If you are using LDAP, you can configure SSO (single sign-on). This enables access to all ARIS runnables as soon as a user has logged in once to the domain.
Kerberos est une authentification réseau permettant à des nœuds de communiquer en utilisant un réseau non sécurisé tout en se transmettant entre eux leur identité de manière sécurisée. Kerberos est le moyen conseillé pour une authentification utilisateur dans des réseaux Microsoft® Windows. De plus, c'est un système très répandu pour les systèmes d'exploitation Linux et des implémentations sont disponibles pour toutes les plateformes importantes. It is designed to provide a strong authentication for client/server applications, like web applications where the browser is the client. It is also the recommended way to authenticate users in a MS Windows network and it replaces the outdated and relatively insecure NT LAN Manager (NTLM).
Veuillez contacter votre administrateur LDAP avant de changer toute configuration.
Condition préalable
Serveur
Les utilisateurs souhaitant utiliser l'authentification unique possèdent une connexion utilisateur valable dans les services de domaine Microsoft® Active Directory.
Cet utilisateur existe dans l'Administration ARIS.
L'Administration ARIS est authentifiée contre LDAP.
Les services de domaine Microsoft® Active Directory prennent en charge une authentification basée sur Kerberos (par défaut) et le nom de principal du service de ARIS Server est entré au format suivant : HTTP/<hostname>, par exemple HTTP/mypc01.my.domain.com.
Client
Les ordinateurs clients et les serveurs sont reliés aux mêmes services de domaine Microsoft® Active Directory.
Le navigateur a été configuré en conséquence.
The following steps must be taken to use SSO:
Procédure
A technical user must be created in the Microsoft® Active Directory Domain Services.
A service principal name must be registered on the technical user.
The single sign-on configuration options must be set in Administration ARIS.
The client application must be configured to use single sign-on.
You configured SSO on client side.
Creating a technical user
A technical user is used to validate Kerberos tickets against the Microsoft® Active Directory Domain Services. This user must be created in the Microsoft® Active Directory Domain Services and a keytab file must be created for this user.
A keytab file contains a list of keys and principals. It is used to log on the technical user to the Microsoft® Active Directory Domain Services without being prompted for a password. The most common use of keytab files is to allow scripts to authenticate against the Microsoft® Active Directory Domain Services without human interaction or storing a password in a plain text file. Anyone with read permission on a keytab can use all of the keys contained so you must restrict and monitor permissions on any keytab file you create. The keytab must be recreated when the password of the technical user changes.
A keytab file can be created by passing the following parameters to the ktab.exe JRE command line tool:
ktab -a <TECHUSER_USER_PRINCIPAL_NAME> -n 0 -append -k umc.keytab - for example ktab –a aristechuser@MYDOMAIN.COM –n0 –append –k umc.keytab.
Configuration options in Administration ARIS
Enable SSO for the servers (SAML)
Condition préalable
Vous possédez le droit de fonction administrateur de configuration technique.
Procédure
Lancer ARIS.
Cliquez sur Lanceur d'applications >
Administration. L'Administration s'ouvre avec la vue
Configuration.
Cliquez sur Configuration.
Cliquez sur la flèche à côté Kerberos.
Cliquez sur Généralités.
Si vous n'avez pas de fichier de configuration Kerberos, prenez le kbr5.conf de votre support d'installation sous Add-ons\Kerberos. Donnez-lui par exemple le nom krb5.conf, ajoutez les lignes suivantes puis adaptez la configuration à vos besoins.
[libdefaults]
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
Pour charger un fichier de configuration, cliquez sur Charger sous le champ Fichier de configuration. Vous trouverez ce fichier sur votre support d'installation sous Add-ons\Kerberos.
Cliquez sur Édition.
Activez Utiliser Kerberos.
Dans le champ Principal, entrez le nom de l'utilisateur technique donné par l'administrateur.
Si le nom du principal de service dans le keytab est, par exemple, mypc01@MY.DOMAIN.COM, les valeurs de la propriété com.company.aris.umc.kerberos.servicePrincipalName doivent contenir le nom de principal de service exactement tel qu'il est spécifié dans le fichier keytab.
