

  4. Salve o arquivo custom.ini. 

  5. Abra o arquivo [dir_instalação_raiz]\appserv\web\WEB-INF\web.xml em um editor de texto e exclua o comentário:

    • de todos os elementos de mapeamento de filtro e de NtlmAuthenticationFilter
    • de todos os elementos de mapeamento de filtro e do filtro HeaderAuthenticationFilter

  6. Salve o arquivo web.xml e reinicie o Adobe Connect Server.

Reconciliar políticas de logon

O Adobe Connect e o NTLM têm políticas de logon diferentes para a autenticação de usuários. Concilie essas políticas antes de implantar um logon único.

O protocolo NTLM usa um identificador de logon, que pode ser um nome de usuário (jsilva), uma ID de funcionário (1234) ou um nome criptografado, dependendo da política ou da organização. Por padrão, o Adobe Connect usa um endereço de e-mail (jsilva@minhaempresa.com) como identificador do logon. Altere a política de logon do Adobe Connect para que ele compartilhe um identificador exclusivo com NTLM.

  1. Abra o Adobe Connect Central.

    Para abrir o Adobe Connect Central, abra uma janela do navegador e digite o FQDN do Host do Adobe Connect (por exemplo, http://connect.exemplo.com). Você inseriu o valor do host do Adobe Connect na tela Configurações do servidor do console de Gerenciamento de Aplicativo.

  2. Selecione a guia Administração. Clique em Usuários e grupos. Clique em Editar políticas de logon e senha.

  3. Na seção Política de logon, selecione Não para Usar o endereço de e-mail como logon.