Configurer connexion simple

Si vous utilisez les services de domaine Microsoft® Active Directory, vous pouvez configurer la connexion simple SSO (single sign-on). Cela permet aux utilisateurs d'utiliser tous les composants ARIS dès qu'ils se connectent au domaine. Il n'est plus nécessaire de se connecter séparément aux composants ARIS.

Connexion simple dans ARIS basée sur Kerberos. Kerberos est une authentification réseau permettant à des nœuds de communiquer en utilisant un réseau non sécurisé tout en se transmettant entre eux leur identité de manière sécurisée. Kerberos est le moyen conseillé pour une authentification utilisateur dans des réseaux MS Windows. De plus, c'est un système très répandu pour les systèmes d'exploitation Linux et des implémentations sont disponibles pour toutes les plateformes importantes.

Veuillez vous adresser à votre administrateur LDAP.

Condition préalable

Serveur

Client

Configuration dans la Gestion des utilisateurs

La connexion simple SSO doit être configurée pour les serveurs.

Vous possédez le droit de fonction administrateur de configuration technique.

Procédure

  1. Cliquez sur Configuration Configuration.
  2. Cliquez sur la flèche à côté Kerberos.

    Si vous ne possédez pas de fichier de configuration Kerberos, créez-en un nouveau. Donnez-lui par exemple le nom krb5.conf, ajoutez les lignes suivantes puis adaptez la configuration à vos besoins.

    [libdefaults]

    default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

  3. Pour charger un fichier de configuration, cliquez sur Charger Charger sous le champ Fichier de configuration.
  4. Cliquez sur ÉditerÉdition.
  5. Activez Utiliser Kerberos.
  6. Dans le champ Principal, entrez le nom de l'utilisateur technique donné par l'administrateur.

    Si le nom du principal de service dans le keytab est, par exemple, mypc01@MY.DOMAIN.COM, les valeurs de la propriété com.company.aris.umc.kerberos.servicePrincipalName doivent contenir le nom de principal de service exactement tel qu'il est spécifié dans le fichier keytab.

  7. Dans le champ Domaine d'analyse, configurez le domaine d'analyse pour le service Kerberos. Entrez le nom de domaine complètement qualifié en majuscules.

    Par exemple  : MYDOMAIN.COM.

  8. Dans le champ KDC, configurez le nom complètement qualifié du KDC (centre de distribution de clés central) à utiliser.
  9. Facultatif :
    1. Cliquez sur Paramètres étendus.
    2. Activez Sortie de débogage.

      Les sorties de débogage du programme auquel l'utilisateur veut se connecter sont enregistrées dans le fichier system.out du programme concerné. Pour la gestion des utilisateurs, par exemple, elles sont enregistrées dans le répertoire <répertoire d'installation ARIS/work_umcadmin_m/base/logs>.

Vous avez configuré la connexion simple SSO avec Keberos dans la Gestion des utilisateurs.

Configuration dans l'Administration ARIS avec SAML

La connexion simple SSO doit être configurée pour les serveurs.

Vous possédez le droit de fonction administrateur de configuration technique.

Procédure

  1. Cliquez sur Configuration Configuration.
  2. Cliquez sur la flèche à côté SAML.
  3. Cliquez sur Généralités.
  4. Cliquez sur ÉditerÉdition.
  5. Activez Utiliser SAML.
  6. Entrez l'ID du fournisseur d'identité dans le champ ID du fournisseur d'identité.
  7. Entrez l'ID du fournisseur de service dans le champ ID du fournisseur de service.
  8. Entrez le point de terminaison du fournisseur d'identité utilisé pour la connexion simple dans le champ URL de la connexion simple.
  9. Entrez le point de terminaison du fournisseur d'identité utilisé pour la déconnexion unique dans le champ URL de la déconnexion unique.

Vous avez configuré la connexion simple SSO avec SAML dans la Gestion des utilisateurs.

Veuillez noter que SSO (single sign-on) avec SAML ne fonctionnera pas en cas de serveurs LDAP multiples et de noms d'utilisateurs identiques (même avec des entités différentes) dans différents systèmes LDAP.

Configuration du client

Configurez les paramètres du navigateur pour autoriser la connexion simple SSO. La connexion simple SSO a été testée avec les navigateurs suivants :

Vous devez d'abord vider le cache de ticket Kerberos de chaque client afin d'éviter les tickets obsolètes si les services de domaine Microsoft® Active Directory ont été modifiés. Supprimez le cache de ticket Kerberos en exécutant la commande klist.exe purge. Vous pouvez également déconnecter l'ordinateur client du domaine puis le connectez à nouveau si le programme n'est pas disponible sur l'ordinateur client.

Microsoft® Internet Explorer®

Microsoft® Internet Explorert® ne prend en charge l'authentification basée sur Kerberos que si le serveur fait partie de votre intranet local.

Procédure

  1. Lancez Microsoft® Internet Explorer®.
  2. Cliquez sur Outils > Options Internet.
  3. Activez l'onglet Sécurité puis cliquez sur Intranet local.
  4. Cliquez sur Sites puis sur Étendu.
  5. Ajoutez l'URL du ARIS Server qui a été configuré pour la connexion simple SSO. Ajoutez le nom d'hôte DNS et l'adresse IP du ARIS Server.
  6. Désactivez la case Vérification de serveur (https:) nécessaire pour tous les sites de cette zone.
  7. Cliquez sur Fermer puis sur OK.
  8. Cliquez sur Adapter le niveau puis assurez-vous qu'aucune configuration personnalisée ne gêne votre nouvelle configuration.
  9. Recherchez le domaine Authentification des utilisateurs. Vérifiez si la case Connexion automatique dans la zone intranet uniquement est activée.
  10. Cliquez sur OK.
  11. Fermez puis redémarrez Microsoft® Internet Explorer®.

Mozilla Firefox®

Dans Mozilla Firefox, vous pouvez définir des pages autorisées en utilisant le nom de l'ordinateur, l'adresse IP ou une combinaison des deux. Vous pouvez utiliser des caractères génériques.

Procédure

  1. Lancez Mozilla Firefox®.
  2. Entrez about:config dans la ligne d'adresse puis appuyez sur la touche Entrée. Confirmez le message, si nécessaire.
  3. Entrez network.negotiate dans le champ Rechercher puis appuyez sur la touche Entrée.
  4. Double-cliquez sur network.negotiate-auth.trusted-uris.
  5. Entrez le nom d'ordinateur ou l'adresse IP du ARIS Server pour lequel vous avez configuré une connexion simple SSO puis cliquez sur OK.
  6. Fermez Mozilla Firefox® puis relancez-le.

Si vous souhaitez utiliser un chiffrement plus fort que AES 128 bits et que cela est autorisé dans votre pays, remplacez le fichier de stratégie JCE de la JDK de votre version ARIS par les fichiers de stratégie Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Cela permet une longueur de clé illimitée.

Si vous ne souhaitez pas remplacer les fichiers de stratégie, mais que vous souhaitez tout de même utiliser la connexion simple SSO,vous devez utiliser une procédure autorisée par JDK pour le cryptage de tickets Kerberos, p. ex. AES 128 bits.