1

6 La navigation dans le manuel de Kentika est réservée aux utilisateurs identifiés



Mettre en place une connexion SSO, via IIS Server

#Serveur web ; SSO

Mettre en place une connexion SSO, via IIS Server

 

L'authentification WEB Kentika, de type SSO, est basé sur l'identification de l'usager sur son poste de travail, par la méthode de connexion Domaine Windows (NTLM ou Kerberos).

La sécurité de l'accès à l’interface WEB Kentika est gérée par l'OS Windows, d'où la nécessité d'activer l'option de "verrouillage" du poste de travail pour garantir la sécurité du site.

Pré-requis

  • Un serveur IIS doit être activé, avec les fonctionnalités ASP et Authentification Windows. Il peut se trouver sur le m6eme serveur que Kentika (auquel cas il faut utiliser un autre port que celui utilisé par le portail Kentika), ou sur un autre serveur.
  • Pour assurer l'identification automatique, l'identifiant Windows de l'utilisateur doit être stocké dans un champ de la fiche de la personne dans Kentika. Si ce champ n'est pas le champ "identifiant", il faudra modifier les ressources de Kentika pour faire le lien entre les champs.
  • Les navigateurs des utilisateurs doivent être paramétrés pour supporter l'authentification Windows intégrée. IE et Chrome supportent cela nativement (en activant l'authentification intégrée Windows dans les paramètres de sécurité d'IE), mais Firefox nécessite des modifications de configuration ou un plugin.

Paramétrage de IIS

Un nouveau site doit être créé dans IIS. Les réglages (IP, port, localisation sur le disque) importent peu tant qu'ils sont reportés dans Kentika.

Attention à ne pas paramétrer IIS sur le même port que Kentika, s'il est sur la même machine.

L'authentification Windows doit être activée, et l'authentification anonyme désactivée.

Paramétrage de Kentika

Allez dans le menu Fichier / Préférences / Serveur Web / Paramètres de connexion (onglet LDAP-SSO).

Cliquez sur le bouton "Test..." :

Ceci permet de générer dans le dossier C:\\inetpub\\kentika les fichiers nécessaires au fonctionnement du SSO. (Même si vous avez un message d'erreur indiquant que Kentika n'a pas pu contacter le site, la copie des fichiers a probablement fonctionné.)

Si ce dossier ne correspond pas au dossier racine choisi pour le site de IIS, déplacez les 3 fichiers vers le dossier racine du site.

Dans l'écran de paramétrage du SSO de Kentika (voir capture ci-dessus), pensez à renseigner l'adresse publique du serveur IIS (incluant le numéro de port) et à cocher lcase "SSO".

Vérification et réglages complémentaires

Vérification de la reconnaissance automatique de l'utilisateur

Si tous les paramétrages sont corrects, une nouvelle option est proposée dans l'écran d'identification :

​Lorsque l'utilisateur clique sur ce lien (http://(votre serveur)/SSO_GoConnect.htm), Kentika le redirige vers IIS, qui le redirige ensuite vers Kentika avec son identité.

Cet ensemble de ressources part du principe que les identifiants Kentika correspondent au nom retourné par IIS. Si ce n'est pas le cas, il sera nécessaire d'apporter une adaptation aux ressources fournies.

Si vous proposez, au sein d'un intranet global, un lien vers Kentika et que vous souhaitez que la reconnaissance SSO soit effectuée automatiquement, il est conseillé de créer un lien vers la page "SSO_GoConnect.htm".

​L'utilisateur est identifié automatiquement. Si cela n'est pas le cas, ou si une fenêtre d'authentification vous est présentée, assurez-vous que :

  • le serveur est bien intégré au domaine
  • l'authentification Windows est bien activée (Voir le paragraphe 1.2)
  • l'identifiant de l'utilisateur existe bien dans Kentika

Redirection automatique

Si tous vos utilisateurs sont compatibles avec le SSO, vous pouvez activer la redirection automatique : Dès qu'une personne arrive sur le portail sans être identifiée, elle sera redirigée vers IIS pour authentification.

Pour cela, il suffit d'activer le composant topGeneric_SSO_redirect de la zone topGeneric_Head.

SSO et les invités

Les deux possibilités peuvent tout à fait cohabiter. En effet, si l'identification SSO échoue, l'utilisateur est alors traité comme un "simple invité" et peux donc visiter le site (si ce dernier est autorisé aux invités). S'il connaît ses identifiant / mot de passe (Kentika ou LDAP) il peut s'identifier de manière classique.

Un peu de technique

Le fonctionnement du SSO par IIS est le suivant :

  1. Un utilisateur sur le portail Kentika demande à être reconnu
  2. Le portail renvoie vers IIS, vers la page SSO_IIS_identification.asp
  3. IIS effectue l'authentification Windows
  4. La page SSO_IIS_identification envoie une requête en arrière-plan vers Kentika, en lui envoyant l'identifiant de la personne connectée.
  5. Kentika lui renvoie un jeton d'identification (dont la durée de vie est paramétrable avec le paramètre W_TO).
  6. IIS renvoie vers Kentika avec le jeton dans un paramètre ID_Token.
  7. Kentika vérifie le jeton et authentifie l'utilisateur.