Konfiguracja SSO

/*! elementor - v3.21.0 - 08-05-2024 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}

Informacje podstawowe

LOG Plus wykorzystuje mechanizm zintegrowanego uwierzytelniana Windows na podstawie zalogowanego użytkownika systemu Windows przy użyciu najnowszych wersji przeglądarek Microsoft Edge, FireFox, Opera, Chrome.

Podstawowe założenia jakie należy spełnić w celu działania pojedynczego logowania (SSO):

• zalogowany użytkownik systemu Windows musi istnieć w domenie Active Directory
• komputer z którego wykonujemy próbę zalogowania musi istnieć w domenie Active Directory
• IIS w wersji 7 lub nowszej z serwerem LOG Plus musi być wpięty do domeny Active Directory i posiadać dostęp do kontrolera domeny
• przeglądarka musi akceptować pliki cookies.

/*! elementor - v3.21.0 - 08-05-2024 */ .elementor-column .elementor-spacer-inner{height:var(--spacer-size)}.e-con{--container-widget-width:100%}.e-con-inner>.elementor-widget-spacer,.e-con>.elementor-widget-spacer{width:var(--container-widget-width,var(--spacer-size));--align-self:var(--container-widget-align-self,initial);--flex-shrink:0}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container,.e-con>.elementor-widget-spacer>.elementor-widget-container{height:100%;width:100%}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer,.e-con>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer{height:100%}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer>.elementor-spacer-inner,.e-con>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer>.elementor-spacer-inner{height:var(--container-widget-height,var(--spacer-size))}.e-con-inner>.elementor-widget-spacer.elementor-widget-empty,.e-con>.elementor-widget-spacer.elementor-widget-empty{position:relative;min-height:22px;min-width:22px}.e-con-inner>.elementor-widget-spacer.elementor-widget-empty .elementor-widget-empty-icon,.e-con>.elementor-widget-spacer.elementor-widget-empty .elementor-widget-empty-icon{position:absolute;top:0;bottom:0;left:0;right:0;margin:auto;padding:0;width:22px;height:22px}

Zasada działania

W celu poprawnego działania automatycznego logowania niezbędne jest: 

• poprawne skonfigurowanie IIS, aplikacji LOG Plus oraz przeglądarki internetowej, 
• posiadanie konta systemu Windows wpiętego do domeny, 
• posiadanie dostępu do kontrolera domeny (Active Directory) na serwerze z IIS-em (np. aktywne połączenie VPN), w celu weryfikacji konta użytkownika, 
• posiadanie konta użytkownika zaimportowanego z Usługi katalogowej -> Active Directory, dla którego została przypisana rola umożliwiająca dostęp do portalu LOG Plus  

 

Mechanizm SSO rozpoczyna działanie po wpisaniu w przeglądarce internetowej adresu witryny LOG Plus. Przeglądarka przekazuje aplikacji LOG Plus informacje o bieżącym zalogowanym użytkowniku, które są zapisywane w szyfrowanym ciasteczku. Ciasteczko jest odczytywane za każdym razem, kiedy niezalogowany użytkownik otworzy stronę LOG Plus. Jeżeli nie uda się poprawnie zweryfikować użytkownika, wówczas nastąpi przekierowanie na standardową stronę logowania z formularzem. 

