Настройка однократной регистрации (SSO) для учетной записи Adobe Connect

Поиск
Adobe Connect Руководство пользователя

На этой странице

Применимо к: Adobe Connect 10 Adobe Connect 9

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Узнайте, как администраторы могут настроить систему однократной регистрации (SSO) для учетной записи Adobe Connect для проверки подлинности через прокси-сервер или NTLM.

Об однократной регистрации

Единый вход — это функция, позволяющая пользователям, пройдя проверку подлинности один раз, получить доступ к нескольким приложениями. При однократной регистрации для проверки подлинности пользователей используется прокси-сервер, благодаря чему пользователям не нужно входить в Adobe Connect.

Adobe Connect поддерживает следующие механизмы однократной регистрации.

Проверка подлинности заголовка HTTP

Настройте прокси-сервер проверки подлинности на отсечение запроса HTTP, выполнение синтаксического анализа учетных данных пользователя из заголовка и передачу этих учетных данных в Adobe Connect.

Проверка подлинности протокола Microsoft NT LAN Manager (NTLM)

Настройте Adobe Connect так, чтобы в контроллере домена Windows автоматически выполнялась проверка подлинности подключающихся клиентов с использованием протокола NTLMv1. Microsoft Internet Explorer в ОС Microsoft Windows может проводить проверку подлинности NTLM без запроса учетных данных пользователя.

Примечание.

Проверка подлинности NTLM не работает на пограничных серверах. Вместо этого используйте проверку подлинности LDAP.

Примечание.

Клиенты Mozilla Firefox можно настроить для выполнения проверки подлинности NTLM без запросов. Сведения о настройке приведены в этом документе Firefox.

Также можно создать свой собственный фильтр проверки подлинности. Для получения дополнительной информации обратитесь в службу поддержки Adobe.

Настройка проверки подлинности заголовка HTTP

После настройки проверки подлинности заголовка HTTP запросы Adobe Connect на имя для входа передаются в агент, расположенный между клиентом и Adobe Connect. Этим агентом может быть прокси-сервер проверки подлинности или приложение, выполняющие проверку подлинности пользователей, добавляющие еще один заголовок к запросу HTTP и отправляющие запрос в Adobe Connect. В Adobe Connect необходимо убрать знак комментария для Java-фильтра и настроить в файле custom.ini параметр, определяющий имя дополнительного заголовка HTTP.

Настройка проверки подлинности заголовка HTTP в Adobe Connect

Чтобы включить проверку подлинности заголовка HTTP, на компьютере, где размещен сервер Adobe Connect, настройте сопоставление Java-фильтра и параметр заголовка.

  1. Откройте файл [корневой_каталог_установки]\appserv\web\WEB-INF\web.xml и выполните следующие действия:

    1. Удалите метки комментария вокруг элементов и сопоставления фильтра HeaderAuthenticationFilter.

    2. Добавьте метки комментария вокруг фильтра NtlmAuthenticationFilter и элементов сопоставления фильтра.

  2. Остановите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

  3. Добавьте следующую строку к файлу custom.ini. Агент проверки подлинности должен добавлять заголовок к запросу HTTP, отправляемому в Adobe Connect. Имя заголовка должно выглядеть следующим образом: header_field_name.

    HTTP_AUTH_HEADER=header_field_name

    Агент проверки подлинности должен добавлять заголовок к запросу HTTP, отправляемому в Adobe Connect. Имя заголовка должно выглядеть следующим образом: header_field_name.

  4. Сохраните файл custom.ini и перезапустите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

Написание кода проверки подлинности

Код проверки подлинности должен проверять подлинность пользователя, добавлять поле к заголовку HTTP, содержащему имя для входа пользователя, и отправлять запрос в Adobe Connect.

  1. Задайте значение поля заголовка header_field_name для имени пользователя Adobe Connect.

  2. Отправьте в Adobe Connect HTTP-запрос по следующему URL-адресу:
    http://example.com/system/login

    Java-фильтр в Adobe Connect перехватывает запрос, осуществляет поиск заголовка header_field_name и ищет пользователя с идентификатором, прошедшим в заголовок. Если пользователь локализован, то он прошел проверку подлинности, и в этом случае отправляется ответ.

  3. Чтобы определить успешность проверки подлинности, выполните синтаксический анализ HTTP-содержимого ответа Adobe Connect для строки "OK".
  4. Выполните синтаксический анализ ответа Adobe Connect для файла cookie BREEZESESSION.
  5. Перенаправьте пользователя к запрошенному URL-адресу в Adobe Connect и передайте файл cookie BREEZESESSION в качестве значения параметра session следующим образом.
    http://example.com?session=BREEZESESSION

    Примечание.

    Необходимо передать файл cookie BREEZESESSION в любом последующем запросе, направленном в Adobe Connect во время данного сеанса клиента.

Настройка проверки подлинности заголовка HTTP с помощью Apache

Следующая процедура описывает пример применения проверки подлинности заголовка HTTP, при котором Apache используется в качестве агента проверки подлинности.

  1. Установите Apache в качестве обратного прокси-сервера на компьютере, отличном от того, на котором размещается Adobe Connect.

  2. Выберите меню «Пуск» > «Программы» > «Apache HTTP Server» > «Configure Apache Server» > «Edit the Apache httpd.conf» и выполните следующие действия.

    1. Уберите знак комментария для следующих строк:

      • LoadModule headers_module modules/mod_headers.so
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_connect_module modules/mod_proxy_connect.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so

    2. Добавьте к концу файла следующие строки:

      RequestHeader append custom-auth "ext-login"
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://hostname:[port]/
ProxyPassReverse / http://[hostname]:[port]/
ProxyPreserveHost On

  3. Остановите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

  4. Добавьте следующий текст в файл custom.ini: Параметр HTTP_AUTH_HEADER должен совпадать с именем, заданным на прокси-сервере. Этот параметр является дополнительным заголовком HTTP.

