Spis treści:
Informacje podstawowe
LOG Plus wykorzystuje mechanizm zintegrowanego uwierzytelniana Windows na podstawie zalogowanego użytkownika systemu Windows przy użyciu najnowszych wersji przeglądarek Microsoft Edge, FireFox, Opera, Chrome.
Podstawowe założenia jakie należy spełnić w celu działania pojedynczego logowania (SSO):
zalogowany użytkownik systemu Windows musi istnieć w domenie Active Directory
komputer z którego wykonujemy próbę zalogowania musi istnieć w domenie Active Directory
IIS w wersji 7 lub nowszej z serwerem LOG Plus musi być wpięty do domeny Active Directory i posiadać dostęp do kontrolera domeny
przeglądarka musi akceptować pliki cookies.
Zasada działania
W celu poprawnego działania automatycznego logowania niezbędne jest:
poprawne skonfigurowanie IIS, aplikacji LOG Plus oraz przeglądarki internetowej,
posiadanie konta systemu Windows wpiętego do domeny,
posiadanie dostępu do kontrolera domeny (Active Directory) na serwerze z IIS-em (np. aktywne połączenie VPN), w celu weryfikacji konta użytkownika,
posiadanie konta użytkownika zaimportowanego z Usługi katalogowej -> Active Directory, dla którego została przypisana rola umożliwiająca dostęp do portalu LOG Plus
Mechanizm SSO rozpoczyna działanie po wpisaniu w przeglądarce internetowej adresu witryny LOG Plus. Przeglądarka przekazuje aplikacji LOG Plus informacje o bieżącym zalogowanym użytkowniku, które są zapisywane w szyfrowanym ciasteczku. Ciasteczko jest odczytywane za każdym razem, kiedy niezalogowany użytkownik otworzy stronę LOG Plus. Jeżeli nie uda się poprawnie zweryfikować użytkownika, wówczas nastąpi przekierowanie na standardową stronę logowania z formularzem.
Uwaga
Logując się do aplikacji LOG Plus poprzez zintegrowane uwierzytelnianie Windows następuje weryfikacja użytkownika w kontrolerze domeny. W zależności od specyfikacji sieci nawiązywanie połączenia z kontrolerem domeny oraz weryfikacja użytkownika może trwać nawet kilka sekund, co może mieć wpływ na długość automatycznego logowania do systemu. Weryfikacja użytkownika polega na sprawdzeniu poświadczeń użytkownika systemu Windows w domenie. Aplikacja LOG Plus łączy się z kontrolerem domeny, do której ma dostęp poprzez, np. aktywne połączenie VPN na serwerze. Pobierany jest adres domeny, na podstawie którego zaczytywana jest konfiguracja AD z aplikacji LOG Plus, gdzie następnie pobierana jest właściwa nazwa konta użytkownika LOG Plus. Działa to w oparciu o taką samą konfigurację AD jak w przypadku importu użytkowników z AD. Po pobraniu danych użytkownika LOG Plus, następuje sprawdzenie, czy konto użytkownika jest aktywne. Następnie użytkownik jest logowany do aplikacji przy pomocy konta LOG Plus.
Konfiguracja Single Sign-On w LOG Plus
Na serwerze LOG Plus należy włączyć autoryzację Windows.
Włącz odpowiednią funkcję w IIS w Server Managerze
W IIS dla witryny LOG Plus wybierz sekcję Uwierzytelnienie i włącz poniższe opcje:
W pliku konfiguracyjnym
appsettings.json, który znajduje się w głównym katalogu serwera LOG Plus dodaj wpisy:
WinAuthEnabled z wartością true
adres serwera LOG Plus w zmiennej CorsOrigin (np. nazwę ustawioną w DNS lub IP serwera wraz z portem jeśli użyty został niestandardowy port):
Konfiguracja przeglądarek internetowych
Zintegrowanie uwierzytelnianie Windows jest wspierane przez większość przeglądarek przeznaczonych dla systemów Windows. Jednakże nie zadziała ono przy połączeniu HTTP przez proxy. Rozwiązanie to najlepiej funkcjonuje w sieci Intranetowej, gdzie użytkownicy zalogowani do systemu Windows nie muszą się wielokrotnie dodatkowo logować na Intranetowych stronach firmowych.