Dans le champ Domaine d'analyse, configurez le domaine d'analyse pour le service Kerberos. Entrez le nom de domaine complètement qualifié en majuscules.
Par exemple : MYDOMAIN.COM.
Dans le champ KDC, configurez le nom complètement qualifié du KDC (centre de distribution de clés central) à utiliser.
Facultatif :
Cliquez sur Paramètres étendus.
Activez Sortie de débogage.
Les sorties de débogage du programme auquel l'utilisateur veut se connecter sont enregistrées dans le fichier system.out du programme concerné. Pour la gestion des utilisateurs, par exemple, elles sont enregistrées dans le répertoire <répertoire d'installation ARIS/work_umcadmin_m/base/logs>.
Vous avez configuré SSO avec Kerberos dans Administration ARIS.
Configuration du client
Configurez les paramètres du navigateur pour autoriser l'authentification unique SSO. L'authentification unique SSO a été testée avec les navigateurs suivants :
Microsoft® Internet Explorer® (version 11 ou supérieure)
Mozilla Firefox®
Condition préalable
Vous possédez le droit de fonction administrateur de configuration technique.
L'authentification unique SSO doit être configurée pour les serveurs.
Le navigateur utilisé prend en charge une authentification basée sur Kerberos.
Vous devez d'abord vider le cache de ticket Kerberos de chaque client afin d'éviter les tickets obsolètes si les services de domaine Microsoft® Active Directory ont été modifiés. Supprimez le cache de ticket Kerberos en exécutant la commande klist.exe purge. Si le programme de purge n'est pas disponible sur l'ordinateur client, vous pouvez simplement déconnecter l'ordinateur client du domaine et le reconnecter.
Microsoft® Internet Explorer®
Microsoft® Internet Explorert® ne prend en charge l'authentification basée sur Kerberos que si le ARIS Server fait partie de votre intranet local.
Procédure
Lancez Microsoft® Internet Explorer®.
Cliquez sur Outils > Options Internet.
Activez l'onglet Sécurité puis cliquez sur Intranet local.
Cliquez sur Sites puis sur Étendu.
Ajoutez l'URL du ARIS Server qui a été configuré pour l'authentification unique SSO. Ajoutez le nom d'hôte DNS et l'adresse IP du ARIS Server.
Facultatif : Désactivez la case Vérification de serveur (https:) nécessaire pour tous les sites de cette zone.
Cliquez sur Fermer puis sur OK.
Cliquez sur Adapter le niveau puis assurez-vous qu'aucune configuration personnalisée ne gêne votre nouvelle configuration.
Recherchez le domaine Authentification des utilisateurs. Vérifiez si la case Connexion automatique dans la zone intranet uniquement est activée.
Cliquez sur OK.
Fermez puis redémarrez Microsoft® Internet Explorer®.
Mozilla Firefox®
Dans Mozilla Firefox®, vous pouvez définir des pages autorisées en utilisant le nom de l'ordinateur, l'adresse IP ou une combinaison des deux. Vous pouvez utiliser des caractères génériques.
Procédure
Lancez Mozilla Firefox®.
Entrez about:config dans la ligne d'adresse puis appuyez sur la touche Entrée. Confirmez le message, si nécessaire.
Entrez network.negotiate dans le champ Rechercher puis appuyez sur la touche Entrée.
Double-cliquez sur network.negotiate-auth.trusted-uris.
Entrez le nom d'ordinateur ou l'adresse IP du ARIS Server pour lequel vous avez configuré une authentification unique SSO puis cliquez sur OK.
Fermez Mozilla Firefox® puis relancez-le.
Si vous souhaitez utiliser un chiffrement plus fort que AES 128 bits et que cela est autorisé dans votre pays, remplacez le fichier de stratégie JCE de la JDK de votre ARIS Server par les fichiers de stratégie Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Cela permet une longueur de clé illimitée.
Si vous ne souhaitez pas remplacer les fichiers de stratégie, mais que vous souhaitez tout de même utiliser l'authentification unique SSO,vous devez utiliser une procédure autorisée par JDK pour le cryptage de tickets Kerberos, p. ex. AES 128 bits.