/*! elementor - v3.21.0 - 08-05-2024 */ .elementor-alert{padding:15px;border-left:5px solid transparent;position:relative;text-align:start}.elementor-alert .elementor-alert-title{display:block;font-weight:700}.elementor-alert .elementor-alert-description{font-size:13px}.elementor-alert button.elementor-alert-dismiss{position:absolute;right:var(--dismiss-icon-horizontal-position,10px);top:var(--dismiss-icon-vertical-position,10px);padding:3px;font-size:var(--dismiss-icon-size,20px);line-height:1;background:transparent;color:var(--dismiss-icon-normal-color,inherit);border:none;cursor:pointer;transition-duration:var(--dismiss-icon-hover-transition-duration,.3s)}.elementor-alert button.elementor-alert-dismiss:hover{color:var(--dismiss-icon-hover-color,inherit)}.elementor-alert button.elementor-alert-dismiss svg{width:var(--dismiss-icon-size,20px);height:var(--dismiss-icon-size,20px);fill:var(--dismiss-icon-normal-color,currentColor);transition-duration:var(--dismiss-icon-hover-transition-duration,.3s)}.elementor-alert button.elementor-alert-dismiss svg:hover{fill:var(--dismiss-icon-hover-color,currentColor)}.elementor-alert-info .elementor-alert{color:#31708f;background-color:#d9edf7;border-color:#bcdff1}.elementor-alert-success .elementor-alert{color:#3c763d;background-color:#dff0d8;border-color:#cae6be}.elementor-alert-warning .elementor-alert{color:#8a6d3b;background-color:#fcf8e3;border-color:#f9f0c3}.elementor-alert-danger .elementor-alert{color:#a94442;background-color:#f2dede;border-color:#e8c4c4}@media (max-width:767px){.elementor-alert{padding:10px}.elementor-alert button.elementor-alert-dismiss{right:7px;top:7px}}

Uwaga!
Logując się do aplikacji LOG Plus poprzez zintegrowane uwierzytelnianie Windows następuje weryfikacja użytkownika w kontrolerze domeny.
W zależności od specyfikacji sieci nawiązywanie połączenia z kontrolerem domeny oraz weryfikacja użytkownika może trwać nawet kilka sekund, co może mieć wpływ na długość automatycznego logowania do systemu.
Weryfikacja użytkownika polega na sprawdzeniu poświadczeń użytkownika systemu Windows w domenie. Aplikacja LOG Plus łączy się z kontrolerem domeny, do której ma dostęp poprzez, np. aktywne połączenie VPN na serwerze. Pobierany jest adres domeny, na podstawie którego zaczytywana jest konfiguracja AD z aplikacji LOG Plus, gdzie następnie pobierana jest właściwa nazwa konta użytkownika LOG Plus. Działa to w oparciu o taką samą konfigurację AD jak w przypadku importu użytkowników z AD. Po pobraniu danych użytkownika LOG Plus, następuje sprawdzenie, czy konto użytkownika jest aktywne. Następnie użytkownik jest logowany do aplikacji przy pomocy konta LOG Plus.

×
Dismiss this alert.

Konfiguracja Single Sign-On w LOG Plus

 Na serwerze LOG Plus należy włączyć autoryzację Windows. 

1. Włącz odpowiednią funkcję w IIS w Server Managerze 
   

2. W IIS dla witryny LOG Plus wybierz sekcję Uwierzytelnienie i włącz poniższe opcje:

 

3. W pliku konfiguracyjnym appsettings.json, który znajduje się w głównym katalogu serwera LOG Plus  dodaj wpisy:

• WinAuthEnabled z wartością true
• adres serwera LOG Plus w zmiennej CorsOrigin (np. nazwę ustawioną w DNS lub IP serwera wraz z portem jeśli użyty został niestandardowy port):
• 

Konfiguracja przeglądarek internetowych

Zintegrowanie uwierzytelnianie Windows jest wspierane przez większość przeglądarek przeznaczonych dla systemów Windows. Jednakże nie zadziała ono przy połączeniu HTTP przez proxy. Rozwiązanie to najlepiej funkcjonuje w sieci Intranetowej, gdzie użytkownicy zalogowani do systemu Windows nie muszą się wielokrotnie dodatkowo logować na Intranetowych stronach firmowych. 