Zintegrowane uwierzytelnianie Windows działa w przeglądarkach:
Microsoft Edge
Mozilla FireFox
Google Chrome
Opera
Google Chrome i Microsoft Edge
Przeglądarka Google Chrome wykorzystuje ustawienia internetowe systemu Windows.
W tym celu należy skonfigurować strefę w ustawieniach internetowych dostępnych z poziomu panelu sterowania systemu Windows.
Wejdź w Panel sterowania -> Sieć i Internet → Opcje internetowe.
W oknie Opcje internetowe przejdź do zakładki Zabezpieczenia -> sekcja Lokalny intranet -> Witryny
W oknie Lokalnego intranetu przejdź do ustawień zaawansowanych (przycisk Zaawansowane)
Dodaj stronę LOG Plus do listy witryn do strefy lokalnego intranetu (przycisk Dodaj), a całość operacji zatwierdź przyciskiem Zamknij oraz OK
W ostatnim kroku zweryfikuj opcję Zaloguj automatycznie tylko w strefie intranetu w ustawieniach zabezpieczeń Internetu (przycisk Poziom niestandardowy…)
Uwaga
Po zmianie ustawień może być konieczne ponowne uruchomienie przeglądarki. Jako przykład pokazano użycie strefy Lokalnego intranetu, gdyż jest domyślnie skonfigurowana do poprawnego działania zintegrowanego uwierzytelniania Windows. W zależności od wymagań można samodzielnie skonfigurować dowolnie inną strefę zabezpieczeń, np. Zaufane witryny. Mozilla FireFox Domyślne ustawienia przeglądarki Mozilla FireFox powodują podniesienie monitu z formularzem logowania. Po podaniu nazwy użytkownika i hasła konta systemu Windows, aplikacja LOG Plus zaloguje się na tego użytkownika. Monit będzie pokazywany za każdym razem, kiedy zamknie się okno przeglądarki.
W celu wyeliminowania tego zachowania należy odpowiednio skonfigurować ukryte opcje network.automatic-ntlm-auth poprzez:
wpisanie w pasku adresu about:config,
wyszukanie nazwy network.automatic-ntlm-auth,
Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Uwaga
Włączenie innej opcji, np. network.automatic-ntlm-auth.allow-non-fqdn, tj. ustawienie wartości na true, również spowoduje niepokazywanie się monitu. Jednakże taka opcja nie jest polecana ze względów bezpieczeństwa, gdyż spowoduje włączenie przekazywania nazwy bieżącego zalogowanego użytkownika Windows dowolnej witrynie, która o to poprosi. Bezpieczniejsza jest modyfikacja network.automatic-ntlm-auth.trusted-uris, w której należy podać listę bezpiecznych witryn, do których zostanie przekazana nazwa bieżącego zalogowanego użytkownika Windows.
Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Mozilla Firefox
Domyślne ustawienia przeglądarki Mozilla FireFox powodują podniesienie monitu z formularzem logowania. Po podaniu nazwy użytkownika i hasła konta systemu Windows, aplikacja LOG Plus zaloguje się na tego użytkownika. Monit będzie pokazywany za każdym razem, kiedy zamknie się okno przeglądarki.
W celu wyeliminowania tego zachowania należy odpowiednio skonfigurować ukryte opcje network.automatic-ntlm-auth poprzez:
wpisanie w pasku adresu about:config,
wyszukanie nazwy network.automatic-ntlm-auth,
zmodyfikowaniu opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna
Opera
Po zainstalowaniu przeglądarki Opera z domyślnymi ustawieniami poprawnie działa zintegrowane uwierzytelnianie Windows.