    HTTP_AUTH_HEADER=custom-auth

  5. Сохраните файл custom.ini и перезапустите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

  6. Откройте файл [корневой_каталог_установки]\appserv\web\WEB-INF\web.xml и уберите знак комментария с фильтров HeaderAuthenticationFilter и NtlmAuthenticationFilter.

Настройка проверки подлинности NTLM

NTLMv1 — это протокол проверки подлинности, используемый вместе с протоколом SMB в сетях Microsoft Windows. С помощью протокола NTLM можно разрешить пользователям один раз пройти проверку подлинности в домене Windows и затем получить доступ к другим сетевым ресурсам, например Adobe Connect. Чтобы задать учетные данные пользователя, браузер автоматически выполняет проверку подлинности методом вызова и ответа на контроллере домена посредством Adobe Connect. Если этот механизм не срабатывает, пользователь может выполнить вход непосредственно в Adobe Connect. Только Internet Explorer в ОС Windows поддерживает систему единого входа для проверки подлинности NTLMv1.

Примечание.

Настройте Adobe Connect и NTLM в Windows 2003, так как Adobe Connect поддерживает NTLM версии 1. Кроме того, Windows 7 и более поздние версии не поддерживают NTLM 1 SSO.

Примечание.

По умолчанию контроллеры домена Windows Server 2003 требуют использования функции безопасности под названием подпись SMB. Стандартная конфигурация фильтра проверки подлинности NTLM не поддерживает подписи SMB. Однако, фильтр можно настроить в соответствии с данным требованием. Дополнительные сведения об этом и других дополнительных параметрах настройки см. в документации по проверке подлинности JCIFS NTLM HTTP.

Добавление параметров настройки

Выполните следующие действия для каждого узла в кластере Adobe Connect.

  1. Синхронизируйте пользователей LDAP из вашего домена в Adobe Connect с помощью Консоли управления 8510. Сведения об интеграции Adobe Connect с LDAP приведены в разделе Интеграция Adobe Connect с каталогом LDAP.

    Примечание.

    После синхронизации LDAP в Adobe Connect, отфильтруйте данные LDAP так, чтобы имя пользователя домена NTLM Domain было внесено в базу данных Adobe Connect. В противном случае система единого входа NTLM SSO не будет работать, а в файле debug.log появятся записи об ошибке входа.

  2. Редактирование политики входа для Adobe Connect с целью входа с использованием имени пользователя DOMAIN. По умолчанию используется адрес электронной почты, но NTLM не поддерживает адреса электронной почты.

  3. Откройте файл [корневой_каталог_установки]\custom.ini в текстовом редакторе и добавьте следующие параметры.

    NTLM_DOMAIN=[domain]
    NTLM_SERVER=[WINS_server_IP_address]

    Значением параметра [domain] является имя домена Windows, на котором пользователи зарегистрированы и проходят проверку подлинности, например CORPNET. При необходимости выберите в качестве значения этого параметра версию доменного имени, совместимую с операционными системами до Windows 2000. Подробные сведения приведены в технической статье 27e73404. Это значение сопоставляется со свойством фильтра jcifs.smb.client.domain. Значение, заданное непосредственно в файле web.xml, переопределяет значение в файле custom.ini.

    Значение [WINS_server_IP_address] представляет IP-адрес или список IP-адресов серверов WINS, разделенных запятыми. Используйте IP-адрес, имя узла для этого не подходит. Серверы WINS опрашиваются в установленном порядке для разрешения IP-адреса контроллера домена для домена, заданного в параметре NTLM_DOMAIN. (Контроллер домена выполняет проверку подлинности пользователей.) Также можно указать IP-адрес самого контроллера домена, например 10.169.10.77, 10.169.10.66. Это значение сопоставляется со свойством фильтра jcifs.netbios.wins. Значение, заданное в файле web.xml, переопределяет значение в файле custom.ini.

  4. Сохраните файл custom.ini. 

  5. Откройте файл [корневой_каталог_установки]\appserv\web\WEB-INF\web.xml в текстовом редакторе и уберите комментарий со следующих элементов:

    • вокруг фильтра NtlmAuthenticationFilter и элементов сопоставления фильтра;
    • вокруг фильтра HeaderAuthenticationFilter и элементов сопоставления фильтра.

  6. Сохраните файл web.xml и перезапустите сервер Adobe Connect.

Согласование политик имен для входа

Adobe Connect и NTLM используют разные политики входа для проверки подлинности пользователей. Необходимо выполнить согласование этих политик, прежде чем пользователи смогут использовать систему единого входа.

Протокол NTLM использует идентификатор для входа, который может быть именем пользователя (ivanov), идентификационным номером сотрудника (1234) или зашифрованным именем в зависимости от политики или организации. По умолчанию Adobe Connect использует в качестве имени для входа электронный адрес (ivanov@moya_kompania.ru). Измените политику входа Adobe Connect, чтобы Adobe Connect и NTLM использовали одинаковый идентификатор.

  1. Откройте Adobe Connect Central.

    Чтобы открыть Adobe Connect Central, запустите браузер и введите полностью определенное доменное имя (FQDN) узла Adobe Connect (например, http://connect.primer.ru). Значение узла Adobe Connect было введено на экране «Настройки сервера» консоли управления приложениями.

  2. Откройте вкладку «Администрирование». Выберите «Пользователи и группы». Щелкните «Изменить политику в отношении имени для входа и пароля».

  3. В области «Политика входа» выберите «Нет» рядом с элементом «Использовать электронный адрес в качестве имени для входа».