Единый вход — это функция, позволяющая пользователям, пройдя проверку подлинности один раз, получить доступ к нескольким приложениями. При однократной регистрации для проверки подлинности пользователей используется прокси-сервер, благодаря чему пользователям не нужно входить в Adobe Connect.
Adobe Connect поддерживает следующие механизмы однократной регистрации.
Проверка подлинности заголовка HTTP
Настройте прокси-сервер проверки подлинности на отсечение запроса HTTP, выполнение синтаксического анализа учетных данных пользователя из заголовка и передачу этих учетных данных в Adobe Connect.
Проверка подлинности протокола Microsoft NT LAN Manager (NTLM)
Настройте Adobe Connect так, чтобы в контроллере домена Windows автоматически выполнялась проверка подлинности подключающихся клиентов с использованием протокола NTLMv1. Microsoft Internet Explorer в ОС Microsoft Windows может проводить проверку подлинности NTLM без запроса учетных данных пользователя.
Примечание.
Проверка подлинности NTLM не работает на пограничных серверах. Вместо этого используйте проверку подлинности LDAP.
Примечание.
Клиенты Mozilla Firefox можно настроить для выполнения проверки подлинности NTLM без запросов. Сведения о настройке приведены в этом документе Firefox.
Также можно создать свой собственный фильтр проверки подлинности. Для получения дополнительной информации обратитесь в службу поддержки Adobe.
После настройки проверки подлинности заголовка HTTP запросы Adobe Connect на имя для входа передаются в агент, расположенный между клиентом и Adobe Connect. Этим агентом может быть прокси-сервер проверки подлинности или приложение, выполняющие проверку подлинности пользователей, добавляющие еще один заголовок к запросу HTTP и отправляющие запрос в Adobe Connect. В Adobe Connect необходимо убрать знак комментария для Java-фильтра и настроить в файле custom.ini параметр, определяющий имя дополнительного заголовка HTTP.
Чтобы включить проверку подлинности заголовка HTTP, на компьютере, где размещен сервер Adobe Connect, настройте сопоставление Java-фильтра и параметр заголовка.
Код проверки подлинности должен проверять подлинность пользователя, добавлять поле к заголовку HTTP, содержащему имя для входа пользователя, и отправлять запрос в Adobe Connect.
-
http://example.com/system/login
-
Перенаправьте пользователя к запрошенному URL-адресу в Adobe Connect и передайте файл cookie BREEZESESSION в качестве значения параметра session следующим образом.
http://example.com?session=BREEZESESSION
Примечание.
Необходимо передать файл cookie BREEZESESSION в любом последующем запросе, направленном в Adobe Connect во время данного сеанса клиента.
Следующая процедура описывает пример применения проверки подлинности заголовка HTTP, при котором Apache используется в качестве агента проверки подлинности.
NTLMv1 — это протокол проверки подлинности, используемый вместе с протоколом SMB в сетях Microsoft Windows. С помощью протокола NTLM можно разрешить пользователям один раз пройти проверку подлинности в домене Windows и затем получить доступ к другим сетевым ресурсам, например Adobe Connect. Чтобы задать учетные данные пользователя, браузер автоматически выполняет проверку подлинности методом вызова и ответа на контроллере домена посредством Adobe Connect. Если этот механизм не срабатывает, пользователь может выполнить вход непосредственно в Adobe Connect. Только Internet Explorer в ОС Windows поддерживает систему единого входа для проверки подлинности NTLMv1.
Примечание.
Настройте Adobe Connect и NTLM в Windows 2003, так как Adobe Connect поддерживает NTLM версии 1. Кроме того, Windows 7 и более поздние версии не поддерживают NTLM 1 SSO.
Примечание.
По умолчанию контроллеры домена Windows Server 2003 требуют использования функции безопасности под названием подпись SMB. Стандартная конфигурация фильтра проверки подлинности NTLM не поддерживает подписи SMB. Однако, фильтр можно настроить в соответствии с данным требованием. Дополнительные сведения об этом и других дополнительных параметрах настройки см. в документации по проверке подлинности JCIFS NTLM HTTP.
-
Синхронизируйте пользователей LDAP из вашего домена в Adobe Connect с помощью Консоли управления 8510. Сведения об интеграции Adobe Connect с LDAP приведены в разделе Интеграция Adobe Connect с каталогом LDAP.
Примечание.
После синхронизации LDAP в Adobe Connect, отфильтруйте данные LDAP так, чтобы имя пользователя домена NTLM Domain было внесено в базу данных Adobe Connect. В противном случае система единого входа NTLM SSO не будет работать, а в файле debug.log появятся записи об ошибке входа.
-
Откройте файл [корневой_каталог_установки]\custom.ini в текстовом редакторе и добавьте следующие параметры.
Значением параметра [domain] является имя домена Windows, на котором пользователи зарегистрированы и проходят проверку подлинности, например CORPNET. При необходимости выберите в качестве значения этого параметра версию доменного имени, совместимую с операционными системами до Windows 2000. Подробные сведения приведены в технической статье 27e73404. Это значение сопоставляется со свойством фильтра jcifs.smb.client.domain. Значение, заданное непосредственно в файле web.xml, переопределяет значение в файле custom.ini.
Значение [WINS_server_IP_address] представляет IP-адрес или список IP-адресов серверов WINS, разделенных запятыми. Используйте IP-адрес, имя узла для этого не подходит. Серверы WINS опрашиваются в установленном порядке для разрешения IP-адреса контроллера домена для домена, заданного в параметре NTLM_DOMAIN. (Контроллер домена выполняет проверку подлинности пользователей.) Также можно указать IP-адрес самого контроллера домена, например 10.169.10.77, 10.169.10.66. Это значение сопоставляется со свойством фильтра jcifs.netbios.wins. Значение, заданное в файле web.xml, переопределяет значение в файле custom.ini.
Adobe Connect и NTLM используют разные политики входа для проверки подлинности пользователей. Необходимо выполнить согласование этих политик, прежде чем пользователи смогут использовать систему единого входа.
Протокол NTLM использует идентификатор для входа, который может быть именем пользователя (ivanov), идентификационным номером сотрудника (1234) или зашифрованным именем в зависимости от политики или организации. По умолчанию Adobe Connect использует в качестве имени для входа электронный адрес (ivanov@moya_kompania.ru). Измените политику входа Adobe Connect, чтобы Adobe Connect и NTLM использовали одинаковый идентификатор.