Informacje podstawowe
LOG Plus wykorzystuje mechanizm zintegrowanego uwierzytelniana Windows na podstawie zalogowanego użytkownika systemu Windows przy użyciu najnowszych wersji przeglądarek Microsoft Edge, FireFox, Opera, Chrome.
Podstawowe założenia jakie należy spełnić w celu działania pojedynczego logowania (SSO):
- zalogowany użytkownik systemu Windows musi istnieć w domenie Active Directory
- komputer z którego wykonujemy próbę zalogowania musi istnieć w domenie Active Directory
- IIS w wersji 7 lub nowszej z serwerem LOG Plus musi być wpięty do domeny Active Directory i posiadać dostęp do kontrolera domeny
- przeglądarka musi akceptować pliki cookies.
Zasada działania
W celu poprawnego działania automatycznego logowania niezbędne jest:
- poprawne skonfigurowanie IIS, aplikacji LOG Plus oraz przeglądarki internetowej,
- posiadanie konta systemu Windows wpiętego do domeny,
- posiadanie dostępu do kontrolera domeny (Active Directory) na serwerze z IIS-em (np. aktywne połączenie VPN), w celu weryfikacji konta użytkownika,
- posiadanie konta użytkownika zaimportowanego z Usługi katalogowej -> Active Directory, dla którego została przypisana rola umożliwiająca dostęp do portalu LOG Plus
Mechanizm SSO rozpoczyna działanie po wpisaniu w przeglądarce internetowej adresu witryny LOG Plus. Przeglądarka przekazuje aplikacji LOG Plus informacje o bieżącym zalogowanym użytkowniku, które są zapisywane w szyfrowanym ciasteczku. Ciasteczko jest odczytywane za każdym razem, kiedy niezalogowany użytkownik otworzy stronę LOG Plus. Jeżeli nie uda się poprawnie zweryfikować użytkownika, wówczas nastąpi przekierowanie na standardową stronę logowania z formularzem.
Konfiguracja Single Sign-On w LOG Plus
Na serwerze LOG Plus należy włączyć autoryzację Windows.
- Włącz odpowiednią funkcję w IIS w Server Managerze
2. W IIS dla witryny LOG Plus wybierz sekcję Uwierzytelnienie i włącz poniższe opcje:
3. W pliku konfiguracyjnym appsettings.json, który znajduje się w głównym katalogu serwera LOG Plus dodaj wpisy:
- WinAuthEnabled z wartością true
- adres serwera LOG Plus w zmiennej CorsOrigin (np. nazwę ustawioną w DNS lub IP serwera wraz z portem jeśli użyty został niestandardowy port):
Konfiguracja przeglądarek internetowych
Zintegrowanie uwierzytelnianie Windows jest wspierane przez większość przeglądarek przeznaczonych dla systemów Windows. Jednakże nie zadziała ono przy połączeniu HTTP przez proxy. Rozwiązanie to najlepiej funkcjonuje w sieci Intranetowej, gdzie użytkownicy zalogowani do systemu Windows nie muszą się wielokrotnie dodatkowo logować na Intranetowych stronach firmowych.
Zintegrowane uwierzytelnianie Windows działa w przeglądarkach:
- Microsoft Edge
- Mozilla FireFox
- Google Chrome
- Opera
Google Chrome i Microsoft Edge
Przeglądarka Google Chrome wykorzystuje ustawienia internetowe systemu Windows.
W tym celu należy skonfigurować strefę w ustawieniach internetowych dostępnych z poziomu panelu sterowania systemu Windows.
Opcje internetowe z poziomu Panel sterowania -> Sieć i Internet:
W oknie Opcje internetowe przejdź do zakładki Zabezpieczenia -> sekcja Lokalny intranet -> Witryny:
W oknie Lokalnego intranetu przejdź do ustawień zaawansowanych (przycisk Zaawansowane):
Dodaj stronę LOG Plus do listy witryn do strefy lokalnego intranetu (przycisk Dodaj), a całość operacji zatwierdź przyciskiem Zamknij oraz OK:
W ostatnim kroku zweryfikuj opcję Zaloguj automatycznie tylko w strefie intranetu w ustawieniach zabezpieczeń Internetu (przycisk Poziom niestandardowy…):
W celu wyeliminowania tego zachowania należy odpowiednio skonfigurować ukryte opcje network.automatic-ntlm-auth poprzez:
- wpisanie w pasku adresu about:config,
- wyszukanie nazwy network.automatic-ntlm-auth,
Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Mozilla Firefox
Domyślne ustawienia przeglądarki Mozilla FireFox powodują podniesienie monitu z formularzem logowania. Po podaniu nazwy użytkownika i hasła konta systemu Windows, aplikacja LOG Plus zaloguje się na tego użytkownika. Monit będzie pokazywany za każdym razem, kiedy zamknie się okno przeglądarki:
W celu wyeliminowania tego zachowania należy odpowiednio skonfigurować ukryte opcje network.automatic-ntlm-auth poprzez:
• wpisanie w pasku adresu about:config,
• wyszukanie nazwy network.automatic-ntlm-auth,
• zmodyfikowaniu opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.
Opera
Po zainstalowaniu przeglądarki Opera z domyślnymi ustawieniami poprawnie działa zintegrowane uwierzytelnianie Windows.