Zintegrowane uwierzytelnianie Windows działa w przeglądarkach: 

• Microsoft Edge 
• Mozilla FireFox 
• Google Chrome 
• Opera 

 

Google Chrome i Microsoft Edge 
Przeglądarka Google Chrome wykorzystuje ustawienia internetowe systemu Windows. 
W tym celu należy skonfigurować strefę w ustawieniach internetowych dostępnych z poziomu panelu sterowania systemu Windows. 
Opcje internetowe z poziomu Panel sterowania -> Sieć i Internet: 

W oknie Opcje internetowe przejdź do zakładki Zabezpieczenia -> sekcja Lokalny intranet -> Witryny: 

W oknie Lokalnego intranetu przejdź do ustawień zaawansowanych (przycisk Zaawansowane): 

Dodaj stronę LOG Plus do listy witryn do strefy lokalnego intranetu (przycisk Dodaj), a całość operacji zatwierdź przyciskiem Zamknij oraz OK: 

W ostatnim kroku zweryfikuj opcję Zaloguj automatycznie tylko w strefie intranetu w ustawieniach zabezpieczeń Internetu (przycisk Poziom niestandardowy…): 

Uwaga!
Po zmianie ustawień może być konieczne ponowne uruchomienie przeglądarki. 
Jako przykład pokazano użycie strefy Lokalnego intranetu, gdyż jest domyślnie skonfigurowana do poprawnego działania zintegrowanego uwierzytelniania Windows. W zależności od wymagań można samodzielnie skonfigurować dowolnie inną strefę zabezpieczeń, np. Zaufane witryny. 
Mozilla FireFox 
Domyślne ustawienia przeglądarki Mozilla FireFox powodują podniesienie monitu z formularzem logowania. Po podaniu nazwy użytkownika i hasła konta systemu Windows, aplikacja LOG Plus zaloguje się na tego użytkownika. Monit będzie pokazywany za każdym razem, kiedy zamknie się okno przeglądarki: 

×
Dismiss this alert.

W celu wyeliminowania tego zachowania należy odpowiednio skonfigurować ukryte opcje network.automatic-ntlm-auth poprzez: 

• wpisanie w pasku adresu about:config, 
• wyszukanie nazwy network.automatic-ntlm-auth, 

Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl. 

Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl. 

Uwaga!
Włączenie innej opcji, np. network.automatic-ntlm-auth.allow-non-fqdn, tj. ustawienie wartości na true, również spowoduje niepokazywanie się monitu. Jednakże taka opcja nie jest polecana ze względów bezpieczeństwa, gdyż spowoduje włączenie przekazywania nazwy bieżącego zalogowanego użytkownika Windows dowolnej witrynie, która o to poprosi.
Bezpieczniejsza jest modyfikacja network.automatic-ntlm-auth.trusted-uris, w której należy podać listę bezpiecznych witryn, do których zostanie przekazana nazwa bieżącego zalogowanego użytkownika Windows.

×
Dismiss this alert.

Oraz zmodyfikowanie opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl. 

Mozilla Firefox

Domyślne ustawienia przeglądarki Mozilla FireFox powodują podniesienie monitu z formularzem logowania. Po podaniu nazwy użytkownika i hasła konta systemu Windows, aplikacja LOG Plus zaloguje się na tego użytkownika. Monit będzie pokazywany za każdym razem, kiedy zamknie się okno przeglądarki:

W celu wyeliminowania tego zachowania należy odpowiednio skonfigurować ukryte opcje network.automatic-ntlm-auth poprzez:
• wpisanie w pasku adresu about:config,
• wyszukanie nazwy network.automatic-ntlm-auth,

 

• zmodyfikowaniu opcji network.automatic-ntlm-auth.trusted-uris poprzez ustawienie wartości, w której zostanie podana nazwa hosta aplikacji LOG Plus lub adres url pod którym witryna jest dostępna, np. https://logplus.pl.

Opera
Po zainstalowaniu przeglądarki Opera z domyślnymi ustawieniami poprawnie działa zintegrowane uwierzytelnianie Windows.